Дорогу цифровым отпечаткам
Стандарты безопасности финансовых сервисов столкнулись с непониманием.
ЦБ РФ недавно опубликовал документ «Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств». Об этом сообщает корреспондент наш сайт со ссылкой на документ на сайте регулятора.
Речь про стандарт формирования, хранения и применения уникальных цифровых отпечатков устройств для идентификации устройства пользователя, с помощью которого совершаются финансовые операции.
Этот стандарт устанавливает рекомендации, реализация которых направлена на обеспечение организациями отечественной банковской системы и других сфер российского финансового рынка контроля идентификаторов доступа пользовательских устройств методом формирования и обработки цифровых отпечатков устройств при дистанционном предоставлении банковских и финансовых услуг пользователям.
Важное здесь слово — рекомендации. Получается, что последнее слово все же за банками?
Банк России в своем документе поясняет, что цифровой отпечаток устройства формируется с использованием ряда методов с целью: выполнения мероприятий по противодействию осуществлению переводов денег без согласия клиента; выявления цепочек связанных операций по переводу средств, совершенных без согласия клиента; выявления устройств, неоднократно задействованных при реализации компьютерных атак/инцидентов; использования в качестве фактора аутентификации.
Банк России рекомендует кредитным организациям, некредитным финансовым организациям вести базу эталонных цифровых отпечатков устройств пользователя и сохранять в ней ряд данных (в частности — полученные цифровые отпечатки при выполнении операций пользователем вместе с данными по операциям; эталонные цифровые отпечатки в базе эталонных цифровых отпечатков устройств пользователя вместе с исходными значениями параметров устройства, использованными при формировании соответствующего цифрового отпечатка).
А что говорит профсообщество?
В ВТБ, например, считают решение регулятора о публикации стандарта своевременным и обещают ему следовать.
Однако, как пишет «Коммерсант», эксперты же открыто сомневаются в эффективности стандарта. Отмечается, что многие злоумышленники применяют социальную инженерию (то есть фактически через устройство жертвы).
«С помощью такого стандарта невозможно будет защититься и распознать мошеннические действия в случае кражи самого устройства или использования его дистанционно за счет получения непосредственного доступа к нему дистанционно с правами администратора, отмечает вице-президент Ассоциации банков России Алексей Войлуков», — также пишет издание и добавляет, что у кредитных организаций могут возникнуть трудности в выполнении требований стандарта. Не исключено, что сюда еще могут добавиться и затраты, то есть расходы на внедрение.