Безопасность в цифровых каналах: безопасность vs удобство
С одной стороны, все банки хотят сделать ДБО безопасным. С другой удобным, и чтобы все было одним движением или взглядом на экран. А такого достичь достаточно сложно. Практически всегда простота – снижение уровня безопасности (что прекрасно демонстрируют отчеты ФинЦерта). Сделать безопасным и простым – это высший пилотаж. Здесь требуются исключительные компетенции. Всегда надо смотреть «под капот» решения.
Когда мы даем клиентам перевести денежные средства и радуемся, что их платеж ушел без каких-либо дополнительных действий – задумайтесь, что происходит? При таком виде «подписи» финансовых транзакций и документов либо вообще ничего не происходит, либо подставляется ID-сессии, которая едина для любых переводов в ее рамках.
Многие говорят: «Мы внедрим подпись Touch ID/Face ID». Очень важно понимать, что касание руки пользователя экрана смартфона, взгляд в камеру или прикладывания пальца к считывателю – не электронная подпись, там не происходит криптографических преобразований документа!
Наша же с вами задача - обеспечить безопасность, надежность, доступность, и наконец, юридическую значимость подписи не меньше, чем искать удобство! Причем все это можно сделать нисколько не потеряв usability, а даже наоборот. Нужна нормальная мобильная электронная подпись, а не «пародия».
Настоящая мобильная подпись обеспечивает:
- контроль целостности и авторства транзакции или документа,
- формируется только на смартфоне пользователя и не может быть воспроизведена на устройстве злоумышленника,
- криптографические преобразования реквизитов платежа или электронного документа,
- четкую процедуру разбора конфликтных ситуаций.
При использовании мобильной ЭП клиенты защищены от наиболее распространенных атак: «перевыпуска» SIM-карты, фишинга, подмены документа, и от социальной инженерии. Во время подписи транзакций и документов клиент видит их реквизиты на своем смартфоне и подтверждает одним нажатием кнопки. Никаких дополнительных скретч-карт или криптокалькуляторов, никакой зависимости от наличия сотовой связи и скорости доставки SMS.
Мобильная подпись – это уровень защиты USB-токена, простое использование на устройстве, которое всегда с нами, а сами ключи защищены биометрией и еще много чем с большим количеством дополнительных фичей!