ЦБ РФ представил новый стандарт по обеспечению безопасности финансовых сервисов с применением цифровых отпечатков устройств. Однако, отечественные банки выразили обеспокоенность по поводу этого документа, так как он может привести к серьезным трудностям в работе и дополнительным финансовым затратам, сообщает «Коммерсантъ».
Многие эксперты сомневаются в эффективности представленных правил, при этом финансовые учреждения намерены внедрять стандарт, чтобы привлечь новых клиентов несмотря на то, что он имеет строго рекомендательный характер. ЦБ РФ настаивает на его внедрении.
В рамках этого стандарта для российских финансовых учреждений устанавливаются единые правила создания, хранения и использования уникальных цифровых отпечатков устройств. Такие отпечатки представляют собой набор параметров, который позволяет однозначно идентифицировать пользовательское устройство, с применением которого осуществляются банковские и иные финансовые операции.
В ЦБ РФ убеждены, что благодаря стандартизации алгоритм сбора цифровых отпечатков устройств российский финансовый сектор сможет намного эффективнее бороться с операциями, которые совершаются без согласия клиентов. Заявлено, что цифровой отпечаток устройства будет формироваться из идентификаторов аппаратной части, версии операционной системы, версии установленного на пользовательском устройстве браузера, а также иных системных и аппаратных параметров устройства.
В Банке России также рекомендовали кредитным учреждениям ввести собственную базу и эталонных цифровых отпечатков устройств одновременно с исходными значениями параметров устройства, а также цифровых отпечатков, которые будут получены при осуществлении пользователем финансовых операций. В целом, новый стандарт ЦБ РФ вызывает много вопросов и неоднозначных мнений. Однако, он может стать важным шагом в обеспечении безопасности финансовых операций и защите интересов клиентов банков.
Семен Мурадханов, руководитель отдела Front-End разработки компании SoftWell, прокомментировал: “Данные рекомендации – компиляция мировых практик ведущих финтех-компаний. Сам подход по сбору информации ясен, но нет четкого описания, каким образом формировать хеш, какие параметры являются критичными по изменениям, а какие – нет. У каждого параметра отпечатка должен быть вес влияния. А в этом документе есть лишь рекомендация порога различий в 15%, вне зависимости от конкретных параметров и их влияния. Сегодня крупные финансовые организации уже собирают эту информацию и используют для обеспечения безопасности транзакций клиента. Скорее это рекомендации для тех, кто ещё не озаботился внедрением такого инструмента в свои сервисы.
Через несколько лет это направление может быть стандартизировано так же как и биометрия. И когда это произойдёт, государство сможет монополизировать данные, как это произошло с биометрией. В такой перспективе есть свои риски, связанные всё с той же безопасностью данных, и как следствие, новым вектором атак. Современный мир диктует свои правила: усложняются уровни идентификации пользователя и защиты его данных. В то же время усовершенствуются и методы хакерских атак. Это постоянная гонка. И данные рекомендации могут быть только дополнением к уже имеющимся средствам защиты транзакций пользователя, так как уровень надежности инструмента достаточно низок из-за большого количества факторов. Но для анализа и разбора хакерских атак он будет полезен”.
Илья Боярский, руководитель отдела Back-End разработки компании SoftWell, заявил: “Стандартизация – это всегда хорошо в плане регуляций и усложнения жизни мошенникам. Но есть у таких инструментов и свои минусы:
1. Низкая точность. Пользователи могут спокойно переключаться между сетями, перетаскивать приложения с монитора на монитор. Кроме того, один компьютер может использоваться несколькими людьми.
2. Вопрос приватности. С помощью цифровых отпечатков можно трекать активность пользователей. Особенно, если вдруг утечет база, в которой напротив транзакций будет указано текущее местоположение пользователя.
3. Устойчивость к взлому. Злоумышленник может подменить параметры и использовать в целях атаки.
4. Стоимость внедрения. Банкам, использующим сторонние решения, возможно потребуется их значительная доработка для следования стандарту.
5. Завязка на владение гаджетом. Мы предполагаем, что им владеет один пользователь, но часто случается, что его «одалживают» или вовсе крадут.
6. Потребуется строгое регулирование использования данных только в качестве цифрового отпечатка, а также проработка механизма проверки, что их не используют, например, для таргетированной рекламы”.
Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT, отметил: “В целом данный стандарт ЦБ РФ – это набор рекомендаций и практик, который еще предстоит ввести в действие, поэтому вряд ли это произойдет очень оперативно. Но подобная инициатива, на мой взгляд, крайне полезна, и возможность ее закрепления на законодательном уровне не может не радовать.
Современные методы мошенничества и социальной инженерии позволяют получить практически любую личную информацию, включая логины и пароли от банковских сервисов. Требования Стандарта позволят без потери удобства вернуть нам теряемый уровень защищенности. Практически в Стандарте говорится о системе многофакторной аутентификации, где помимо стандартных методов используются и дополнительные сведения: отпечатки устройств, геолокация, текущее время и пр. Пользователям это дает возможность сделать так, чтобы с другого устройства их сервисы не были доступны.
Безусловно, для банков это дополнительные затраты на реализацию новых пользовательских возможностей. Однако лично я, как клиент банка, готов был бы даже заплатить за такую услугу”.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
