«Оптический токен»… на смартфоне

«Оптический токен»… на смартфоне

Вступление в силу ст. 9 ФЗ-161 «О национальной платёжной системе» может в корне изменить ситуацию вокруг безопасности систем дистанционного банкинга в России. Уже сегодня можно наблюдать, как меняется подход банков к проблеме разделения рисков с клиентами. Буквально недавно на вопрос, планируется ли повышать уровень безопасности системы ДБО, очень часто можно было услышать «А зачем? У нас клиенты сами отвечают за свою безопасность. Если деньги украдут, банк не понесет никаких убытков».

Начиная с 1 января 2014 года, в случае кражи денег у клиента, банку придется сначала вернуть ему средства на счет, а затем проводить расследование, по результатам которого принимать решение, нарушал ли клиент порядок использования электронного средства платежа или нет. Если же клиент докажет, что не получал уведомления о совершаемой операции, то банк априори должен будет взять убыток на себя.

В чью пользу будут принимать решения российские суды, покажет только время, а сейчас банкам необходимо решить две мало пересекающиеся задачи:

1. Повысить реальную защищенность своих систем дистанционного обслуживания для уменьшения количества инцидентов хищений.
2. Обеспечить выполнение всех требований законодательства, чтобы в случае возникновения инцидента банк мог доказать свою правоту в суде.

При этом пути, которыми придется решать эти задачи, для систем ДБО юридических лиц и физических лиц довольно сильно отличаются. Рассмотрим их более подробно.

Для подтверждения юридической значимости финансовых операций по счетам юридических лиц в России обычно де-факто применяется усиленная квалифицированная электронная подпись (ЭП). Сертифицированные криптосредства требуется применять в обязательном порядке только в том случае, если в банке обслуживаются государственные предприятия, однако и в случае разбора конфликтной ситуации с коммерческой структурой суды намного охотнее встают на сторону банка, «прикрытого» бумагой от ФСБ России.

Кроме того, данная технология позволяет обеспечить высокую защищенность подписанного документа от модификации, а также неотказуемость авторства. С другой стороны, уязвимости современных операционных систем не гарантируют, что средством подписи не воспользуется внешний мошенник без ведома пользователя. Или что подлинный документ не будет подменен в момент передачи его на подпись. Именно эту уязвимость технологии ЭП, наверное, имели ввиду разработчики ФЗ-63 «Об электронной подписи», когда в требованиях к средству электронной подписи (п.12) указали:

«При создании электронной подписи средства электронной подписи должны:

1. Показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2. Создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи».

При этом, конечно, не совсем понятно, каким образом средство электронной подписи должно отображать подписываемый звуковой или бинарный файл. Следует также отметить, что функционирующие в недоверенной операционной системе (ОС) программные средства ЭП с возможностью отображения подписываемого документа никак не защищены от упомянутых атак.

Соответственно, задача повышения безопасности операции подписи может быть решена двумя способами: либо созданием «замкнутой» ОС прямо на компьютере клиента, либо вынесением функций отображения подписываемого документа и подтверждения операции подписи на доверенное, внешнее по отношению к компьютеру устройство. При этом после нажатия кнопки подтверждения операции, документ должен напрямую попадать на подпись в аппаратное СКЗИ, минуя компьютер.

Как показывает практика, первый вариант малоприменим либо по экономическим характеристикам (реализация обойдется примерно в 10,000 руб. на одно рабочее место), либо по эксплуатационным, так как потребует от клиента регулярно перезагружать компьютер для входа в доверенную среду, где можно будет произвести операцию подписи.

Вариант с внешним устройством для визуализации документа и подтверждения операции ЭП выглядит более привлекательным, в силу того, что стоимость таких устройств составляет от 1 600 рублей до 4 000 рублей, к тому же они не требуют изменения логики действий пользователя при работе в системе ДБО. Потребность в такого рода средствах защиты, судя по всему, довольно высока, ведь буквально за полтора года с момента появления в России первых промышленных устройства класса TrustScreen, интегрированных с сертифицированными отечественными СКЗИ, их предлагают своим клиентам уже несколько десятков банков, включая крупнейшие.

Таким образом, с точки зрения реального уровня безопасности, оптимальным решением для клиентов систем ДБО являются аппаратные СКЗИ в сочетании с внешними средствами отображения и подтверждения транзакций. Если говорить о выполнении требований по уведомлению клиентов о совершаемых операциях, то эту задачу можно решить организационным способом, например, обязав в договоре клиентов ежедневно проверять выписку по счету.

Что касается средств подтверждения операций в системах ДБО для физических лиц, то к ним от регулирующих органов предъявляется меньше требований по уровню безопасности, банки могут применять «простую» электронную подпись, однако бизнес-требования к мобильности конечного решения ставятся максимально высокими. Наверное, именно поэтому наиболее распространенной технологией подтверждения платежей на сегодняшний день является технология одноразовых паролей (OTP ? One Time Passord), большинство банков отправляют их клиенту при помощи SMS.

Главное достоинство такого подхода – максимальная мобильность, однако он имеет и ряд довольно весомых недостатков, таких как легкость перехвата на уровне канала связи или мобильного телефона, возможность перевыпуска SIM-карты на мошенника по поддельной доверенности и, что важно, – негарантированность доставки. Этот параметр напрямую влияет как на удобство использования дистанционного сервиса, так и на возможность выполнения требований законодательства, ведь клиент в любой момент может сказать, что не получал SMS с уведомлением об операции и потребовать деньги обратно.

Также стоит упомянуть использующиеся по сегодняшний день скретч-карты и генераторы одноразовых паролей. С одной стороны они чуть более безопасны, чем SMS, но менее удобны. При этом очень важно понимать, что ни одна из реализаций технологии одноразовых паролей не защищает клиента от самых распространенных угроз, таких как фишинг и подмена документа в браузере.

Наиболее «продвинутый» вариант подтверждения операций, который сейчас очень распространен за рубежом – Коды подтверждения транзакций (MAC, Message Authentication Code). Данная технология очень похожа на OTP, с той разницей, что код подтверждения генерируется на основании реквизитов транзакции, метки времени и секретного ключа пользователя. Таким образом, если хакер перехватит МАС у клиента банка и подставит его к другому документу, проверку на стороне сервера такая операция не пройдет.

Для генерации кодов подтверждения транзакций изначально использовались специальные «МАС-калькуляторы», в которые необходимо вручную вносить реквизиты, однако, эта реализация не получила большого распространения в России из-за низкого удобства использования.

Второй ступенью развития технологии MAC стали так называемые «оптические токены», которые автоматически считывают реквизиты документа с экрана при помощи специального мигающего «фликера», показывают на небольшом дисплее, а при нажатии кнопки подтверждения – генерируют код подтверждения. Данная технология на сегодняшний день обеспечивает максимальный уровень безопасности, однако описанные устройства довольно дорогие, от 1 500 рублей до 3 000 рублей, к тому же если клиент обслуживается в нескольких банках, ему придется носить с собой целую связку таких «брелков».

Однако когда подавляющее количество пользователей стало использовать смартфоны, появилась возможность сохранить все преимущества технологии MAC и сделать ее более удобной, а также доступной для массового использования. Некоторые разработчики реализовали функционал «оптического токена» в мобильном приложении для смартфонов. Данное решение представляет из себя клиентскую и серверную части (Схема 1).

СХЕМА 1. Подтверждение транзакции с использованием Сервиса

Когда клиент создает документ в системе интернет-банкинга, серверная часть подписывает его своей электронной подписью и генерирует QR-код, содержащий все данные транзакции, включая подпись банка. Пользователь считывает этот код при помощи камеры смартфона и видит текст документа на его дисплее.

Если реквизиты документа совпадают, при нажатии кнопки «подтвердить» телефон вычисляет код подтверждения транзакции на основании секретного ключа пользователя (может храниться в самом телефоне или в виде QR-кода на специальной карточке), времени операции, а также данных самого документа. Полученный код клиент вводит в систему Интернет-банкинга и отправляет платежку на исполнение.

Такая схема работы дает сразу несколько преимуществ, как с точки зрения безопасности и удобства, так и с точки зрения выполнения требований законодательства:

• документ создается и подтверждается на разных устройствах, поэтому, чтобы попытаться украсть деньги, мошенникам придется одновременно получить доступ как к компьютеру, так и к телефону клиента банка;
• возможность подтвердить операцию не зависит от наличия канала сотовой связи и скорости доставки SMS, что особенно актуально, например, в роуминге;
• подтверждать можно любые документы, а не только платежные, так как ограничение по объему данных в QR-коде – 1600 символов;
• так как клиент подтверждает кодом не только сам документ, но и электронную подпись банка под этим документом, он, по сути «расписывается в уведомлении» об операции, что можно использовать в случае возникновения конфликтной ситуации.

Отдельно стоит упомянуть, что такие приложения могут хранить ключи подписи для работы с различными банками и платёжными системами, поэтому неудобства «связки брелков» также исчезают.

Кроме подтверждения операций в классических системах интернет-банкинга, технология «оптического токена» на смартфоне прекрасно подходит для 3DSecure от VISA и SecureCode от MasterCard, позволяя решить все озвученные выше проблемы с безопасностью и скоростью доставки SMS-сообщений. Если клиент уже работает таким образом с системой ДБО, ему даже не придется генерировать себе отдельный ключ для подтверждения покупок в сети интернет при помощи пластиковых карт.