Богатство принадлежит не тому, кто владеет им, а тому, кто умеет получать от него удовольствие.
Бенджамин Франклин


 



Отзывы о банках


InfoBank.by – Все банки Беларуси  >  Павел Есаков: «Есть вероятность, что вместо клиента будет аутентифицирован мошенник»

Павел Есаков: «Есть вероятность, что вместо клиента будет аутентифицирован мошенник»

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
1209

30 января 2019 года в Минске пройдет семинар на тему «Новые подходы к безопасности клиентов в банке».

Бизнес-тренер семинара —  Павел Есаков,  пресейл-эксперт по системам аутентификации, CSM.
 

Павел Есаков
 
На протяжении последних 14 лет принимает активное участие в эволюции технологий безопасности в системах дистанционного банковского обслуживания (ДБО) в российских банках.
 
Накануне семинара Павел Есаков дал развернутое интервью нашему порталу.
 
— К каким изменениям для европейских банков привели принятие PSD2, RTS SCA, eIDAS и  GDPR? И как эти изменения сказались на работе банков России и СНГ?

— PSD2 очень сильно изменил расстановку сил на банковском рынке Европы. В соответствии с данной директивой банки обязаны предоставлять доступ как для операторов информационных услуг, так и для операторов - платежных агрегаторов.

Если раньше для доступа к банковскому счету клиента компания, предоставляющая информационные услуги или организующая платежи, должна была заключить с банком договор, то теперь банк обязан предоставлять таким компаниям доступ к API, необходимым для информирования клиентов или организации платежа.

Правда, перевод денежных средств могут осуществлять только банки.

RTSSCA – это составная часть Второй Платежной Директивы, стандарт, который регулирует механизмы аутентификации клиентов и транзакций при карточных платежах и дистанционном управлении счетом. Все участники, вовлеченные в процесс проведения платежей, должны выполнять требования RTSSCA. Этот документ направлен на уменьшение рисков, возникающих при дистанционном управлении счетом при одновременном повышении удобства для пользователей.

EIDAS – это обновленная директива Евросоюза 95 года, которая позволяет использование документов в электронной форме во всех сферах деятельности. Вводятся новые понятия, например, электронная печать – полный аналог электронной подписи, но предназначенной для юридических лиц.

Расширяется круг услуг, которые предоставляются провайдерами доверенных услуг, уточнятся границы ответственности участников электронного документооборота. При этом все решения, которые уже имплементированы в рамках директивы об электронных подписях 95 года, остаются легальными.

GDPR – это закон Европейского союза, определяющий правила сбора, обработки, хранения и передачи персональных данных граждан Евросоюза. Заменив собой имевшуюся директиву, которая носила рекомендательный характер, закон существенно повысил требования к тем компаниям, которые собирают и обрабатывают персональные данные жителей Евросоюза.

Закон не требует обработки и хранения персональных данных на территории Евросоюза, но требует выполнения положений закона для любых операторов, работающих с данными граждан Евросоюза.

Законом предусмотрено наложение административных штрафов для тех компаний, которые нарушают положения закона, причем размер штрафа может составлять 4% от годового оборота компании или 20 млн евро (выбирается большая величина).

Поскольку в странах, сопредельных с Евросоюзом, имеется большое количество компаний, которые обрабатывают данные граждан Евросоюз (транспортные компании, гостиницы, предприятия, в штате которых имеются граждане Европы), то таким организациям необходимо внимательно относиться к вопросам обработки персональных данных.

Уже имеются прецеденты нарушения законов, сумма штрафов при этом зачастую составляет сотни миллионов долларов.
 
— Какую опасность для клиентов банков представляют единые системы хранения данных? И как избежать этого негатива?
 
— Накопление больших массивов клиентских данных (зачастую даже не используемых в решении бизнес-задач) неизменно приводит к рискам утечки данных. Поскольку многие компании не в состоянии дать внятную оценку стоимости хранимых данных, то службы безопасности компании не в состоянии обосновать бюджеты, которые необходимы для обеспечения безопасности данных.

Данные в режиме хранения – наиболее уязвимый вид данных. Это самые большие по объему данные, которые наименее защищены – ведь шифровать данные при передаче уже стало нормой, а вот хранение данных все еще практикуют в открытом виде – как же с ними иначе работать?

Наличие больших объемов данных, которые хранятся в компании, приводило и приводит к регулярным утечкам данных. Естественно, с появлением утечек появились и методы борьбы, причем самым простым и очевидным решением было ограничение доступа к данным.

В первую очередь было необходимо исключить доступ к хранимым данным для тех, кто действовал извне. Появились большое количество всевозможных антивирусов и фаейрволов, которые существенно затруднили проникновение хакеров в сетевую инфраструктуру компании и выгрузку данных во внешний мир. По крайней мере, в первом приближении задача была решена.

В свою очередь, злоумышленники нашли возможность запускать с помощью методов социальной инженерии различные зловредные программы, которые позволяли похищать данные, несмотря на наличие антивирусов и фаейрволов.

Со временем обнаружился и еще один канал утечки — сотрудники компании, которым доступ к данным необходим в силу их бизнес задач. В процессе решения этих задач сотрудники, даже без всякого злого умысла, пересылали данные по электронной почте на свой публичный e-mail или просто копировали на внешний носитель информацию – нужно было поработать дома, срочно что-то доделать, сделать презентацию в другом городе…
 
Павел Есаков на семинаре в Минске. 2017 год
 
Носители иногда терялись, оставались в гостиничных номерах, электронная почта на публичном сервисе могла быть взломана. Впрочем, иногда у сотрудников были и менее благородные и бескорыстные намерения.

На помощь службе безопасности пришли DLP - решения. Их разработчики верили (а некоторые верят и по сей день), что правильно настроенная DLP - система может свести риск утечек к нулю. Правда, признаются они же, такая «правильная» настройка может вполне парализовать работу компании.

Но даже при идеальной работе DLP - системы возможны утечки: в системе по-прежнему существует некоторое число привилегированных пользователей, которые имеют доступ ко всем данным и обладают самыми широкими правами по операциям с этими данными.

Для устранения этой угрозы появился целый класс решений по «контролю за привилегированными пользователями». Таким образом, возник «спецнадзор за спецконтролем»  — действия системных администраторов и всяких других пользователей с широкими полномочиями предполагается контролировать посредством SIEM - системы.

Любопытно, что после инцидентов с похищением данных, которые становились достояниями IT -общественности, разработчики систем данного класса объясняют, что либо «гранаты не той системы», либо «не умеют систему настраивать». Интересно, какова будет реакция такой системы на штатную операцию по созданию архива хранящихся данных, которая проводится в соответствии с регламентом организации на регулярной основе.

Очевидно, для выхода из череды саморазмножающихся систем необходима смена парадигмы: защитить надо сами данные, а не доступ к ним. Как защитить данные? Метод известен давно: зашифровать свои данные надежным алгоритмом, а ключи для дешифрации данных предоставить тем, кому это нужно для решения их бизнес - задач. После выполнения операций над чистыми данными, для их хранения данные вновь зашифровать. 

Задача кажется простой только на первый взгляд — ведь нужно не только раздать ключи тем и только тем, кому они необходимы, но и обеспечить безопасное хранение этих ключей, что требует определенного количества как технических, так и организационных мероприятий. Но задача решаема, и именно в Белоруссии имеется банк, который использует данных подход в своей работе.
 
— Может ли GDPR оказать какое-то влияние на ситуацию в России и странах СНГ, где многие агрегаторы клиентских данных, в том числе банки, используют информацию для продвижения своих новых сервисов, или же просто передают сведения о клиентах компаниям-партнерам?
 
— ЕслиPSD2, RTSSCA и EIDAS можно рассматривать в основном как примеры для подражания, то GDPR в силу «зубастости (в плане штрафных санкций)» надо изучать и выполнять – в противном случае возможны не только штрафные санкции, но и иски клиентов-граждан Евросоюза в судебном порядке — закон закрепляет это в своих положениях.
 
— Может ли в России клиент банка отозвать согласие на обработку своих данных компанией или банком?
 
— В соответствии с законом 152-ФЗ любой субъект персональных данных может потребовать от оператора прекратить обработку своих персональных данных.

Исключения из данного положения изложены в законе: например, если данные обрабатываются в суде в процессе расследования, необходимы для обеспечения безопасности граждан или самого субъекта, будут использованы для архивных или статистических целей, а также ряда других ситуаций, то закон разрешает оператору продолжать обработку.

На практике применения закона не встречалось ситуаций, ГДЕ КЛИЕНТ БАНКА ТРЕБОВАЛ ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Тут вполне возможна ситуация, что запрет обработки персональных данных потребует разрыва договора о банковском обслуживании — все зависит от собственно текста договора о предоставлении банковских услуг конкретным банком.
 
— В одной из своих статей вы сказали, что «российские банки не балуют своих клиентов разнообразием систем аутентификации при предоставлении финансовых услуг в системах ДБО»? С чем это связано? И как можно изменить сложившуюся ситуацию?
 
— Основная причина такого единообразия на рынке ДБО для подавляющего большинства российских банков связана с тем, что присутствие  на этом рынке такого игрока как Сбербанк, с клиентской базой более 40 млн активных пользователей интернет-банка и мобильного банка (это только розница,есть еще и сотни тысяч корпоратов), позволяет остальным банкам «прятаться в тени».

Будучи людьми практического склада, мошенники выбирают наиболее перспективные банки, с большим числом онлайн-пользователей.

Даже 1%  клиентов Сбербанка, зараженных вирусом-похитителем SMS, дает мошенникам 400 000 клиентских счетов. Поэтому рассчитывать на какое-либо изменение следует только при изменении методов аутентификации в онлайн - системах Сбербанка
 
— Какие из биометрических способов идентификации можно назвать наиболее безопасными? И насколько они безопаснее уже привычных способов?
 
— Увы, сказать о том, что методы биометрический аутентификации точны, сегодня можно достаточно условно. И именно это надо иметь в виду тем, кто считает биометрию панацеей от всех бед.

Вероятность правильной аутентификации по лицу крайне сложно сделать выше 99% (такую цифру называет Ростелеком - оператор Единой Биометрической системы). Т.е. имеется как вероятность того, что вместо клиента будет аутентифицирован мошенник – 1 шанс из 100, так и то, что система примет законного владельца за мошенника.

Сравните с вероятностью подбора четырехзначного значения PIN для EMV карты при возможных трех попытках: 0,03%. Разница заметная, и кто-то должен эти риски покрыть – скорее всего, клиент.

Можно ли подделать видео или голос клиента? Увы, такие возможности современная техника представляет — это так называемые Generating Adversarial Networks. В основе технологии лежит комбинация двух нейронных сетей, одна из которых формирует изображение (голос), а вторая сравнивает результат с  эталоном.

Вопрос может быть только в получении эталонного материала — с видео особых проблем не возникает, с голосом — нужно иметь запись голоса, чем длиннее запись — тем точнее будет результат.

Отпечатки пальцев считаются одним из наиболее надежных способов аутентификации — они отличаются даже у близнецов. Но последние разработки показали, что возможна генерация неких усредненных отпечатков, вероятность опознания которых на смартфонах — около 20%.
 

Павел Есаков на семинаре в Минске. 2017 год
 
— Что может заставить банки отказаться от аутентификации клиентов с помощью одноразовых паролей от SMS?
 
— Поводом для отказа от использования SMS-паролей может стать изменение тарифов на рассылку SMS для банковских структур. Надо сказать, «тарифная жажда» операторов уже заставляла банки апеллировать к ФАС на систематическое повышение тарифов на SMS - рассылки, но пока что банки не сдвинулись с места.

Есть, конечно, и еще один путь — запретить использование SMS-паролей на уровне регулятора (ЦБ РФ), но пока об этом остается только мечтать.
 
— Можно ли в двух словах рассказать о Единой биометрической системе в России, и о тех возможностях, которые она  открывает перед банками?
 
— Единая Биометрическая Система создана с благой целью — дать возможность гражданам России, единожды зарегистрировавшись в этой системе (для этого нужен визит в отделение уполномоченного банка), впоследствии открывать счет в банках без визита в банк.

Собственно, в системе можно выделить 3 компоненты: база биометрических данных в дата - центре Ростелекома,  оборудование в отделении банка для съема биометрических данных и приложение для мобильного телефона, с помощью которого клиент сможет подтвердить свою личность, с помощью проверки лица и голоса.

На конец 2018 года еще не все банки приступили к сбору биометрических данных. Но поскольку участие в предоставлении биометрических данных добровольное, то, как будет расти число записей в ЕБС, абсолютно неясно.

В сентябре 2018 года в распоряжении Ростелекома имелось около 8 тыс записей, что объясняли периодом, когда только несколько банков начали прием биометрических данных. Но никаких исследований на тему, готовы ли граждане предоставлять в свое распоряжение эти самые биометрические данные, не проводилось.

Для банков участие в программе приводит к единовременным затратам в сумме до 5 млн рублей на отделение.

Эксплуатация этого решения требует также дополнительных расходов из-за наличия криптографических устройств в составе решения на стороне банка, да и услуги по биометрической аутентификации при дистанционном открытии счета будут бесплатны только в начальный период.

Есть и еще один подводный камень: клиентское приложение, с помощью которого клиент передает видео и голос в ЕБС, требует сертификации ФСБ. Время сертификации, как правило, составляет около года — за это время операционные системы мобильных устройств успевают не единожды обновиться и клиент будет либо вынужден работать с устаревшей платформой, либо сертификат при использовании новой версии операционной системы потеряет валидность.

Ну, и еще один штрих — для того, чтобы работать с ЕБС, надо иметь учетную запись в Единой Системе Идентификации и Аутентификации — что тоже требует похода ногами в уполномоченное учреждение.
Хотите узнать больше?
 
30 января 2019 года в Минске пройдет семинар на тему «Новые подходы к безопасности клиентов в банке». Бизнес-тренер семинара — Павел Есаков,  пресейл-эксперт по системам аутентификации, CSM.
 
Время и место проведения: 
 
30 января 2019 г, г. Минск, ул. Нарочанская, 6, конференц-зал гостиницы «Славянская».
 
9.30 – 10.00      Регистрация участников, приветственный кофе
11.40 – 12.00    Кофе-пауза
13.40 – 14.30    Обед
16.00 – 16.20    Кофе-пауза

Условия участия:

Стоимость входного билета  –  540 BYN

В стоимость семинара входят методические материалы, сертификаты, обеды и кофе. 
 
 

За дополнительной информацией, пожалуйста, обращайтесь к администратору мероприятия Ирине Сенько.

Тел. +375 17 256-17-71, -72 (город)
Тел. +375 29 653-38-11 (велком),
e-mail: 
[email protected]
 


Источник: www.infobank.by

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет
Другие новости