Банкинг вторым номером
За реформу информбезопасности кредитных организаций придется расплачиваться банковским клиентам. Стремясь защитить средства граждан и компаний от хищений, ЦБ требует от банков «разделения технологий» или введения ограничений по платежам. В итоге данные требования могут вылиться в том числе и в необходимость иметь два мобильных телефона или электронную цифровую подпись для работы с мобильным банком.
Как сообщил “Ъ” глава комитета АРБ по банковской безопасности Александр Велигура, ассоциация готовит запрос в ЦБ с просьбой пояснить вступившие в силу с 1 июля поправки к положению о требованиях к информационной безопасности банков (382-П). Проблема оказалась в пункте 2.10.5 документа. Он вводит новое требование — в случае когда кредитная организация не может обеспечить «непосредственный контроль защиты информации от воздействия вредоносного кода» по платежам клиентов, банку необходимо обеспечить раздельные технологии при подготовке платежа клиентом и при его подтверждении.
Эти меры должны позволять в том числе использовать различные программные среды для формирования платежки и подтверждения трансакции, а также сверять реквизиты платежного документа как в момент формирования, так и на этапе подтверждения. Если же применение раздельных технологий невозможно, банкам необходимо установить ограничения по сумме трансакции, перечню получателей, временному периоду совершения трансакций, по устройствам, на которых может быть сформирован платежный документ и какими подтвержден, а также по географии плательщика.
Термин «раздельные технологии» весьма размыт и не до конца ясно, что хотел регулятор, отмечают специалисты по информационной безопасности.
Например, при проведении платежей через мобильный банк используется всего одно устройство — телефон. Может ли он обеспечить разделение технологий? Мнения экспертов расходятся. «Широко используемые сейчас SMS/PUSH-коды уже не обеспечивают защиту от хищения денег при переводах»,— отмечает гендиректор SafeTech Денис Калемберг. Поэтому, по его мнению, «для работы с мобильным банком может быть применено компактное устройство с возможностью контроля реквизитов, подключающееся к смартфону по Bluetooth». Как отмечает директор департамента розничных продуктов МКБ Алексей Охорзин, при нарушении контура безопасности мобильных операционных систем необходимо использовать резервные каналы подтверждения операций. По его словам, этими каналами могут быть резервный смартфон для получения СМС- и PUSH-паролей, генератор паролей, звонок в колл-центр, мобильная версия интернет-банка в веб-браузере либо физическое устройство с ЭЦП. Впрочем, есть способы подтверждения без дополнительных устройств. «Операции можно подтверждать секретным паролем, направляемым, например, по специальной ссылке в браузере, или же с помощью пароля в личном кабинете на сайте банка»,— указывает управляющий директор управления по работе с розничным бизнесом Росевробанка Артем Гребнев.
Однако на практике любые подобные новации могут вызвать негатив со стороны клиентов банков, поскольку для них использование мобильного банка либо станет дороже (за счет приобретения дополнительного устройства), либо будет занимать больше времени. Как вариант — обойти требование регулятора. Например, использовать так называемый контроль кода, то есть супермегаантивирус, встроенный в мобильный банк. По словам зампреда СДМ-банка Олега Илюхина, приложения должны быть защищены от установки на «серые» смартфоны и на смартфоны со «сломанной» нелицензированной операционной системой, а именно такие смартфоны наиболее уязвимы перед вредоносным ПО. По словам Артема Гребнева, также должно быть распознавание встроенной прошивки и контроль целостности вложений. Возможен и другой вариант. «Положение содержит допущения в виде возможности несоблюдения этого требования в случае введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т. п.)»,— отмечает управляющий директор по ИТ и технологиям Абсолют-банка Наталья Поздеева. Он не требует от банков дополнительных затрат и однозначно будет принят регулятором как защита средств клиентов.
Банкиры ждут пояснений от ЦБ — хотя требование о раздельных технологиях и вступает в силу с 1 января 2020 года, им потребуется вносить существенные изменения в программное обеспечение. Однако пока их нет. Не ответил ЦБ и на запрос “Ъ”.
Как сообщил “Ъ” глава комитета АРБ по банковской безопасности Александр Велигура, ассоциация готовит запрос в ЦБ с просьбой пояснить вступившие в силу с 1 июля поправки к положению о требованиях к информационной безопасности банков (382-П). Проблема оказалась в пункте 2.10.5 документа. Он вводит новое требование — в случае когда кредитная организация не может обеспечить «непосредственный контроль защиты информации от воздействия вредоносного кода» по платежам клиентов, банку необходимо обеспечить раздельные технологии при подготовке платежа клиентом и при его подтверждении.
Эти меры должны позволять в том числе использовать различные программные среды для формирования платежки и подтверждения трансакции, а также сверять реквизиты платежного документа как в момент формирования, так и на этапе подтверждения. Если же применение раздельных технологий невозможно, банкам необходимо установить ограничения по сумме трансакции, перечню получателей, временному периоду совершения трансакций, по устройствам, на которых может быть сформирован платежный документ и какими подтвержден, а также по географии плательщика.
Термин «раздельные технологии» весьма размыт и не до конца ясно, что хотел регулятор, отмечают специалисты по информационной безопасности.
Например, при проведении платежей через мобильный банк используется всего одно устройство — телефон. Может ли он обеспечить разделение технологий? Мнения экспертов расходятся. «Широко используемые сейчас SMS/PUSH-коды уже не обеспечивают защиту от хищения денег при переводах»,— отмечает гендиректор SafeTech Денис Калемберг. Поэтому, по его мнению, «для работы с мобильным банком может быть применено компактное устройство с возможностью контроля реквизитов, подключающееся к смартфону по Bluetooth». Как отмечает директор департамента розничных продуктов МКБ Алексей Охорзин, при нарушении контура безопасности мобильных операционных систем необходимо использовать резервные каналы подтверждения операций. По его словам, этими каналами могут быть резервный смартфон для получения СМС- и PUSH-паролей, генератор паролей, звонок в колл-центр, мобильная версия интернет-банка в веб-браузере либо физическое устройство с ЭЦП. Впрочем, есть способы подтверждения без дополнительных устройств. «Операции можно подтверждать секретным паролем, направляемым, например, по специальной ссылке в браузере, или же с помощью пароля в личном кабинете на сайте банка»,— указывает управляющий директор управления по работе с розничным бизнесом Росевробанка Артем Гребнев.
Однако на практике любые подобные новации могут вызвать негатив со стороны клиентов банков, поскольку для них использование мобильного банка либо станет дороже (за счет приобретения дополнительного устройства), либо будет занимать больше времени. Как вариант — обойти требование регулятора. Например, использовать так называемый контроль кода, то есть супермегаантивирус, встроенный в мобильный банк. По словам зампреда СДМ-банка Олега Илюхина, приложения должны быть защищены от установки на «серые» смартфоны и на смартфоны со «сломанной» нелицензированной операционной системой, а именно такие смартфоны наиболее уязвимы перед вредоносным ПО. По словам Артема Гребнева, также должно быть распознавание встроенной прошивки и контроль целостности вложений. Возможен и другой вариант. «Положение содержит допущения в виде возможности несоблюдения этого требования в случае введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т. п.)»,— отмечает управляющий директор по ИТ и технологиям Абсолют-банка Наталья Поздеева. Он не требует от банков дополнительных затрат и однозначно будет принят регулятором как защита средств клиентов.
Банкиры ждут пояснений от ЦБ — хотя требование о раздельных технологиях и вступает в силу с 1 января 2020 года, им потребуется вносить существенные изменения в программное обеспечение. Однако пока их нет. Не ответил ЦБ и на запрос “Ъ”.
Читайте также
Банк Уралсиб предлагает вклад «Комфорт Плюс» с плавающей ставкой
Банк Уралсиб предлагает вклад «Комфорт Плюс» с плавающей ставкой
ВТБ предоставит бесплатную телемедицину получателям детских пособий
ВТБ расширяет бесплатную программу детского страхования
Трансстройбанк ввел «Юбилейный» вклад в юанях
В честь дня рождения банка, Трансстройбанк ввел вклад «Юбилейный» в китайских юанях
Кредитная карта – памятка для userов
Краткий обзор текущих предложений и условий кредитных карт
ВТБ выяснил, сколько россиян планируют отпуск между майскими праздниками
14% жителей ПФО планирует взять отпуск на майские праздники, чтобы продлить себе отдых или отправится в путешествие
Доходность по соцвкладу предложили отвязать от уровня ключевой ставки
Такое предложение было внесено в текст законопроекта ко второму чтению
Западные банки отказываются выдавать россиянам справки о хранении ценных бумаг
Это препятствует выводу бумаг в отечественные депозитарии и проведению замещения еврооблигаций
«Тинькофф» получит розничный бизнес Росбанка до конца 2024 года
Объединение двух банков в холдинг начнется с розничного бизнеса
МФО стали реже отклонять заявки граждан на займы
Банковские заемщики перетекают в МФО из-за ограничений ЦБ
«Историческая ситуация». Ценам на вторичку предсказали резкий взлет
Ситуация, когда разница цен между первичным и вторичным рынками находится на историческом максимуме в 40%, должна рано или поздно выправиться