Постепенно исчерпался список вопросов, на которые мы собирались ответить в рамках рубрики «Мобильная подпись — всем и каждому». Мы обсудили проблему защищенности систем ДБО для обслуживания юридических и, особенно, физических лиц, рассмотрели статистику инцидентов, поговорили о видах электронной подписи, особенностях их внедрения в ДБО, преимуществах использования мобильной ЭП по сравнению с «традиционными» средствами подтверждения транзакций и документов, а также возможностях, которые она открывает для развития бизнеса и создания инновационных сервисов. Осталось буквально несколько вопросов, среди которых «мифы об использовании мобильной электронной подписи в цифровых каналах обслуживания». Иногда в банках возникает свое понимание некоторых вопросов, свои сомнения и свой скептический взгляд. Поговорим об этих «мифах»?
Миф первый – «продвинутая» электронная подпись с отображением реквизитов, контролем авторства и целостности нужна только для обслуживания юридических лиц. Конечно же это не так. В настоящее время ДБО физических лиц буквально «захлестнула» волна мошенничества с применением социальной инженерии — по информации ФинЦЕРТ Банка России только в 2018 году с ее использованием было совершено более 97% хищений. В такой ситуации мобильная электронная подпись как нельзя лучше подходит для защиты частных клиентов. Судите сами: если подтверждение транзакции происходит на смартфоне и без одноразового кода, то клиенту просто нечего сообщить мошенникам!
Миф второй — проблема социальной инженерии, это проблема клиента, он сам «отдает» мошенникам информацию, необходимую для проведения несанкционированных транзакций, поэтому банк, в любом случае, не сможет «спасти того, кто обречен». Остается только «принять эти риски», а убытки пусть лягут на клиентов. С этой постановкой мы тоже не согласны. Полноценная мобильная электронная подпись, реализованная на ассиметричных криптографических алгоритмах, вообще избавляет от необходимости высылать клиенту какую-либо информацию для подтверждения транзакций и документов. Клиент с одной стороны видит, что он подписывает, с другой - не может сообщить что-либо мошенникам, поскольку подпись происходит прямо в его смартфоне. Таким образом он перестает быть «слабым звеном» системы ДБО, проблема решается!
Миф третий — проблему дорогой и небезопасной передачи через SMS одноразового кода подтверждения операции физического лица может решить использование Push-уведомлений. К сожалению, это тоже не так. Передача кода подтверждения не обеспечивает целостности и авторства «подписываемого» документа, поэтому является нарушением требований регулятора отрасли, а в случае возникновения инцидента — с большой степенью вероятности может не быть принятой в расчет судебными органами (подробнее мы писали об этом 3 апреля). Помимо этого, коды подтверждения очень легко перехватываются. Вы спите, а ваши деньги уходят мошенникам. Скорее всего крупнейшие производители мобильных операционных систем о чем-то подобном подозревают, поэтому прямо запрещают использование Push-уведомлений для передачи «банковских паролей». При невыполнении требований могут применить санкции, вплоть до исключения мобильного ПО из магазинов приложений.
Миф четвертый — средствами Touch ID и Face ID тоже можно что-то подписать. Было бы очень удобно, но, к сожалению, и это не так. Биометрические возможности смартфонов пользователей не относятся к системам, в которых уникальные данные клиентов хранятся и проверяются в защищенной серверной инфраструктуре банка.
Биометрические решения на смартфоне могут помочь аутентифицировать клиента, получить доступ к ключу электронной подписи, но не могут «подменить» собой средства полноценной электронной подписи (об этом мы говорили 15 мая).И, наконец, миф пятый — уязвимость ключей мобильной электронной подписи. Технологии передачи и хранения на смартфоне ключей электронной подписи получили в настоящее время существенное развитие. Ключ передается по частям, по нескольким каналам, хранится в зашифрованном виде в специальном контейнере. А в случае критически важных операций, обновления смартфона или перевыпуска ключа, возможна еще и дополнительная биометрическая аутентификация, которая избавит от необходимости гнать клиента в офис или принимать высокие риски.
Если у вас еще остались какие-то вопросы о внедрении и использовании мобильной электронной подписи, то мы с удовольствием на них ответим. К вашим услугам опыт проектов, реализованных с использованием наших технологий, а также экспертиза наших ведущих специалистов.