Развитие дистанционных банковских сервисов – сложный и многогранный процесс, в который одинаково глубоко вовлечены и бизнес-подразделения банков, и департаменты, отвечающие за информационные технологии и безопасность. Актуальными при этом становятся следующие вопросы: какие технологии являются в настоящее время приоритетными и какие преимущества эксперты в области ИТ и ИБ могут предложить своим бизнес-подразделениям.

Удобство, простота, безопасность. Чего хочет бизнес?

Инициируя проекты развития дистанционных банковских сервисов, бизнес-подразделения обычно оперируют таким термином, как «количество клиентских транзакций», и говорят о прибыли, которую банк от них получает. Тем не менее безопасность информационных технологий всегда становится ключевым фактором при реализации задуманного. 

Судите сами

1. Высокий процентный доход по удаленным сервисам. Как правило, это ожидание бизнес-подразделения можно реализовать, снижая риски клиентов ДБО и, как следствие, лимиты на оплату товаров и услуг и на переводы денежных средств. В данном случае подразделение безопасности помогает бизнесу напрямую: защита ДБО от современных угроз как раз и решает перечисленные задачи.

2. Возможность совершения клиентом наибольшего количества транзакций – логичное пожелание бизнес-подразделения. Чем больше у клиента оборот средств в дистанционном банкинге, тем более эффективными и экономически выгодными становятся дистанционные сервисы. И в этом отношении подразделения ИТ и ИБ также способны реализовать эти пожелания: обеспечение работы клиента и на стационарном рабочем месте, и на мобильном устройстве (независимо от нахождения в офисе и доступности стационарного компьютера), а также удобное подтверждение операций позволят в хорошем смысле слова «приучить» клиента к дистанционным сервисам и способствовать повышению числа операций.

3. Общение с клиентами только на приятные и простые для их понимания темы. Конечно же, бизнес-подразделения хотели бы упростить общение с пользователями и по возможности исключить вопросы установки и использования СКЗИ, драйверов, сторонних приложений и т.д. В данном случае заботой подразделений информационных технологий и безопасности должны стать решения, которые не потребуют от клиентов специфических знаний и навыков. Чем проще и понятнее будут дистанционные сервисы, тем больше клиентов их выберут.

4. Сохранность денег банка – это ключевое требование бизнес-подразделения.

В этом отношении бизнес ожидает, что, с одной стороны, сама система ДБО будет устойчивой к атакам злоумыш­ленников, а с другой стороны, что в случае возникновения инцидента банк не проиграет судебный иск и не потеряет собственные деньги. Таким образом, для сохранности денег банка дистанционные сервисы должны соответствовать требованиям законодательства в области информационной ­безопасности.

5. Дополнительный непроцентный до­ход. Как правило, бизнес-подразделение банка ожидает, что безопасность станет не затратной статьей в обслуживании клиентов, а, наоборот, ее можно будет продавать пользователю и получать дополнительный доход. В этом смысле подразделения информационных технологий и безопасности могут создавать самостоятельные продукты «продвинутой» безопасности, которые заинтересуют клиентов, окажутся востребованными и будут активно продаваться вместе с самими дистанционными сервисами.

Перечисленные ожидания бизнес-подразделений и возможности департаментов ИБ и ИТ вполне логичны и реальны. Главное — остановить свой выбор на тех решениях и технологиях, которые позволят эти требования выполнить.

Современные риски интернет-­банкинга и мобильного банкинга

В настоящее время риски в общем и целом остаются прежними – это возможность кражи денег со счетов пользователей. Она существовала и в интернет-банкинге, но за счет активного использования клиентами смартфонов и планшетов, за счет объединения на мобильном устройстве каналов создания и подтверждения документов эта операция для мошенников существенно упростилась.
Кроме того, много нареканий вызывает уже традиционное подтверждение операций с помощью SMS. С чем это связано? Дело в том, что SMS-канал изначально не был предназначен для передачи конфиденциальной информации. Сообщение может быть перехвачено огромным количеством способов как в канале оператора связи, так и в самом смартфоне. И мошенники отлично научились это делать! Соответственно, отправлять таким образом коды для подтверждения платежей – не лучшая идея. Другое дело, что очень долгое время SMS были самым дешевым «транспортом» сообщений до клиента, и банки этим активно пользовались. Теперь же необходимо предложить и реализовать в дистанционных сервисах удобную и безопасную альтернативу SMS.

Чтобы в настоящее время кардинально снизить риски кражи денег со счетов пользователей, необходимо соблюсти два главных условия:
■ не передавать коды подтверждения транзакций по незащищенным каналам связи, а генерировать их на стороне клиента;
■ коды подтверждения должны формироваться в привязке к реквизитам каждой транзакции, то есть если мошенники как-то и перехватят пароль, то его нельзя будет использовать для подтверждения другого документа.

Это можно сделать при помощи аппаратных средств (MAC-калькуляторов), но этот вариант довольно затратный и требует сложной логистики. Второй ­вариант – использовать программные средства подписи банковских транзакций, которые могут быть установлены на смартфоне или вообще интегрированы в приложение мобильного банкинга. В идеале это должна быть усиленная неквалифицированная подпись или даже квалифицированная электронная подпись.

«Классики» и «современники» в дистанционном банкинге – что им предоставить?

Среди пользователей дистанционного банкинга с определенными упрощениями можно выделить две большие группы пользователей: «классиков» (относительно консервативных клиентов, много лет использующих традиционные сервисы и традиционные средства их защиты) и «современников» (клиентов, стремящихся использовать самые передовые технологии и сервисы на вновь выпускаемых устройствах).

С первой категорией клиентов, как правило, ассоциируются клиенты – юридические лица: сотрудники (чаще сотрудницы) бухгалтерии и пользователи средней и старшей возрастных групп, ведущие небольшой частный бизнес. Это традиционные пользователи интернет-банкинга и даже клиент-банка. Они не склонны к переучиванию и заинтересованы в неизменности дистанционных банковских сервисов. Поэтому они много лет используют стационарные персональные компьютеры на рабочих местах, реже – ноутбуки. В качестве средств защиты они традиционно используют USB-токены, смарт-карты, СКЗИ на компьютере, ключи на «флешках». В последние годы они стали уязвимы для удаленного управления и атак с подменой платежных реквизитов. Что должен сделать банк для таких клиентов? Несомненно, предоставить решения для защиты от современных атак. И, скорее всего, такие клиенты, четко осознавая необходимость защиты, приобретут эти решения.

Ко второй категории клиентов относится более подвижная часть пользователей, которые выбирают интернет-банкинг и мобильный банкинг. Это могут быть как небольшие юридические лица, так и частные пользователи. «Современникам» относительно просто начинать использовать новые дистанционные сервисы, они не могут позволить себе находиться все время в офисе, поэтому работать предпочитают с мобильных устройств, смартфонов и планшетов. В этом случае они не могут использовать традиционные средства защиты, как на компьютере, поэтому им достаются SMS-пароли и генераторы одноразовых паролей. В то же время и злоумышленники подготовили для «современников» специальный современный арсенал: от перехвата SMS-подтверждений до фишинга и подмены SIM-карт. Чем на это должен ответить банк, чтобы заинтересовать и удержать таких клиентов? Наверное, предоставить удобные и защищенные мобильные сервисы, устойчивые к современным атакам.

Бизнес-подразделения банков, как инициаторы развития дистанционных банковских сервисов, заинтересованы в охвате всех категорий пользователей – и «классиков», и «современников». Первые составляют основную часть клиентов – юридических лиц. Второй сегмент стремительно растет и является будущим любого банка. Его лояльность и приверженность банку скажется в последующие годы, поэтому для него необходимо предусмотреть высокотехнологичные и удобные мобильные услуги.

Для клиентов-«классиков» хорошо подходят решения класса «доверенный экран», используемые при подтверждении транзакций (в частности, отлично зарекомендовавшее себя решение SafeTouch от компании SafeTech). Такие решения защищают от всех известных на сегодняшний день удаленных атак, поскольку обеспечивают визуальный контроль данных, передаваемых в токен, и блокируют операции с подписью до момента нажатия кнопки подтверждения. Очень важно, что внедрение данного класса решений не требует от банков «выбрасывать» деньги, ранее инвестированные в аппаратные средства подписи, поскольку клиенты могут использовать уже имеющиеся USB-токены. Также не потребуется устанавливать какое-либо дополнительное ПО. Кроме того, решение отлично продается в составе пакета «Безопасность класса премиум» и приносит банкам дополнительный доход в среднем от 1000 до 2500 рублей на одно рабочее место системы ­интернет-банкинга.

Клиентам-«современникам» наилучшим образом подойдут решения для безопасной и удобной замены SMS-паролей, обеспечивающие аутентификацию пользователя, визуализацию реквизитов платежа и подтверждение транзакции на мобильных устройствах (в частности, решение PayControl от компании SafeTech). Решение совмещает в себе удобство смартфона и безопасность MAC-калькулятора: реквизиты платежа (или даже PDF-документ) загружаются в смартфон автоматически, детали совершаемой операции удобно просматриваются на экране, а транзакция подтверждается усиленной неквалифицированной подписью. Для банка решение такого уровня позволит заложить технологическую основу будущего развития дистанционных сервисов: наличие SDK для мобильных приложений позволяет интегрировать его в приложение мобильного банкинга. Важным моментом является возможность работы в режимах онлайн и офлайн, быстрое и безопасное подтверждение операции «в одно нажатие», а также поддержка популярных мобильных ­платформ.

Назад в будущее: криптосервисы в «облаках» и в мобильных устройствах

Новый импульс развитию дистанционных банковских (да и не только банковских) сервисов может придать синергия, возникающая при сочетании мобильных и облачных технологий аутентификации и подписи транзакций. Хорошим примером здесь может служить комплексное решение на основе PayControl и облачного сервиса электронной подписи ­«КриптоПро DSS».

Совместное решение позволит подтверждать платежные документы квалифицированной электронной подписью прямо со смартфона. Решение уже передано на сертификацию в ФСБ России и, с нашей точки зрения, идеально подходит системам мобильного банкинга для юридических лиц. Теперь банки с минимальными затратами могут реализовать подтверждение платежных документов на мобильных устройствах квалифицированной подписью. 

С появлением интегрированного комплексного решения PayControl и «КриптоПро DSS» это стало реальностью. Для клиентов решение будет означать кардинальное снижение порога использования квалифицированной электронной подписи, существенное снижение затрат за счет отсутствия аппаратных носителей ключей, а также желанную полную мобильность при сохранении юридической значимости электронного документооборота.