Дорогу цифровым отпечаткам

Стандарты безопасности финансовых сервисов столкнулись с непониманием.

12 апреля 2023 15:10

Автор: Святозар Клубникин

Фото: RT (https://mf.b37mrtl.ru/russian/images/2023.03/article/6419cc3bae5ac9360b106a8a.jpg)

Стандарты безопасности финансовых сервисов столкнулись с непониманием.ЦБ РФ недавно опубликовал документ "Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств". Об этом сообщает корреспондент УтроNews со ссылкой на документ на сайте регулятора. Речь про стандарт формирования, хранения и применения уникальных цифровых отпечатков устройств для идентификации устройства пользователя, с помощью которого совершаются финансовые операции. Этот стандарт устанавливает рекомендации, реализация которых направлена на обеспечение организациями отечественной банковской системы и других сфер российского финансового рынка контроля идентификаторов доступа пользовательских устройств методом формирования и обработки цифровых отпечатков устройств при дистанционном предоставлении банковских и финансовых услуг пользователям. Важное здесь слово - рекомендации. Получается, что последнее слово все же за банками? Банк России в своем документе поясняет, что цифровой отпечаток устройства формируется с использованием ряда методов с целью: выполнения мероприятий по противодействию осуществлению переводов денег без согласия клиента; выявления цепочек связанных операций по переводу средств, совершенных без согласия клиента; выявления устройств, неоднократно задействованных при реализации компьютерных атак/инцидентов; использования в качестве фактора аутентификации. Банк России рекомендует кредитным организациям, некредитным финансовым организациям вести базу эталонных цифровых отпечатков устройств пользователя и сохранять в ней ряд данных (в частности - полученные цифровые отпечатки при выполнении операций пользователем вместе с данными по операциям; эталонные цифровые отпечатки в базе эталонных цифровых отпечатков устройств пользователя вместе с исходными значениями параметров устройства, использованными при формировании соответствующего цифрового отпечатка). А что говорит профсообщество? Ведущий консультант по информационной безопасности Aktiv.Consulting Александр Моисеев, чьи слова приводит "Коммерсант", считает, что стандарт преследует ряд целей (среди них - использовать "отпечатки" как дополнительный фактор аутентификации, как артефакт при расследовании инцидентов и отслеживании трансакций, как условный индикатор компрометации). В ВТБ, например, считают решение регулятора о публикации стандарта своевременным и обещают ему следовать. Однако, как пишет "Коммерсант", эксперты же открыто сомневаются в эффективности стандарта. Отмечается, что многие злоумышленники применяют социальную инженерию (то есть фактически через устройство жертвы). "С помощью такого стандарта невозможно будет защититься и распознать мошеннические действия в случае кражи самого устройства или использования его дистанционно за счет получения непосредственного доступа к нему дистанционно с правами администратора, отмечает вице-президент Ассоциации банков России Алексей Войлуков", - также пишет издание и добавляет, что у кредитных организаций могут возникнуть трудности в выполнении требований стандарта. Не исключено, что сюда еще могут добавиться и затраты, то есть расходы на внедрение. И немного цифр под конец. По данным Банка России, объемы подозрительных операций в банковском секторе в прошлом году сократились на 5%. Предполагается, что снижению способствовало внедрение регулятором платформы "Знай своего клиента".

УтроNews

Читайте нас на Яндекс.Дзен и GOOGLE Новости