Безопасность в цифровых каналах. 5 глубоких заблуждений о способах защиты транзакций
Первое, о чем мы часто слышим это то, что «мобильная подпись нужна только юр.лицам, а физикам и «на пушах сойдет». Еще и документы «пушом» подпишем. Да-да, конечно, юр.лица должны быть хорошо защищены, так как там проходят самые большие суммы финансовых операций. Однако, клиенты физические лица, также должны иметь не менее высокий уровень безопасности и возможность не переживать за свои средства. В настоящее время ДБО физических лиц буквально «захлестнула» волна мошенничества с применением социальной инженерии — по информации ФинЦЕРТ Банка России только в 2018 году с ее использованием было совершено более 97% хищений. Это ли не повод еще раз обратить особое внимание на безопасность клиентов и понять, что физлица тоже заслуживают внимания?
Второе заблуждение– это то, что проблему дорогой и небезопасной передачи через SMS одноразового кода подтверждения операции физического лица может решить использование Push-уведомлений. Однако, это далеко не так. Во-первых, что передача кода подтверждения не обеспечивает целостности и авторства «подписываемого» документа и в случае судебного инцидента такая подпись не будет воспринята всерьез. Во-вторых, еще и эти коды подтверждения очень легко перехватываются. Пока вы сладко спите на подушке, ваши деньги уходят мошенникам, на ваши карточки покупаются чайники и шубы. Поэтому даже производители мобильных операционных систем запрещают использование Push-уведомлений для передачи «банковских паролей».
Третье заблуждение, что «социальная инженерия» это исключительно проблема самих клиентов и ответственность за передачу данных и доступа к своим счетам лежит на их плечах. Что банки не способны обезопасить тех, кто сам делится конфиденциальной информацией. Остается только принять риски, а убытки уже перекладываются на клиентов. Эта позиция В КОРНЕ не верна! Полноценная мобильная электронная подпись, реализованная на асимметричных криптографических алгоритмах, вообще исключает необходимость сообщать мошенникам чувствительную информацию. Клиент с одной стороны видит, что он подписывает, видит полные реквизиты, а не обрывок PUSH’a или SMS, с другой - не может сообщить что-либо мошенникам, поскольку подпись происходит прямо в его смартфоне и больше нигде. Это позволяет клиенту чувствовать себя защищенным от внешних воздействий.
Четвертое: «средствами Touch ID и Face ID тоже можно что-то подписать». Звучит здорово, но это далеко не так) Биометрические возможности смартфонов пользователей не относятся к системам, в которых уникальные данные клиентов хранятся и проверяются в защищенной серверной инфраструктуре банка. Биометрические решения на смартфоне могут помочь аутентифицировать клиента, получить доступ к ключу электронной подписи, но не могут «подменить» собой средства полноценной электронной подписи. Про биометрическую аутентификацию мы, как раз, говорили в прошлый раз. Поэтому если «под» Touch ID/FaceID не скрывается ключ электронной подписи – это все чистой воды фейк!!! Будьте внимательны, когда создаете безопасные системы. Далеко не все, что выглядит просто и логично – таким и является.
И, последнее — ключи мобильной электронной подписи якобы уязвимы. На сегодняшний день за это вообще не стоит переживать, так как технологии передачи и хранения на смартфоне ключей электронной подписи получили существенное развитие. Ключ передаётся по частям, по нескольким каналам, хранится в зашифрованном виде в специальном контейнере. Он привязывается к аппарату смартфона, не может покинуть телефон или быть использован на другом устройстве. Большое количество технологической «магии», которую подделать не легко. За 5 лет ни одного случая хищения на миллионы пользователей. Плюс для проведения высоко-рисковых операций, таких как обновление смартфона или перевыпуск ключа, возможна еще и дополнительная биометрическая аутентификация, которая избавит от необходимости гнать клиента в офис или принимать высокие риски.
Всем безопасности в телефон!!!