Mail.ruПочтаМой МирОдноклассникиВКонтактеИгрыЗнакомстваНовостиПоискОблакоComboВсе проекты
, Источник: Известия

Интернет-счета клиентов российских банков будут привязаны к их гаджетам

Новые требования ЦБ РФ по борьбе с мошенничеством при дистанционном обслуживании граждан обязывают все банковские организации регистрировать устройства, с которых их клиенты будут заходить в интернет- или мобильный банк. Изменения уже вступили в силу, хотя конкретной договоренности в вопросах обеспечения безопасности данных таким образом достичь пока не удалось.

«Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц)», — говорится в документе, вступившем в силу, как выяснили «Известия», 16 марта 2015 года. 

Пояснения, что подразумевает Центральный Банк под «идентификатором», в тексте отсутствует. С наибольшей долей вероятности, речь идет о MAC-адресе, предполагают в компании Digital Security, которая является одним из лидеров в направлении анализа защищенности банковских систем. Именно эта информация является сколько-нибудь уникальной, однако не стоит забывать о возможности клонирования такого идентификатора или даже заведения вручную любого валидного значения.

Еще одним предположением является идентификация пользователей по IP-адресу, что вообще лишено смысла со стороны обеспечения безопасности в силу возможности использования одного такого идентификатора группой пользователей, например, в корпоративной сети и повсеместным распространением динамических IP. Наиболее интересным предположением является брать сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки, однако тогда непонятно, как быть тем пользователям, которые проводят систематическое обновление комплектующих в компьютерах.

Получить вразумительный ответ на данный вопрос в самом ЦБ «Известиям» не удалось. Из-за отсутствия четкой формулировки, банки выполняют требование по своему усмотрению. Так, СМП банк, по словам начальника управления безопасности информационных технологий Павла Головлева, использует IP-адреса: «Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку».

Бинбанк решает вопрос безопасности при помощи Push-уведомлений, которые приходят пользователям на их мобильные устройства и являются более безопасными, чем SMS, так как попадают к клиентам напрямую. ВТБ24, как рассказала начальник управления дистанционного банковского обслуживания Елена Дегтева, в свою очередь, принял решение собирать у клиентов пакеты данных об устройствах: «Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил»

На данном этапе нововведение вызывает больше вопросов, чем ответов, так как увеличивает бюрократический аппарат и финансовую нагрузку на банки, а клиенты, на чьи плечи лягут эти расходы, получают непонятный и запутанный процесс, который в случае минимальных изменений в домашнем технопарке верифицированных устройств сделает мобильный банкинг неудобным, хотя изначально его задачей было упрощение работы со своими счетами.

 

Возможно, вас заинтересует:

В России создают новую систему противодействия киберугрозам

Обнаружен вирус, шпионящий за пользователем даже после отключения смартфона

В России создан антишпионский смартфон

Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
14
√
В ответ на комментарий от Fallen Angel
Fallen Angel
абалдели совсем? ...
А если я хочу в банк зайти из интернет кафе, мне что делать? ...
Да и с чего ради я вдруг обязан буду какие то данные о девайсе предоставлять в банк?... может я их меняю каждый день? ...
В топку... лучше бы за курсом рубля следили в ЦБ этом а не фигней страдали.
СсылкаПожаловаться
Можете не предоставлять, вас не обязывают. Обязывают Банки предусмотреть возможность кастомизации клиента. Откуда, например, он может делать фин операции, а откуда - только смотреть выписку. Или ограничить сумму платежа, или получателя.
Не хотите - не давайте.
СсылкаПожаловаться
Александр
Карточка одноразовых паролей решает все проблемы.
А эти негодяи хотят отслеживать нас по гаджетам.
СсылкаПожаловаться
Александр Капустин
В ответ на комментарий от андрей лисс
андрей лисс
Скоро банки девайсы под своими брендами впаривать начнут.Типа защищенные антивирусом Касперского!!!
СсылкаПожаловаться
Сбербанк уже выпустил такое приложение для Андроида.
СсылкаПожаловаться
К А
Представляю, как это будет выглядеть в "Сбере": Отстоять часовую очередь с номерочком, слить серийник и мак смартфона, заполнить 20 листов заявления (рукописным текстом) и в конце рабочего дня - вернуться домой счастливым и довольным - ведь платежные средствА теперь "в безопасности"!!!
А что - хороший повод менять смартфон не раз в полгода, а раз в пять лет однако. Ах да, а вот что плохо - это переть на горбу в отделение банка тяжеленный системный блок, с которого я выхожу в "мобильный банк", для переписи конфигурации. Сменил видеокарту - будь добр сходить опять (тут бы должнен бы быть смайл, не его не будет).
СсылкаПожаловаться
Fallen Angel
В ответ на комментарий от Neo История переписки2
Neo
Обалдел совсем? ...
Какой адекватный человек будет светить свои данные в стремных местах???!!!
СсылкаПожаловаться
Мне пофигу, без подтверждающего СМС даже зайти не получится в банк через браузер, так что проблемы не вижу ...
СсылкаПожаловаться
Neo
В ответ на комментарий от Fallen Angel
Fallen Angel
абалдели совсем? ...
А если я хочу в банк зайти из интернет кафе, мне что делать? ...
Да и с чего ради я вдруг обязан буду какие то данные о девайсе предоставлять в банк?... может я их меняю каждый день? ...
В топку... лучше бы за курсом рубля следили в ЦБ этом а не фигней страдали.
СсылкаПожаловаться
Обалдел совсем? ...
Какой адекватный человек будет светить свои данные в стремных местах???!!!
СсылкаПожаловаться
андрей лисс
Скоро банки девайсы под своими брендами впаривать начнут.Типа защищенные антивирусом Касперского!!!
СсылкаПожаловаться
Oll
Хорошее решение, безопасность усиленна будет и пользователя не в особую тягость будет.
СсылкаПожаловаться
eugene screamer
прицениваются,как бы бабла попилить под мутный,никому непонятный и ненужный проект,достаточно посмотреть на невменяемые системы платежей в любом банкомате
СсылкаПожаловаться
Fallen Angel
абалдели совсем? ...
А если я хочу в банк зайти из интернет кафе, мне что делать? ...
Да и с чего ради я вдруг обязан буду какие то данные о девайсе предоставлять в банк?... может я их меняю каждый день? ...
В топку... лучше бы за курсом рубля следили в ЦБ этом а не фигней страдали.
СсылкаПожаловаться
Veniapin
Всякой дурью, а не работой занимаются в этом ЦБ.
СсылкаПожаловаться
Anatoly...©
В ответ на комментарий от Anatoly...©
Anatoly...©
Если "Получить вразумительный ответ на данный вопрос в самом ЦБ", то не послать ли ЦБ подальше в лес с подобным решением.
СсылкаПожаловаться
плз.. Не удалось получить .... далее по тексту"
СсылкаПожаловаться
Anatoly...©
Если "Получить вразумительный ответ на данный вопрос в самом ЦБ", то не послать ли ЦБ подальше в лес с подобным решением.
СсылкаПожаловаться
Чешир
Ну и правильно- а то замучили сливать пароль интернет клиента и рассказывать что их обокрали)) теперь будет главное смарт не прое...не потерять вообщем))
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Вы не ввели текст комментария
Вы не ввели текст комментария
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас