Безопасность превыше всего

Алексей Снегирев, старший специалист Управления Развития Каналов Самообслуживания (УРКС) ОАО "Альфа-Банк" 



Все больше людей, начиная от клиентов и специалистов и заканчивая самими же мошенниками, проявляют интерес именно к безопасности той или иной услуги. Тем более, что в век высоких технологий эта тема кажется бесконечной. Банковским каналам самообслуживания в этом смысле уделяется особое внимание. Будь то сервис интернет-банкинга, мобильного банкинга, обслуживание в банкоматах, использование пинпадов и т. д.


К сожалению, основные претензии пользователей к защищенности подобных каналов  связаны с их же собственными ошибками, а точнее с малой осведомленностью или даже безграмотностью в подобных вопросах самих клиентов. Грубо говоря, клиент мало уделяет внимания своей "гигиене" при использовании подобных сервисов: в подавляющем большинстве случаев отношение к хранению персональных аутентификациннох данных со стороны клиента просто безалаберное. Персональные данные, в лучшем случае, знают все члены семьи, а в худшем - коллеги по разным сферам деятельности.


Что называется, раз уж изъявил желание пользоваться подобными сервисами, значит и на тебя распространяется изрядная доля ответственности за хранение своей же собственной информации. Но,  увы, клиенту до этого нет дела.


Если взять статистику по операциям списания денег со счета, которые клиент сам осуществлял, проблема обнаруживается самым явным образом. В половине таких случаев данными клиента пользуются третьи лица. И эти данные клиента некогда сам "проворонил" из-за своего наплевательского отношения к их хранению. Что касается последующей миграции средств, то этот процесс вообще производит дилетантское впечатление. Сам клиент может по выписке узнать, на чей счет внутри банка ушли его средства.


Все хотят простой в использовании системы, а сами даже и не догадываются о том, чтобы потратить несколько минут своего времени для создания более надежного пароля. Вместо этого клиент придумывает пароль из легко воспроизводимой последовательности некоторых цифр.


Если шумиха с уязвимостью банкоматов сегодня практически прошла, то проблема несанкционированного доступа к счетам с мобильных и портативных устройств либо только набирает обороты, либо уже имеет место.


Уязвимость того или иного продукта таит в себе не только потерю денег для банка и клиента, но может вылиться и в гораздо большее - сначала погубить привлекательность самого сервиса, а затем спровоцировать и массовый отток клиентов банка.


Так как ПО, на котором реализуется функционал конкретного сервиса может значительно различаться, то приходиться использовать дополнительные портативные средства защиты.


Приведем простой пример с популярными ныне устройствами для генерации временных паролей. Допустим, что за банковским счетом клиента закрепляется 50 тысяч ключей, которые устройство генерирует для клиента при каждой новой сессии.


Надо признать, что подобное решение во многом не является безупречным. Если говорить о мобильном банкинге, то клиенту приходиться дополнительно, помимо своего телефонного аппарата, носить с собой еще одно устройство. Обычно оно выполнено в форме брелка или мини-калькулятора. Само собой разумеется, это крайне неудобно в плане элементарной переноски. При этом клиенту не обойтись без посещения банковского отделения для того, чтобы приобрести такое устройство.


Оптимальным выходом для банков и конечных пользователей может стать комплексный аутентификационный подход. То есть когда подтверждение транзакций по крупным или средним суммам можно подтверждать с различных удаленных каналов.


Пример - перевод денег между счетами посредством онлайнового банкинга с последующим подтверждением транзакции через мобильный банкинг. Либо можно воспользоваться кодовым словом в самом банковском канале. 


Главными проблемными факторами здесь опять-таки являются ПО и клиент его использующий. Кодовое слово легко забыть, даже если оно вполне очевидно, а сервисы, работающие через одно ПО весьма проблематично и дорого связать с другим программным решением.


Аспект хранения данных клиента часто вызывает не меньшую озабоченность. Что касается мобильного банкинга, то самом аппарате не содержится никакой информации о клиентском счете. Само приложение выполняет роль "двери", при условии использования нужного "ключа", поэтому даже в случае кражи мобильника, доступ к персональным данным злоумышленник не сможет получить.


Немаловажным аспектом представляется мониторинг достоверности ресурсов. Так называемый "фишинг", хоть уже и получил достаточную известность, однако данное явление способно проявляться во все новых сервисах и в различной форме.


Понятное дело, что наравне со своими клиентами банк должен серьезно относиться к ресурсам, которые он предоставляет для использования дистанционных каналов.


В этом смысле сервис мобильного банкинга, реализованный через скачиваемый Java-мидлет, как раз может быть одной из разновидностей подобного Java-фишинга. И банк и клиент должны понимать, что гиперссылки, используемые для скачивания ПО, а также для доступа к сервису, должны быть получены только из официальных источников.


В любом случае, во всех ныне существующих технологиях уровень шифрования данных для использования мобильного банкинга остается на достаточно выcоком уровне. Это может быть мобильный банкинг как на базе STK, так и Java. Различия здесь могут иметь место в зависимости от специфики модели аппарата.


И, тем не менее, на сегодняшнем этапе развития мобильного банкинга, более безопасным и оптимальным представляется именно сервис на базе STK. Здесь надо учитывать, что далеко не все модели способны работать через https-протокол и для Java-приложений приходиться внедрять дополнительные уровни защиты. Например, в виде SSL-протоколов.


В конце концов, полностью абстрагировавшись от технического аспекта защиты, крайне важно донести до клиента его долю ответственности при использовании подобного сервиса. Необходимо сформировать четкое представление клиента о том, что не всегда случае беды виновным оказывается сторона банка. Первоначальным анализом собственных действий при использовании сервиса дистанционного обслуживания не стоит пренебрегать. И здесь может оказаться особенно полезным прочтение текста договора в связи с использованием удаленных каналов.


* Мнение Редакции MoneyNews может не совпадать с мнением авторов оригинальных материалов.

Информация
Комментировать статьи на сайте возможно только в течении 30 дней со дня публикации.
  • управление бюджетом