Банковские сайты снабдят тревожной кнопкой

Клиенты системно значимых банков смогут подавать заявления о мошенничестве через приложение кредитной организации. По словам экспертов, это важный шаг, который сэкономит время при расследовании, но куда важнее превентивные меры. Нововведение в виде изготовления криптографических ключей банком, тогда как необходимость хранения и использования этих ключей на стороне клиента отсутствует, создает серьезные риски, предупреждают эксперты.

Выйти из полноэкранного режима

Развернуть на весь экран

ЦБ подготовил проект положения об обязательных требованиях к защите информации российскими банками и филиалами иностранных кредитных организаций для противодействия операциям без согласия клиента (ОБС). Документ опубликовал в конце прошлой недели. Это положение придет на смену действующему сегодня 683-П.

По словам экспертов, одно из главных нововведений — возможность для клиентов системно значимых банков и кредитных организаций, значимых на рынке платежных услуг, направлять заявления о преступлении в МВД через банк. Уже запущен и работает электронный документооборот между МВД, ЦБ и кредитными организациями, теперь его распространяют и на клиентов — в мобильных приложениях появится функция «отправить заявление о преступлении в МВД», поясняет независимый эксперт Евгений Карпов. То есть формируется цепочка клиент, банк, ЦБ, МВД, утончает эксперт.

Сами банки при этом должны будут при каждом поступившем заявлении от клиента фиксировать набор параметров и метаданных финансовых операций, в частности счета, реквизиты электронных кошельков, номера телефонов, уточняет ведущий консультант по информационной безопасности Aktiv.Consulting Александр Моисеев. По словам господина Карпова, это важно, поскольку не только сэкономит время клиента и поможет правильно заполнить документы, но и гарантирует, что у полиции будет вся необходимая ей информация, и она не будет требовать от жертвы предоставить выписки по счету и прочее.

Полиция на местах испытывает проблемы при расследовании таких случаев, как в части компетенций, так и в части взаимодействия с банками, и старается вернуть бумаги гражданину любым способом, отмечает господин Карпов.

Одна из проблем при расследовании мошенничеств — это потеря времени, и ее получится немного перекрыть, подтверждает директор техдепартамента RTM Group Федор Музалевский.

Спорным является пункт, согласно которому криптографические ключи может изготавливать не только сам клиент, но и банк для клиента, считают эксперты. В этом случае возникает риск оспаривания клиентом трансакций, подтвержденных этим ключом, что потребует от банков дополнительных механизмов защиты и регистрации операций, считает господин Карпов.

Нам данный момент практически все банки используют СМС-подтверждение, напоминает коммерческий директор SafeTech Дарья Верестникова. «СМС-код генерируется на стороне банка (банк его знает), отправляется через оператора сотовой связи, а иногда одновременно и в другие сервисы, и только потом пользователю. Таким образом, текущая схема использования дает клиентам уже много лет возможность для оспаривания переводов денежных средств»,— поясняет она.

«Вместе с тем в новой версии документа вводятся дополнительные понятия, которые призваны бороться с описанными уязвимостями, и появляется упоминание криптографических ключей, однако, к сожалению, пока в проекте постановления не определено, где они должны храниться и как применяться»,— продолжает госпожа Верестникова.

В связи с этим наиболее правильным с точки зрения безопасности было бы явным образом предусмотреть применение криптографических ключей именно на стороне клиента, считает она. «Иначе сохранится текущая неблагоприятная ситуация, при которой некоторые кредитные организации, формально трактуя положения документа, реализуют данные механизмы защиты информации только на своей стороне, а на стороне клиента единственными факторами остаются SMS или push-коды, что создает существенные риски»,— поясняет генеральный директор «КриптоПро» Станислав Смышляев.

Юлия Пославская, Максим Буйлов