Управление банковскими счетами через Интернет должно стать безопасным – вступившие в силу новые требования Банка России обязывают кредитные организации идентифицировать используемые клиентами гаджеты и исключать несанкционированные операции. Однако большинство российских банков пока не слишком понимает, как реализовывать предложенные регулятором меры безопасности.
Указание об усилении защиты информации при так называемом дистанционном банковском обслуживании (ДБО) было подписано Эльвирой Набиуллиной еще в августе прошлого года. На решение технических и организационных вопросов реализации новых требований кредитным организациям дали полгода, но этого срока оказалось недостаточно.
Цифровые отпечатки
Согласно вступившему в силу 16 марта нормативному акту, клиенты вправе сообщить в свой банк перечень и идентификаторы устройств, с которых они планируют заходить в интернет-сервисы для перевода денежных средств. Также владельцы счетов могут определить лимиты дистанционно совершаемых операций (в том числе за определенный срок), ограничить перечень возможных получателей, самих банковских услуг и даже установить временной период их совершения (например, можно запретить проводить транзакции в ночное время).
Правда, что такое «идентификатор устройства», в обширном указании Банка России не проясняется. В ранее подготовленных документах предлагалось считать таковым Mac-адрес, который прошивается в каждую сетевую карту или иное используемое для связи оборудование. Но как минимум на стационарном компьютере изменить этот адрес может любой опытный пользователь. Не подходит для идентификации и IP-адрес, так как у большинства пользователей он динамический и меняется при каждом сеансе.
По мнению начальника управления дистанционного банковского обслуживания ВТБ24 Елены Дегтевой, оптимальным способом однозначной идентификации устройства клиента при работе через Интернет является определение Device FingerPrint – так называемых «отпечатков пальцев». Он включает уникальный набор параметров, в том числе версию используемой операционной системы, разрешение и цветность экрана, различные настройки и так далее.
Но большинство кредитных организаций новые требования де-факто пока игнорируют, а их справочные службы узнали об указании Банка России от журналиста «Фонтанки», показал проведенный опрос. «Опция по ограничению перечня устройств, с которых клиент будет осуществлять выход в интернет-банк, не предусмотрена», – заявила ведущий специалист «Росинтербанка» Екатерина Бербетова. Дать комментарии пока не смогли пресс-службы банков «БФА», «Хоум Кредит», «Промсвязьбанка» и других кредитных организаций.
Многие банки «второго эшелона» используют типовые платформы сервисов ДБО, в том числе разработку компании BSS. В ней утверждают, что реализовали новые требования ЦБ еще 5 марта, хотя в самих кредитных организациях это отрицают. Например, ждут обновленную программу от разработчика в «Уральском банке реконструкции и развития». Пока же пользователи профессиональной версии сервиса (то есть корпоративные клиенты по дорогим тарифным планам) могут ограничить только перечень используемых IP, «легкой» (используемой в том числе малым бизнесом) – не имеют даже такой возможности. Когда все предписанные ЦБ функции будут внедрены и как предлагается идентифицировать гаджеты пользователей, не смогли пока прояснить ни в банке, ни в пресс-службе BSS.
Пассивный контроль
Также ни один из опрошенных банков до сих пор не ввел процедуру приема заявлений клиентов об ограничении перечня услуг.
ВТБ24 в «белый список» включил идентификаторы (Device FingerPrint) ранее применяемых пользователями гаджетов и компьютеров. Поскольку совершенные с них операции не были оспорены, банк не сомневается в их легитимности. «При несовпадении Device FingerPrint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону. Или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил», – поясняет Елена Дегтева.
«После проведения процедуры идентификации сотрудники банка могут позвонить клиенту, чтобы убедиться, что устройство принадлежит ему, – говорит Вячеслав Касимов, заместитель директора по безопасности банка «ФК Открытие». – Если возникают подозрения в легитимности используемого устройства, банк вправе приостановить проведение транзакции».
Правда, как идентифицируют устройства, как формируется «белый список» и как клиент может реализовать свое право на установление соответствующих ограничений – Вячеслав Касимов объяснить опять же не смог. В службе поддержки корпоративных пользователей утверждают, что проверяют IP-адрес пользователя, ограничить перечень устройств нельзя.
А вот руководитель направления информационной безопасности «Балтинвестбанка» Максим Дуков сомневается, что большинство клиентов захочет усложнять себе жизнь и каждое свое устройство, включая SIM-карты, регистрировать в банке. «Сейчас каждый банк самостоятельно разрабатывает свой уникальный механизм идентификации, закрепляя его договором с клиентом, но если подобные процедуры примут массовый характер, будет лучше, если ЦБ формализует их с помощью соответствующей инструкции», – убежден Максим Дуков.
Схожего мнения придерживается и начальник управления каналов дистанционного банковского обслуживания банка «Интеза» Евгений Васильев. «Указание ЦБ обязывает банк применять фильтрацию адресов клиента только по его прямому запросу. Однако количество пользователей, которые могут быть заинтересованы в защите по IP/Mac-адресам, я оцениваю в доли процента. Таким образом, значительных изменений в обслуживании клиентов мы не ожидаем», – полагает он.
В ответе за всё
Подчеркивая свою законопослушность, банкиры убеждены, что идентификация устройств клиента значительно повышает уровень безопасности при использовании ДБО.
А вот опрошенные юристы высказывают менее оптимистичное мнение: «Вступившие в силу требования ЦБ не устанавливают какой-либо «вмененной» ответственности банков и не гарантируют безопасность клиента. Убыток, причиненный из-за совершенной мошенниками транзакции, будет возмещен банком только в тех случаях, когда он не предпринял все необходимые меры по проверке», – полагает управляющий партнер адвокатского бюро «Юсланд» Нина Боер.
Корпоративный юрист Объединенной консалтинговой группы Наталья Брусенцова предлагает пользователям интернет-сервисов самостоятельно проявить инициативу – подать заявление со списком устройств, даже если банк об этом не спрашивает. «Доказать в дальнейшем, что предоставить такое заявление не предполагалось возможным, будет сложно. Если же клиент подал список, а кредитная организация все-таки провела совершенную с использованием иного устройства транзакцию, ответственность должна быть возложена на банк», – убеждена Наталья Брусенцова.
Справка:
По последним данным Банка России, в петербургских кредитных организациях и филиалах открыто почти 5 млн счетов частных лиц, 3,2 млн из которых управляются через Интернет. Еще 280 тысяч счетов с дистанционным управлением принадлежит корпоративным клиентам. В среднем ежедневно в городе через Интернет проводится около 300 тысяч транзакций.
Павел Нетупский, «Фонтанка.ру»