Безопасность
в цифровых каналах.
Видимая и подводная часть айсберга
Как упростить путь клиента без потери безопасности, и
почему каждый должен заниматься своим делом? Свои ответы
на эти вопросы предлагает Денис Калемберг,
генеральный директор компании SafeTech.
Все банки и производители систем ДБО стремятся сделать свои
системы и мобильные приложения максимально удобными и безопасными.
В идеале — пользователь получает возможность подтвердить
документ «одним движением руки», «одним взглядом в камеру
смартфона» или «одним касанием биометрического сенсора».
Скорее всего, неискушенному пользователю этого и будет достаточно
— он получит «ощущение удобства» и «ощущение защищенности»,
а что там в действительности происходит, как обеспечивается
безопасность, он даже не будет задумываться. Однако банки
смотрят на эти вопросы иначе. Как же сделать систему обслуживания
клиентов простой и удобной без потери безопасности?
SMS-сообщения и push-уведомления
— удобство или безопасность?
Развитие клиентского опыта в мобильном банкинге часто ограничено необходимостью находить компромисс между удобством и требованиями безопасности. Банки стремятся сделать свои приложения такими же удобными, как популярные цифровые сервисы, но не все UX-решения, которые уже являются стандартом в других отраслях, могут использоваться в мобильном приложении банка из-за более высоких стандартов защиты — эти приложения имеют прямой доступ к деньгам и личным данным клиентов. Одним из таких «стандартных» вопросов стала возможность или невозможность использования для подтверждения транзакций одноразовых кодов, передаваемых в SMS-сообщении или push-уведомлении.
К сожалению, в погоне за улучшением удобства и простоты использования (usability) цифровых каналов обслуживания, напрямую влияющего на число активных пользователей, банки зачастую предпочитали принимать риски кражи денег у клиентов, нежели внедрять сложные технологии подтверждения. Так, многие сделали акцент на одноразовые пароли в SMS-сообщениях. Безусловно, передача в SMS-сообщениях одноразовых паролей (OTP) и подтверждение ими операций были для своего времени «шагом вперед» к удобству и безопасности. Но когда небезопасность SMS уже всем стала очевидна, а цена на них выросла, то банки начали передавать коды подтверждения в push-уведомлениях (иногда даже с автоматической подстановкой), что также не позволило обеспечить безопасность транзакций по причинам, к которым мы еще вернемся.
Но хуже всего, что некоторые финансовые организации вообще перестали использовать подтверждение транзакций или сделали его номинальным или формальным — без задействования криптографических технологий и электронной подписи. Причем они даже стали говорить об «улучшении» клиентского опыта! Действительно, ведь клиентам стало так удобно и просто! Только вот такой подход не позволяет обеспечить ни эффективную защиту от мошенников, ни защиту позиции банка в случае судебного иска от пострадавшего или «якобы пострадавшего» пользователя.
Развитие клиентского опыта в мобильном банкинге часто ограничено необходимостью находить компромисс между удобством и требованиями безопасности. Банки стремятся сделать свои приложения такими же удобными, как популярные цифровые сервисы, но не все UX-решения, которые уже являются стандартом в других отраслях, могут использоваться в мобильном приложении банка из-за более высоких стандартов защиты — эти приложения имеют прямой доступ к деньгам и личным данным клиентов. Одним из таких «стандартных» вопросов стала возможность или невозможность использования для подтверждения транзакций одноразовых кодов, передаваемых в SMS-сообщении или push-уведомлении.
К сожалению, в погоне за улучшением удобства и простоты использования (usability) цифровых каналов обслуживания, напрямую влияющего на число активных пользователей, банки зачастую предпочитали принимать риски кражи денег у клиентов, нежели внедрять сложные технологии подтверждения. Так, многие сделали акцент на одноразовые пароли в SMS-сообщениях. Безусловно, передача в SMS-сообщениях одноразовых паролей (OTP) и подтверждение ими операций были для своего времени «шагом вперед» к удобству и безопасности. Но когда небезопасность SMS уже всем стала очевидна, а цена на них выросла, то банки начали передавать коды подтверждения в push-уведомлениях (иногда даже с автоматической подстановкой), что также не позволило обеспечить безопасность транзакций по причинам, к которым мы еще вернемся.
Но хуже всего, что некоторые финансовые организации вообще перестали использовать подтверждение транзакций или сделали его номинальным или формальным — без задействования криптографических технологий и электронной подписи. Причем они даже стали говорить об «улучшении» клиентского опыта! Действительно, ведь клиентам стало так удобно и просто! Только вот такой подход не позволяет обеспечить ни эффективную защиту от мошенников, ни защиту позиции банка в случае судебного иска от пострадавшего или «якобы пострадавшего» пользователя.
«Слабое звено» и как его
защитить
Следует признать, что одним из основных «слабых звеньев» в цифровых каналах обслуживания при использовании одноразовых паролей в SMS-сообщениях и push-уведомлениях является сам клиент и его неготовность в одиночку противостоять мошенникам. Когда пользователю звонит мнимый «сотрудник службы безопасности» банка или «представитель отдела по работе с клиентами», сообщает ему вежливым и поставленным голосом часть информации, например, имя, фамилию и отчество, то зачастую клиент под воздействием приемов социальной инженерии поддается на обман и сам открывает мошенникам информацию, необходимую для проведения несанкционированных транзакций.
В настоящее время коды, передаваемые в SMS-сообщениях и push-уведомлениях, уже неспособны защитить клиентов дистанционного обслуживания от наиболее распространенных атак: не только от подмены реквизитов платежа, перехвата SMS и злонамеренного ПО, но и от социальной инженерии. Да и сами сценарии использования одноразовых паролей в SMS и push уже не воспринимаются такими «удобными» — пользователи хотят подтверждать документы в цифровых каналах «в одно касание». Получается, что для защиты клиентов необходимы такие способы подтверждения транзакций, которые принципиально исключают передачу пользователям необходимой для этого информации.
Следует признать, что одним из основных «слабых звеньев» в цифровых каналах обслуживания при использовании одноразовых паролей в SMS-сообщениях и push-уведомлениях является сам клиент и его неготовность в одиночку противостоять мошенникам. Когда пользователю звонит мнимый «сотрудник службы безопасности» банка или «представитель отдела по работе с клиентами», сообщает ему вежливым и поставленным голосом часть информации, например, имя, фамилию и отчество, то зачастую клиент под воздействием приемов социальной инженерии поддается на обман и сам открывает мошенникам информацию, необходимую для проведения несанкционированных транзакций.
В настоящее время коды, передаваемые в SMS-сообщениях и push-уведомлениях, уже неспособны защитить клиентов дистанционного обслуживания от наиболее распространенных атак: не только от подмены реквизитов платежа, перехвата SMS и злонамеренного ПО, но и от социальной инженерии. Да и сами сценарии использования одноразовых паролей в SMS и push уже не воспринимаются такими «удобными» — пользователи хотят подтверждать документы в цифровых каналах «в одно касание». Получается, что для защиты клиентов необходимы такие способы подтверждения транзакций, которые принципиально исключают передачу пользователям необходимой для этого информации.
Электронная подпись. Когда
она настоящая?
Одним из способов обеспечения безопасности операций клиентов ДБО является использование для подтверждения транзакций технологий электронной подписи, а в условиях широкого распространения среди пользователей ДБО смартфонов — мобильной электронной подписи. Но все ли реализации электронной подписи корректны?
Некоторые банки, к сожалению, используют в своих цифровых каналах такие решения, которые вообще нельзя назвать «подписью», — после касания экрана смартфона, взгляда в камеру или прикладывания пальца к считывателю не происходит никаких криптографических преобразований. После этих действий либо вообще ничего не происходит, либо к операции подставляется ID сессии, который един для любых переводов в ее рамках. Все это даже отдаленно не похоже на хоть сколь-нибудь безопасное подтверждение. Создается лишь «иллюзия безопасности», «иллюзия подписи», которая приводит к атакам на клиентов и невозможности корректно разобрать конфликтную ситуацию. Но ведь банкам и клиентам недостаточно одного «ощущения защищенности»! Задача состоит в обеспечении реальной безопасности, надежности, доступности, наконец, юридической значимости подписи.
Одним из способов обеспечения безопасности операций клиентов ДБО является использование для подтверждения транзакций технологий электронной подписи, а в условиях широкого распространения среди пользователей ДБО смартфонов — мобильной электронной подписи. Но все ли реализации электронной подписи корректны?
Некоторые банки, к сожалению, используют в своих цифровых каналах такие решения, которые вообще нельзя назвать «подписью», — после касания экрана смартфона, взгляда в камеру или прикладывания пальца к считывателю не происходит никаких криптографических преобразований. После этих действий либо вообще ничего не происходит, либо к операции подставляется ID сессии, который един для любых переводов в ее рамках. Все это даже отдаленно не похоже на хоть сколь-нибудь безопасное подтверждение. Создается лишь «иллюзия безопасности», «иллюзия подписи», которая приводит к атакам на клиентов и невозможности корректно разобрать конфликтную ситуацию. Но ведь банкам и клиентам недостаточно одного «ощущения защищенности»! Задача состоит в обеспечении реальной безопасности, надежности, доступности, наконец, юридической значимости подписи.
Что же такое «настоящая» или «полноценная» мобильная подпись?
Настоящая мобильная подпись обеспечивает контроль целостности
и авторства транзакции или документа. Настоящая подпись
формируется только на смартфоне пользователя и не может
быть воспроизведена на устройстве злоумышленника. Настоящая
подпись есть результат криптографических преобразований
реквизитов платежа или электронного документа. И, наконец,
настоящая подпись подразумевает четкую процедуру разбора
конфликтных ситуаций.
Решение PayControl
— успешная реализация мобильной подписи
Несколько лет назад компания SafeTech представила рынку свою платформу PayControl для подписи «в смартфоне», призванную свести к нулю риски, возникающие при использовании SMS- и push-кодов. Это решение превращает мобильное устройство в удобный и очень мобильный аналог привычного USB-токена, в котором формируется электронная подпись. Теперь высокий уровень безопасности операций, который раньше был доступен только в ДБО юридических лиц и исключительно на рабочих компьютерах, стал доступен всем пользователям.
PayControl полностью блокирует распространенные атаки на клиентов систем ДБО, такие как перевыпуск SIM-карты, фишинг, подмена документа и, самое главное, резко снижает эффективность социальной инженерии. При подтверждении своего волеизъявления пользователь имеет возможность на экране смартфона убедиться в корректности данных операции или электронного документа и сформировать под ними подпись независимо от того, на каком устройстве они были созданы. Никаких дополнительных скретч-карт или криптокалькуляторов, никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl не сложнее, чем звонок с мобильного телефона.
Основное преимущество PayControl по сравнению с «традиционными» способами подтверждения платежей, в частности, одноразовым паролем в SMS-сообщении или в push-уведомлении, заключается в том, что код подтверждения операции формируется непосредственно на мобильном устройстве клиента. Код привязывается к реквизитам транзакции, уникальным характеристикам смартфона пользователя, и даже гипотетический перехват мошенниками этого кода не приведет к краже средств со счета.
И самое главное, что PayControl позволяет исключить принципиальную возможность сообщить злоумышленнику какой-либо код. Пользователь самостоятельно подтверждает транзакции мобильной электронной подписью, но лишь после просмотра полных реквизитов платежа и только со своего смартфона. Это исключает возможность подтвердить документ без желания и контроля клиентом, обеспечивает юридическую значимость, контроль целостности и авторства.
Несколько лет назад компания SafeTech представила рынку свою платформу PayControl для подписи «в смартфоне», призванную свести к нулю риски, возникающие при использовании SMS- и push-кодов. Это решение превращает мобильное устройство в удобный и очень мобильный аналог привычного USB-токена, в котором формируется электронная подпись. Теперь высокий уровень безопасности операций, который раньше был доступен только в ДБО юридических лиц и исключительно на рабочих компьютерах, стал доступен всем пользователям.
PayControl полностью блокирует распространенные атаки на клиентов систем ДБО, такие как перевыпуск SIM-карты, фишинг, подмена документа и, самое главное, резко снижает эффективность социальной инженерии. При подтверждении своего волеизъявления пользователь имеет возможность на экране смартфона убедиться в корректности данных операции или электронного документа и сформировать под ними подпись независимо от того, на каком устройстве они были созданы. Никаких дополнительных скретч-карт или криптокалькуляторов, никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl не сложнее, чем звонок с мобильного телефона.
Основное преимущество PayControl по сравнению с «традиционными» способами подтверждения платежей, в частности, одноразовым паролем в SMS-сообщении или в push-уведомлении, заключается в том, что код подтверждения операции формируется непосредственно на мобильном устройстве клиента. Код привязывается к реквизитам транзакции, уникальным характеристикам смартфона пользователя, и даже гипотетический перехват мошенниками этого кода не приведет к краже средств со счета.
И самое главное, что PayControl позволяет исключить принципиальную возможность сообщить злоумышленнику какой-либо код. Пользователь самостоятельно подтверждает транзакции мобильной электронной подписью, но лишь после просмотра полных реквизитов платежа и только со своего смартфона. Это исключает возможность подтвердить документ без желания и контроля клиентом, обеспечивает юридическую значимость, контроль целостности и авторства.
Видимая и
подводная часть айсберга
PayControl обладает еще одним убедительным преимуществом, а именно — простотой. Простота встраивания в цифровые каналы банка, простота подключения клиентов к системе ДБО, простота формирования мобильной подписи транзакций и документов на смартфоне пользователя — все это «видимая часть айсберга». И именно упомянутая простота иногда приводит некоторых экспертов к мысли «сэкономить» и разработать аналогичное решение самостоятельно. Однако они забывают, что видят лишь надводную часть «айсберга» под названием PayControl, забывая о сложных решениях, составляющих его платформу. А также — о необходимости разработки такой платформы и поддержании ее в актуальном состоянии.
Начнем с того, что сам по себе продукт PayControl — сложное комплексное решение для формирования криптографической электронной подписи, которую не заменить «простым прикладыванием» к документу значения ID-сессии, «простым прикладыванием» к нему данных пользователя, считанных посредством Touch ID, и Face ID, или «автоподстановкой» одноразового кода из SMS-сообщения либо push-уведомления, и уж совсем точно не заменить «простым нажатием» кнопки «Подписать», которое не влечет за собой вообще ничего.
Мобильная подпись PayControl является результатом криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа), она формируется с использованием асимметричных криптографических алгоритмов и уникальных характеристик конкретного смартфона. Ключи электронной подписи и ключи проверки электронной подписи определенным образом вырабатываются, защищаются, шифруются, к ним также определенным образом организуется доступ их владельца. Таким образом, PayControl реализует такую электронную подпись, которая раньше была возможна только на стационарном компьютере с установленным криптопровайдером и USB-токеном.
Во-вторых, продукт PayControl — это не просто «подписалка». Он включает в себя набор функциональных модулей: мобильной электронной подписи, разбора конфликтных ситуаций, push-информирования о транзакциях, а также дополнительной биометрической аутентификации клиентов, раннего предотвращения мошенничества. Из этих «модулей» каждый банк и собирает свой уникальный сервис. Обычно объем внедрения определяется потребностями конкретного бизнес-заказчика и его клиентов.
В-третьих, даже если банк предпочтет создать компромиссное решение между «подписалкой» и полноценной платформой, то он все равно не сможет сэкономить. Для разработки потребуется профессиональная команда, включая экспертов в области криптографии, информационной безопасности, в области мобильного и интернет-банка. Парадокс в том, даже после завершения разработки придется все время содержать эту команду и совершенствовать продукт. Судите сами: рано или поздно будет разработана новая атака, реализуемая новым методом, которую потребуется «закрыть». Потребуется изучать разработки злоумышленников, поддерживать, обновлять и сопровождать даже это «компромиссное» решение, а в итоге — становиться специализированной компанией-разработчиком средств защиты. А выполнение несвойственных функций для любой организации, как мы знаем, экономически целесообразным являться не может.
PayControl обладает еще одним убедительным преимуществом, а именно — простотой. Простота встраивания в цифровые каналы банка, простота подключения клиентов к системе ДБО, простота формирования мобильной подписи транзакций и документов на смартфоне пользователя — все это «видимая часть айсберга». И именно упомянутая простота иногда приводит некоторых экспертов к мысли «сэкономить» и разработать аналогичное решение самостоятельно. Однако они забывают, что видят лишь надводную часть «айсберга» под названием PayControl, забывая о сложных решениях, составляющих его платформу. А также — о необходимости разработки такой платформы и поддержании ее в актуальном состоянии.
Начнем с того, что сам по себе продукт PayControl — сложное комплексное решение для формирования криптографической электронной подписи, которую не заменить «простым прикладыванием» к документу значения ID-сессии, «простым прикладыванием» к нему данных пользователя, считанных посредством Touch ID, и Face ID, или «автоподстановкой» одноразового кода из SMS-сообщения либо push-уведомления, и уж совсем точно не заменить «простым нажатием» кнопки «Подписать», которое не влечет за собой вообще ничего.
Мобильная подпись PayControl является результатом криптографических преобразований подписываемой информации (реквизитов конкретной финансовой транзакции или электронного документа), она формируется с использованием асимметричных криптографических алгоритмов и уникальных характеристик конкретного смартфона. Ключи электронной подписи и ключи проверки электронной подписи определенным образом вырабатываются, защищаются, шифруются, к ним также определенным образом организуется доступ их владельца. Таким образом, PayControl реализует такую электронную подпись, которая раньше была возможна только на стационарном компьютере с установленным криптопровайдером и USB-токеном.
Во-вторых, продукт PayControl — это не просто «подписалка». Он включает в себя набор функциональных модулей: мобильной электронной подписи, разбора конфликтных ситуаций, push-информирования о транзакциях, а также дополнительной биометрической аутентификации клиентов, раннего предотвращения мошенничества. Из этих «модулей» каждый банк и собирает свой уникальный сервис. Обычно объем внедрения определяется потребностями конкретного бизнес-заказчика и его клиентов.
В-третьих, даже если банк предпочтет создать компромиссное решение между «подписалкой» и полноценной платформой, то он все равно не сможет сэкономить. Для разработки потребуется профессиональная команда, включая экспертов в области криптографии, информационной безопасности, в области мобильного и интернет-банка. Парадокс в том, даже после завершения разработки придется все время содержать эту команду и совершенствовать продукт. Судите сами: рано или поздно будет разработана новая атака, реализуемая новым методом, которую потребуется «закрыть». Потребуется изучать разработки злоумышленников, поддерживать, обновлять и сопровождать даже это «компромиссное» решение, а в итоге — становиться специализированной компанией-разработчиком средств защиты. А выполнение несвойственных функций для любой организации, как мы знаем, экономически целесообразным являться не может.
Компания SafeTech готова предоставить вам уже готовую платформу
PayControl со всеми ее механизмами защиты, чтобы вы могли
сконцентрироваться на профильном бизнесе, на создании удобных
и современных цифровых сервисов. А сделать ваши цифровые
каналы максимально безопасными поможем мы!