Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
19 марта 2015, Источник: Известия

Интернет-счета клиентов российских банков будут привязаны к их гаджетам

Новые требования ЦБ РФ по борьбе с мошенничеством при дистанционном обслуживании граждан обязывают все банковские организации регистрировать устройства, с которых их клиенты будут заходить в интернет- или мобильный банк. Изменения уже вступили в силу, хотя конкретной договоренности в вопросах обеспечения безопасности данных таким образом достичь пока не удалось.

«Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц)», — говорится в документе, вступившем в силу, как выяснили «Известия», 16 марта 2015 года. 

Пояснения, что подразумевает Центральный Банк под «идентификатором», в тексте отсутствует. С наибольшей долей вероятности, речь идет о MAC-адресе, предполагают в компании Digital Security, которая является одним из лидеров в направлении анализа защищенности банковских систем. Именно эта информация является сколько-нибудь уникальной, однако не стоит забывать о возможности клонирования такого идентификатора или даже заведения вручную любого валидного значения.

Еще одним предположением является идентификация пользователей по IP-адресу, что вообще лишено смысла со стороны обеспечения безопасности в силу возможности использования одного такого идентификатора группой пользователей, например, в корпоративной сети и повсеместным распространением динамических IP. Наиболее интересным предположением является брать сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки, однако тогда непонятно, как быть тем пользователям, которые проводят систематическое обновление комплектующих в компьютерах.

Получить вразумительный ответ на данный вопрос в самом ЦБ «Известиям» не удалось. Из-за отсутствия четкой формулировки, банки выполняют требование по своему усмотрению. Так, СМП банк, по словам начальника управления безопасности информационных технологий Павла Головлева, использует IP-адреса: «Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку».

Бинбанк решает вопрос безопасности при помощи Push-уведомлений, которые приходят пользователям на их мобильные устройства и являются более безопасными, чем SMS, так как попадают к клиентам напрямую. ВТБ24, как рассказала начальник управления дистанционного банковского обслуживания Елена Дегтева, в свою очередь, принял решение собирать у клиентов пакеты данных об устройствах: «Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил»

На данном этапе нововведение вызывает больше вопросов, чем ответов, так как увеличивает бюрократический аппарат и финансовую нагрузку на банки, а клиенты, на чьи плечи лягут эти расходы, получают непонятный и запутанный процесс, который в случае минимальных изменений в домашнем технопарке верифицированных устройств сделает мобильный банкинг неудобным, хотя изначально его задачей было упрощение работы со своими счетами.

 

Возможно, вас заинтересует:

В России создают новую систему противодействия киберугрозам

Обнаружен вирус, шпионящий за пользователем даже после отключения смартфона

В России создан антишпионский смартфон

Комментарии
14
√
В ответ на комментарий от Fallen Angel
Fallen Angel
абалдели совсем? ...
А если я хочу в банк зайти из интернет кафе, мне что делать? ...
Да и с чего ради я вдруг обязан буду какие то данные о девайсе предоставлять в банк?... может я их меняю каждый день? ...
В топку... лучше бы за курсом рубля следили в ЦБ этом а не фигней страдали.
СсылкаПожаловаться
Можете не предоставлять, вас не обязывают. Обязывают Банки предусмотреть возможность кастомизации клиента. Откуда, например, он может делать фин операции, а откуда - только смотреть выписку. Или ограничить сумму платежа, или получателя.
Не хотите - не давайте.
СсылкаПожаловаться
Александр
Карточка одноразовых паролей решает все проблемы.
А эти негодяи хотят отслеживать нас по гаджетам.
СсылкаПожаловаться
Александр Капустин
В ответ на комментарий от андрей лисс
андрей лисс
Скоро банки девайсы под своими брендами впаривать начнут.Типа защищенные антивирусом Касперского!!!
СсылкаПожаловаться
Сбербанк уже выпустил такое приложение для Андроида.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone 6S 32GB
от35 670руб.
Apple iPhone SE 64GB
от28 490руб.
Apple iPhone 7 32GB
от44 300руб.
Xiaomi Redmi 3S Pro 32GB
от9 590руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Apple iPhone 7 128GB
от51 489руб.
Samsung Galaxy S7 32GB
от32 500руб.
Samsung Galaxy J2 Prime
от7 886руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru