«Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц)», — говорится в документе, вступившем в силу, как выяснили «Известия», 16 марта 2015 года.
Пояснения, что подразумевает Центральный Банк под «идентификатором», в тексте отсутствует. С наибольшей долей вероятности, речь идет о MAC-адресе, предполагают в компании Digital Security, которая является одним из лидеров в направлении анализа защищенности банковских систем. Именно эта информация является сколько-нибудь уникальной, однако не стоит забывать о возможности клонирования такого идентификатора или даже заведения вручную любого валидного значения.
Еще одним предположением является идентификация пользователей по IP-адресу, что вообще лишено смысла со стороны обеспечения безопасности в силу возможности использования одного такого идентификатора группой пользователей, например, в корпоративной сети и повсеместным распространением динамических IP. Наиболее интересным предположением является брать сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки, однако тогда непонятно, как быть тем пользователям, которые проводят систематическое обновление комплектующих в компьютерах.
Получить вразумительный ответ на данный вопрос в самом ЦБ «Известиям» не удалось. Из-за отсутствия четкой формулировки, банки выполняют требование по своему усмотрению. Так, СМП банк, по словам начальника управления безопасности информационных технологий Павла Головлева, использует IP-адреса: «Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку».
Бинбанк решает вопрос безопасности при помощи Push-уведомлений, которые приходят пользователям на их мобильные устройства и являются более безопасными, чем SMS, так как попадают к клиентам напрямую. ВТБ24, как рассказала начальник управления дистанционного банковского обслуживания Елена Дегтева, в свою очередь, принял решение собирать у клиентов пакеты данных об устройствах: «Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил».
На данном этапе нововведение вызывает больше вопросов, чем ответом, так как увеличивает бюрократический аппарат и финансовую нагрузку на банки, а клиенты, на чьи плечи лягут эти расходы, получают непонятный и запутанный процесс, который в случае минимальных изменений в домашнем технопарке верифицированных устройств сделает мобильный банкинг неудобным, хотя изначально его задачей было упрощение работы со своими счетами.
