Опубликованный стандарт ЦБ по обеспечению безопасности финансовых сервисов с использованием цифровых отпечатков устройств может обернуться для банков трудностями и дополнительными тратами. По мнению экспертов, сомнения вызывает и эффективность разработанных правил. Впрочем, банки настроены внедрять стандарт для привлечения новых клиентов, несмотря на его рекомендательный характер.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Банк России опубликовал стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Он устанавливает для банков единые правила формирования, хранения и применения уникальных цифровых отпечатков устройств — набора параметров, позволяющих однозначно идентифицировать устройство пользователя, с помощью которого совершаются банковские и другие финансовые операции, пояснили в ЦБ. За счет стандартизации алгоритма сбора цифровых отпечатков устройств финансовые институты смогут эффективнее противодействовать операциям без согласия клиентов, считает регулятор. Вместе с тем стандарт носит рекомендательный характер.
Предполагается, что цифровой отпечаток устройства формируется из идентификаторов аппаратной части, версии ОС, версии установленного на устройстве браузера и «других системных и аппаратных параметров устройства», следует из документа.
ЦБ рекомендует кредитным организациям вести базу эталонных цифровых отпечатков устройства вместе с исходными значениями параметров устройства, а также цифровых отпечатков, полученных при выполнении пользователем финансовых операций вместе с данными по этим операциям.
Как считает ведущий консультант по информационной безопасности Aktiv.Consulting Александр Моисеев, стандарт преследует несколько целей: использовать «отпечатки» как дополнительный фактор аутентификации, как артефакт при расследовании инцидентов и отслеживании трансакций, а также как условный индикатор компрометации, то есть устройство, с которого неоднократно предпринимались попытки проведения компьютерных атак.
В ВТБ называют решение ЦБ о публикации стандарта своевременным и обещают ему следовать. В Альфа-банке согласны, что единый стандарт цифровых отпечатков принесет пользу рынку. В то же время директор департамента информационной безопасности МКБ Вячеслав Касимов отмечает, что использовать стандарт банк будет, «но после необходимых обсуждений и достижения понимания, что честных клиентов это никаким образом не затронет и не вызовет их неудобств».
Эксперты же открыто сомневаются в эффективности стандарта.
Основная масса злоумышленников использует социальную инженерию, то есть фактически через устройство жертвы. Косвенная польза от учета дропперов («обнальщиков») может быть, но она скажется скорее на затратах мошенников, а не на безопасности граждан, поясняет директор технического департамента RTM Group Федор Музалевский.
С помощью такого стандарта невозможно будет защититься и распознать мошеннические действия в случае кражи самого устройства или использования его дистанционно за счет получения непосредственного доступа к нему дистанционно с правами администратора, отмечает вице-президент Ассоциации банков России Алексей Войлуков. Также злоумышленниками часто используется целенаправленная маскировка — сейчас на маркетплейсах в даркнете продаются украденные «цифровые личности», добавляет господин Моисеев.
При этом у банков могут возникнуть трудности в выполнении требований стандарта.
По словам Алексея Войлукова, полноценный отпечаток по устройству по предложенным параметрам сложно получить, так как, например, автоматическая установка любых обновлений системы, браузера и других модулей сразу будет приводить к необходимости корректировки или изменению этого профиля. А обновления на телефонах выходят регулярно и довольно часто.
К трудностям с реализацией могут добавиться затраты, предупреждают эксперты. По оценке Федора Музалевского, расходы на внедрение в зависимости от банка могут составлять десятки и даже сотни миллионов рублей. Впрочем, на стоимости услуг это существенно не отразится, поскольку этот расход «размажут» равномерно по всем клиентам, как это делают в подобных случаях, и повышение будет в долях процента, отмечает он.