ЦБ РФ представил положение о мерах защиты информации финучреждениями. Согласно проекту, клиенты смогут отправлять заявления о преступных списаниях прямо через приложения банков. Такой шаг сэкономит время при расследованиях, считают эксперты. Но есть и риски, связанные с криптографическими ключами.
Что даст инициатива?
Операции без согласия пользователей — распространённый вид мошенничества в среде банков и и кредитных организаций. Чтобы бороться с проблемой эффективнее, в ЦБ подготовили нововведение. В мобильных клиентах системно значимых организаций появится функция «отправить заявление о преступлении в МВД». Электронный документооборот между министерством и Центробанком уже налажен. Теперь к нему подключат физических лиц.
Для каждой заявки будут фиксироваться метаданные и параметры транзакции, включая счета, реквизиты кошельков и номера телефонов. Так жертве будет проще заполнить документы, а полиция получит все необходимые ей сведения. Предоставлять выписки по счёту и прочее не понадобится. В результате взаимодействие правоохранительных органов с банком и пострадавшим ускорится. «Одна из проблем при расследовании мошенничеств — это потеря времени, и её получится немного перекрыть», — подтверждает директор техдепартамента RTM Group Федор Музалевский.
Спорные пункты законопроекта
Сейчас для подтверждения переводов, как правило, применяются SMS-коды. Они генерируются на стороне банка (при этом известны ему), затем передаются сотовым операторам либо мессенджерам, и лишь после этого попадают к клиенту. «Таким образом, текущая схема использования даёт клиентам уже много лет возможность для оспаривания переводов денежных средств», — отмечает коммерческий директор SafeTech Дарья Верестникова.
В новом же документе упоминаются криптографические ключи, призванные устранить часть уязвимостей. Пока нет предписаний о том, где они должны храниться. Но указывается, что ключи сможет изготавливать не только сам пользователь, но и банк для него. В этом случае есть риск оспаривания клиентом транзакций, подтвержденных указанным ключом, что потребует от банков дополнительных механизмов защиты и регистрации операций. Последним нюансом обеспокоены эксперты.
С точки зрения безопасности криптографические ключи стоит применять именно на стороне клиента. «Иначе сохранится текущая неблагоприятная ситуация, при которой некоторые кредитные организации, формально трактуя положения документа, реализуют данные механизмы защиты информации только на своей стороне, а на стороне клиента единственными факторами остаются SMS или push-коды, что создаёт существенные риски»,— поясняет генеральный директор «КриптоПро» Станислав Смышляев.