Стремясь защитить средства граждан и компаний от мошенников, ЦБ РФ требует от кредитных организаций «разделения технологий» или введения ограничений по платежам.
По мнению специалистов по информационной безопасности, термин «раздельные технологии» в документах Центробанка весьма размыт, и не до конца ясно, что хотел регулятор.
Например, при проведении платежей через мобильный банк используется всего одно устройство – телефон. Может ли он обеспечить разделение технологий? Мнения экспертов расходятся.
«Широко используемые сейчас SMS/PUSH-коды уже не обеспечивают защиту от хищения денег при переводах, – отмечает генеральный директор Safe Tech Денис Калемберг. – Поэтому для работы с мобильным банком может быть применено компактное устройство с возможностью контроля реквизитов, подключающееся к смартфону по Bluetooth».
В то же время директор департамента розничных продуктов «Московского кредитного банка» («МКБ») Алексей Охорзин, считает, что при нарушении контура безопасности мобильных операционных систем необходимо использовать резервные каналы подтверждения операций.
«Этими каналами могут быть резервный смартфон для получения СМС- и PUSH-паролей, генератор паролей, звонок в колл-центр, мобильная версия интернет-банка в веб-браузере либо физическое устройство с ЭЦП», – уточняет господин Охорзин.
Что же получается – потенциальный банковский клиент, прежде чем воспользоваться услугой кредитной организации, должен заранее запастись вторым мобильным телефоном или электронной цифровой подписью для работы с мобильным банком?
Любые подобные новации могут вызвать негатив со стороны клиентов банков. Ведь получается, что теперь использование мобильного банка для них станет дороже за счет приобретения второго смартфона либо будет занимать больше времени.
Как сообщил глава комитета Ассоциации российских банков (АРБ) по банковской безопасности Александр Велигура, АРБ готовит запрос в Центробанк с просьбой пояснить вступившие в силу с 1 июля поправки к положению о требованиях к информационной безопасности кредитных организаций.
Так, один из пунктов документа вводит новое требование – в случае, когда банк не может обеспечить «непосредственный контроль защиты информации от воздействия вредоносного кода» по платежам клиентов, кредитной организации необходимо обеспечить раздельные технологии при подготовке платежа клиентом и при его подтверждении.
«Эти меры должны позволять использовать различные программные среды для формирования платежки и подтверждения трансакции, а также сверять реквизиты платежного документа, как в момент формирования, так и на этапе подтверждения. Если же применение раздельных технологий невозможно, банкам необходимо установить ограничения по сумме трансакции, перечню получателей, временному периоду совершения трансакций, по устройствам, на которых может быть сформирован платежный документ и какими подтвержден, а также по географии плательщика», – поясняет господин Велигура.
Хотя требование о раздельных технологиях и вступит в силу лишь через полтора года, с 1 января 2020 года, однако банкам потребуется заранее вносить существенные изменения в программное обеспечение. А потому кредитные организации ждут пояснений от регулятора. Ибо вопросов много, а ответов пока нет.
