{"id":14255,"url":"\/distributions\/14255\/click?bit=1&hash=285b001e00cf7484224a6ff681b6d172d7d7337a0afbdd4342d725cf62cb249b","title":"\u0411\u044b\u043b\u0438 \u0432 \u0434\u0435\u0441\u044f\u0442\u043a\u0430\u0445 \u043e\u0442\u0435\u043b\u0435\u0439, \u043d\u043e \u043d\u0438 \u043e\u0434\u0438\u043d \u043d\u0435 \u0432\u043f\u0435\u0447\u0430\u0442\u043b\u0438\u043b?","buttonText":"\u0427\u0442\u043e \u0434\u0435\u043b\u0430\u0442\u044c","imageUuid":"4c6db631-4d4c-530c-9750-cf992e251f9d"}

5 мифов об электронной подписи и цифровых каналах

Постепенно исчерпался список вопросов, на которые мы собирались ответить в рамках рубрики «Мобильная подпись — всем и каждому». Мы обсудили проблему защищенности систем ДБО для обслуживания юридических и, особенно, физических лиц, рассмотрели статистику инцидентов, поговорили о видах электронной подписи, особенностях их внедрения в ДБО, преимуществах использования мобильной ЭП по сравнению с «традиционными» средствами подтверждения транзакций и документов, а также возможностях, которые она открывает для развития бизнеса и создания инновационных сервисов. Осталось буквально несколько вопросов, среди которых «мифы об использовании мобильной электронной подписи в цифровых каналах обслуживания». Иногда в банках возникает свое понимание некоторых вопросов, свои сомнения и свой скептический взгляд. Поговорим об этих «мифах»?

Миф первый – «продвинутая» электронная подпись с отображением реквизитов, контролем авторства и целостности нужна только для обслуживания юридических лиц. Конечно же это не так. В настоящее время ДБО физических лиц буквально «захлестнула» волна мошенничества с применением социальной инженерии — по информации ФинЦЕРТ Банка России только в 2018 году с ее использованием было совершено более 97% хищений. В такой ситуации мобильная электронная подпись как нельзя лучше подходит для защиты частных клиентов. Судите сами: если подтверждение транзакции происходит на смартфоне и без одноразового кода, то клиенту просто нечего сообщить мошенникам!

Миф второй — проблема социальной инженерии, это проблема клиента, он сам «отдает» мошенникам информацию, необходимую для проведения несанкционированных транзакций, поэтому банк, в любом случае, не сможет «спасти того, кто обречен». Остается только «принять эти риски», а убытки пусть лягут на клиентов. С этой постановкой мы тоже не согласны. Полноценная мобильная электронная подпись, реализованная на ассиметричных криптографических алгоритмах, вообще избавляет от необходимости высылать клиенту какую-либо информацию для подтверждения транзакций и документов. Клиент с одной стороны видит, что он подписывает, с другой - не может сообщить что-либо мошенникам, поскольку подпись происходит прямо в его смартфоне. Таким образом он перестает быть «слабым звеном» системы ДБО, проблема решается!

Миф третий — проблему дорогой и небезопасной передачи через SMS одноразового кода подтверждения операции физического лица может решить использование Push-уведомлений. К сожалению, это тоже не так. Передача кода подтверждения не обеспечивает целостности и авторства «подписываемого» документа, поэтому является нарушением требований регулятора отрасли, а в случае возникновения инцидента — с большой степенью вероятности может не быть принятой в расчет судебными органами (подробнее мы писали об этом 3 апреля). Помимо этого, коды подтверждения очень легко перехватываются. Вы спите, а ваши деньги уходят мошенникам. Скорее всего крупнейшие производители мобильных операционных систем о чем-то подобном подозревают, поэтому прямо запрещают использование Push-уведомлений для передачи «банковских паролей». При невыполнении требований могут применить санкции, вплоть до исключения мобильного ПО из магазинов приложений.

Миф четвертый — средствами Touch ID и Face ID тоже можно что-то подписать. Было бы очень удобно, но, к сожалению, и это не так. Биометрические возможности смартфонов пользователей не относятся к системам, в которых уникальные данные клиентов хранятся и проверяются в защищенной серверной инфраструктуре банка.

Биометрические решения на смартфоне могут помочь аутентифицировать клиента, получить доступ к ключу электронной подписи, но не могут «подменить» собой средства полноценной электронной подписи (об этом мы говорили 15 мая).И, наконец, миф пятый — уязвимость ключей мобильной электронной подписи. Технологии передачи и хранения на смартфоне ключей электронной подписи получили в настоящее время существенное развитие. Ключ передается по частям, по нескольким каналам, хранится в зашифрованном виде в специальном контейнере. А в случае критически важных операций, обновления смартфона или перевыпуска ключа, возможна еще и дополнительная биометрическая аутентификация, которая избавит от необходимости гнать клиента в офис или принимать высокие риски.

Если у вас еще остались какие-то вопросы о внедрении и использовании мобильной электронной подписи, то мы с удовольствием на них ответим. К вашим услугам опыт проектов, реализованных с использованием наших технологий, а также экспертиза наших ведущих специалистов.

0
Комментарии
-3 комментариев
Раскрывать всегда