В фокусе профессиональной дискуссии оказались такие вопросы, как баланс между функциональностью и защищенностью мобильного банка, практические подходы к обеспечению безопасности на всех этапах жизненного цикла и, конечно, аспект госрегулирования — особенно актуальный в связи с недавним вступлением в силу новой редакции Положения Банка России № 382-П.

Мобильный банкинг в России не сбавляет темпы развития, что особенно ценно на фоне общей рецесии финансового рынка. По оценке аналитического агентства Markswebb Rank & Report, количество пользователей мобильного банкинга на октябрь 2014 года достигло 17 млн, увеличившись за год на 58%. Вместе с тем растет и масштаб посягательств на средства пользователей мобильного банка: компания Group-IB приводит сведения о хищениях вследствие компрометации мобильных устройств — их количество в 2014 году составило 942 тыс., что почти втрое больше, чем в 2013-м (317 тыс.).

Евгений Михалев, заместитель начальника отдела Управления «К» БСТМ МВД России, подтверждает, что интерес злоумышленников к мобильному банкингу растет. Он рассказал участникам конференции, что в сфере мобильного банкинга складывается ситуация, схожая с пиком мошенничества в интернет-банкинге в 2011 году.

И в том и в другом случае преступники распространяют вредоносные программы, которые образуют ботнеты — сети из зараженных устройств. Родоначальники этих сетей затем могут сдавать их в аренду по частям. Сами боты (автономные приложения, особенно распространенные для платформы Android) стали в последнее время весьма доступны — за 500–1000 долларов можно приобрести некий программный полуфабрикат, который можно доводить до кондиции и в дальнейшем осуществлять с его помощью кибер-атаки. Такая преступная специализация привела к разрастанию множества мелких групп — картина их активности на карте страны, по словам Евгения Михалева (Управление «К»), выглядит весьма угрожающе.

Fun или пропал

«Считается, что мобильные технологии, в том числе финансовые приложения — это такой fun, а безопасники — это те люди, которые препятствуют инновационным порывам», — такой лейтмотив конференции задал модератор дискуссии Игорь Костылев. Действительно, участники мероприятия постоянно обращались к вопросам баланса между удобством и безопасностью мобильного банкинга, взаимодействия бизнес-заказчиков и внутрибанковских служб безопасности.

Отдавая должное интересам банковских подразделений, ответственных за бизнес ДБО (тот самый fun и ожидаемый wow-эффект у клиентов), коммерческий директор компании UsabilityLab Дмитрий Силаев представил исследование удобства мобильного банкинга. Исследование охватило 15 банковских приложений наиболее заметных игроков этого рынка, в его подготовке были задействованы 120 респондентов, которые оценивали системы по девяти юзабилити-метрикам. Методика включала в себя сканирование движения глаз — метод eye tracking позволяет посмотреть на удобство использования приложения буквально глазами пользователя.

Выводы исследователей, несомненно полезные для совершенствования отдельных элементов и в целом юзабилити мобильного банка, также содержат наблюдение о том, что пользователи почти не обращают внимания на аспект безопасности, более того — зачастую готовы поступиться дополнительными мерами (например, вводом SMS-кода) ради простоты использования приложения. Впрочем, мнение клиентов в вопросах обеспечения безопасности, разумеется, не может быть определяющим.

Договариваться надо всегда

«Отдавать вопросы безопасности на откуп только разработчиков мобильного приложения, разумеется, нельзя», — выразил общее мнение Лев Шумский, начальник управления информационной безопасности департамента защиты активов Связного Банка, и сформулировал основные подходы к этому процессу. Реализация защищенности мобильного приложения начинается с момента формирования функциональных требований со стороны бизнес-заказчика. Эти продуктовые концепции обсуждаются, согласовываются со смежными службами; происходит анализ рисков и выработка оптимальной конфигурации решения. На втором этапе важно обеспечить контроль над разработкой приложения, в том числе анализ кода, который могут выполнить (или продублировать) специализированные компании. В-третьих, удаленное обслуживание клиентов увязано с общим обеспечением безопасности инфраструктуры банка: защищенностью серверов, надежностью стандартных средств защиты (файрволов, антивирусов и пр.), регулярным прохождением процедур тестирования и аудита.

Идею развил Иван Янсон, заместитель руководителя службы информационной безопасности Промсвязьбанка. По его мнению, важно соблюдать процедуры обеспечения безопасности комплексно, на всех этапах жизненного цикла, а не заниматься этим точечно. Вообще, сказал эксперт, специфика мобильного банка предполагает риск-ориентированный путь развития — риски среднего уровня могут быть приняты бизнесом, однако необходимо четко их сформулировать и осознать, предусмотреть резервы на возможные потери. Также Иван Янсон отметил наметившуюся тенденцию по переключению усилий злоумышленников со счетов юридических лиц на частные аккаунты. Это связано и с массовым распространением мобильного банкинга, и с более совершенной защитой систем юридических лиц — вследствие проделанной ранее банками работой и большими техническими возможностями, в том числе использованию аппаратных средств.

Под защитой матрицы

Микрофон перешел к Андрею Бухтиярову, заместителю председателя правления Интерактивного Банка, который известен на рынке своими нестандартными подходами — в том числе к мерам информационной безопасности. К примеру, банк предлагает клиентам сервис «Матрица безопасности», который позволяет самостоятельно настроить способ подтверждения различных действий в удаленных каналах обслуживания.

«Специфика нашего банка достаточно уникальная, она связана с обслуживанием в рамках одного аккаунта и интерфейса юридических и физических лиц (которых может быть и несколько, например, родственников), — пояснил Андрей Бухтияров. — Поэтому и подходы не совсем обычные». Так, в части обеспечения безопасности банк внедрил решение «обратный SMS» — пользователь видит на экране код и должен отправить его по SMS со своего телефона в банк для подтверждения операции. Банк регулярно нанимает независимых экспертов по информационной безопасности (читай — хакеров) для проверки устойчивости различных способов защиты, и многие из них оказались на удивление легко подвержены взлому, однако канал «обратного SMS», по утверждению банка, не удалось обойти никому.

Открытый разговор вновь поддержал Лев Шумский; этот финансовый институт примечателен тем, что 17% его клиентской базы (а это порядка 300 тыс. человек) являются пользователем мобильного банка — больше эта доля только у Сбербанка. В прошлом году сотрудники банка обнаружили около 100 клиентов, у которых был скомпрометирован доступ в мобильный банк — во всех случаях речь шла об android-устройствах, однако благодаря своевременному обнаружению и реагированию ни в одном случае хищения средств не произошло. В этой связи завязалась дискуссия о преимуществах различных мобильных платформ — позиции iOS в вопросах безопасности выглядят более серьезными.

Были сформулированы основные рекомендации для пользователей мобильного банка, прежде всего владельцев более уязвимых android-девайсов (их доля по оценкам экспертов составляет порядка 80%). Прежде всего, отключить возможность установки приложений из неизвестных источников, не использовать устройства в режиме root и jailbreak (для iOS) — приложения некоторых банков уже проверяют эту уязвимость и не позволяют использовать мобильный банк на root-смартфоне. Другой — достаточно простой, но эффективной, мерой должна стать установка на устройство антивирусной программы. О важности информирования клиента о возможных угрозах как элементе комплексного подхода к безопасности упомянул и Евгений Михалев (Управление «К»), призвав банки применять превентивные меры не только технологического, но и просветительского характера.

Не позволь украсть

Многие из обсуждаемых проблем безопасности были связаны со спецификой использования мобильного телефона, ставшего неотъемлемой частью современного образа жизни. Обратной стороной удобства и многофункциональности смартфонов становятся угрозы утраты большого объема ценной информации (в этой связи уже в ходу такой термин как «кража личности» — identity theft), а наиболее неприятным событием может стать получение незаконного доступа к финансовым приложениям и потеря личных средств.

Действительно, самый распространенный для ДБО способ аутентификации — одноразовые SMS-пароли — не идеален для мобильного банкинга, поскольку одно устройство используется для доступа к приложению и для получения этих кодов. Андрей Бухтияров упомянул о «французском сценарии», когда злоумышленник выхватывает телефон из рук его владельца, в это время может быть запущено финансовое приложение, которым и воспользуется вор. В частности, для предотвращения подобных случаев в их банке используется политика профилей аутентификации, предусматривающая подтверждение операции как минимум двумя разными способами (платежный пароль + SMS-код). А в случае с крупными платежами юридических лиц такой профиль может принимать довольно громоздкий (зато защищенный) формат, включающий последовательную аутентификацию нескольких сотрудников (например, бухгалтера, финансового и генерального директора организации), использование различных токенов, таблиц одноразовых кодов и уже упоминавшийся способ «обратный SMS».

Еще один вид угроз связан с телекоммуникационной составляющей мобильного банка. Привычный и удобный способ подтверждения операций с помощью одноразового SMS-кода — увы! — не обеспечивает должного уровня безопасности. Известны несколько вариантов атак, при которых SMS-сообщения могут быть перехвачены извне и использованы для незаконного доступа — как к мобильному, так и интернет-банку. Одна из наиболее опасных уязвимостей состоит в том, что злоумышленник получает сессионный ключ обмена сообщениями между базовой станцией и устройством абонента. Обычно не составляет труда расшифровать этот ключ и получить доступ ко всей информации, передаваемой пользователем посредством SMS. Более защищенной, надежной (с гарантированной доставкой) и экономически выгодной является технология push-уведомлений, которая обеспечивает прекрасный баланс между юзабилити и безопасностью, в том числе решает задачу привязки приложения к конкретному устройству, поделился опытом Денис Камзеев, начальник отдела информационной безопасности, старший вице-президент Райффайзенбанка, Функционал push уже имплементировали в системы мобильного банкинга и некоторые другие банки (Бинбанк, Тинькофф Банк).

Другая известная уязвимость связана со сменой сим-карты — в основном банки уже держат ее под контролем, как того требует Положение Банка России № 382-П. Если банк получает от оператора сотовой связи информацию, что сообщения стали поступать с другой сим-карты, — возможна ситуация, что карта была специально подменена по поддельным документам (либо номер перешел к другому клиенту) и может быть использована в преступных целях для чтения SMS, предназначенных настоящему владельцу. Поэтому финансовый институт (в частности, рассматривался опыт Связного Банка), обнаружив факт смены сим-карты, превентивно блокирует доступ и предлагает клиенту пройти повторную идентификацию через колл-центр.

Банки и операторы: движение навстречу

Историю взаимодействия банков и сотовых операторов на поле финансовых сервисов трудно назвать благоприятной. С одной стороны, кредитные организации находятся в определенной технологической зависимости от операторов, которая особенно выражена в случае с мобильным банкингом. В какой-то момент связисты стали «выкручивать руки» банкирам, резко увеличив стоимость SMS-сервисов, которые де-факто стали составляющей удаленного банковского обслуживания. С другой стороны, на фоне насыщения рынка, ужесточения конкуренции и снижения ARPU (выручки с абонента) операторы заинтересованы в развитии дополнительных услуг, среди которых финансовые сервисы играют значимую роль, — тем самым возникает прямая конкуренция с банками. Подробно к этой теме «Б.О» обращался в публикации 2014 года.

Тем не менее в ходе конференции сложилось впечатление, что связисты и банкиры во многом преодолели противоречия и сделали шаги навстречу друг другу — по крайней мере, в контексте безопасности своих клиентов. Так, Иван Янсон рассказал о деятельности рабочей группы по технологическим вопросам взаимодействия кредитных организаций и мобильных операторов, созданной на базе некоммерческого партнерства «Национальный платежный совет». В середине апреля состоялось очередное заседание, на котором были подытожены результаты совместной работы за год. Банкам и операторам удалось наладить процедуры оповещения о смене сим-карты, выработать подходы к оперативному взаимодействию для противодействия мобильному мошенничеству. В планах группы — работа над уведомлениями банков по различным рисковым событиям, унификация форматов информационного обмена, создание операторами «горячей линии» для обращений при выявлении мошеннических SMS-сообщений.

Кирилл Самошенков, представляющий на конференции оператора сотовой связи «Мегафон», рассказал о продукте «Статус», специально разработанном для банков. В ближайшей перспективе кредитные организации смогут передавать базу мобильных номеров своих клиентов оператору, который, в свою очередь, будет обеспечивать мониторинг этих номеров и уведомлять банк о наступлении рисковых событий. Информирование может происходить в пакетном режиме, с некоторой периодичностью, либо в онлайне — непосредственно по факту инцидента. Достаточно принципиальный момент — соблюдение закона о персональных данных; для полноценного использования сервиса банку необходимо будет получить согласие клиента на обработку своих данных у сотового оператора. Планы развития сервиса для банков включают элементы геопозиционирования — пока предполагается, что банки не получат полный доступ к местоположению клиента, а смогут лишь запрашивать у оператора подтверждение типа «в этом ли городе находится абонент?». Готовится решение по разделению SMS-трафика по потокам с различной степенью критичности: транзакционые сообщения, сервисные уведомления и прочий поток «обычных» SMS.

Действующее законодательство теоретически позволяет организовать контроль над разработчиками через сертификацию ПО на основании закона «О техническом регулировании».

На той же неделе «Мегафон» обнародовал информацию о внедрении решения, которое позволяет отслеживать наличие вредоносного ПО на android-устройствах абонентов. Сообщается, что в 2014 году было выявлено 850 тыс. таких случаев, а с начала этого года — еще 150 тыс. Получив сведения о заражении, оператор отправляет пользователю SMS-сообщение с информацией о проблеме и предложением установить антивирусную программу. Еще один способ борьбы с мошенниками, внедренный «Мегафоном», заключается в предотвращении доступа к веб-страницам, зараженным вирусами или состоящими в бот-сетях; к сожалению, законодательство не позволяет полностью блокировать такие ресурсы — пока оператор только выводит страницу-заглушку с предупреждением об угрозе.

Артем Сычев, заместитель начальника главного управления безопасности и защиты информации ЦБ РФ, подвел черту под дискуссией и ответил на вопросы о позиции регулятора в отношениях между банками и операторами. По его мнению, взаимодействие операторов связи и банков — это вопрос взаимоотношений двух хозяйствующих субъектов, в котором нет предмета регулирования со стороны Банка России. Тем не менее происходит объективное развитие информационных технологий, в рамках которого появляются новые аспекты взаимодействия между участниками разных отраслей, в том числе и по критически важным вопросам безопасности. Такие новации не всегда находятся в рамках правового поля, эта проблема Центробанку понятна, и по поводу некоторых вопросов регулятор ведет диалог с Минкомсвязью России, устанавливающим правила игры для телекоммуникационного рынка.

Сакральный номер

382-П — номер этого Положения Банка России постоянно звучал в ходе конференции. Действительно, изменения в документе, вступившие в силу 16 марта 2015 года, задают новые правила безопасной игры на рынке ДБО. В новой редакции Положения со сложным названием «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» были сформулированы 24 новых требования по нескольким направлениям.

Изменения общего характера касаются организационных мер, использования технических средств и применения объектов инфраструктуры, которые в совокупности должны обеспечить контроль рисков при реализации политики информационной безопасности. Другие блоки нововведений регулируют работу с устройствами самообслуживания клиентов (банкоматами и платежными терминалами) и обязывают банки перейти на выпуск чиповых карт (хождение ранее выпущенных карт с магнитной полосой при этом не ограничивается). Еще один пакет изменений описывает требования к системам интернет- и мобильного банкинга, которые более всего интересовали аудиторию.

Иерархия требований к ДБО-решениям базируется на политике обеспечения защищенности используемого программного обеспечения: реализации функций защиты данных, контроля над разработкой и релизами ПО, хранения логов и т.д. Требования более прикладного характера непосредственно к системам интернет- и мобильного банкинга описывают подходы к идентификации пользователя и аутентификации его операций, меры защиты абонентского устройства, принципы взаимодействия с операторами сотовой связи.

Собственно, практическая реализация этих требований звучала в выступлениях многих экспертов, обсуждалась в дискуссиях. Большинство вопросов, адресованных представителю регулятора, касались конкретных механизмов реализации тех или иных пунк­тов положения. Артем Сычев призвал банкиров обращаться к букве 382-П и трактовать положение как рамочные условия обеспечения безопасности платежей. «Нормативный документ не может предполагать описание реализации для каждой технологии, — сказал он. — Вариантов выполнения требований множество, банк сам решает, какой ему использовать». Важно, чтобы система управления рисками была понятной и действенной, клиент был идентифицирован, сохранялась история операций, ключевые угрозы были закрыты и т.д. Центробанк реализует свою надзорную функцию, контролируя систему оценки рисков в банках, частью которой являются требования по информационной безопасности. «Конкретная техническая реализация и в целом выбор приемлемого уровня рисков — это решение банка», — успокоил банкиров Артем Сычев.

В подготовке новой редакции Положения активное участие принимали представители МВД России. Нововведения должны помочь сформировать доказательную базу при возникновении инцидентов, формализовать взаимодействие банков и правоохранительных органов и в конечном итоге сделать более эффективным правовое противодействие мошенникам.

А вендор кто?

Бурное развитие ДБО-сервисов спровоцировало появление решений не только от известных, зарекомендовавших себя поставщиков, но и множества мелких разработчиков — особенно мобильных приложений. Представители госорганов не единожды высказывали мнение о том, что программные решения недостаточно хорошо защищены, более того — уязвимость программной составляющей является одним из ключевых рисковых элементов ДБО-систем. «Ждать ли активного вмешательства государства в работу IT-компаний?» — с таким вопросом пришли на конференцию представители вендоров.

«Действительно, опираясь на статистику, мы можем сделать вывод о том, что зачастую злоумышленники используют уязвимости в ПО», — говорит Артем Сычев. Причем это не только прикладные приложения российских разработчиков, но уязвимости на системном уровне — операционные системы, базы данных, различные middleware-решения. У Центробанка нет таких функций и полномочий для регулирования деятельности разработчиков, их отношений с банками. Тем не менее банковское сообщество видит некоторую проблему в сложившейся ситуации, и ЦБ РФ поддерживает инициативы по контролю безопасности в автоматизированных системах и программных средствах банковской деятельности. Некоторые шаги в этом отношении уже предприняты — так, Центробанк выпустил рекомендательный документ, в котором обобщен как российский, так и зарубежный опыт. Документ содержит основные рецепты по стандартизации обеспечения безопасности на всех этапах жизненного цикла программных продуктов: контроль защищенности на всех его этапах, принципы безопасного цикла разработки, контроль кода на стадии приемки, патч-менеджмента ПО и т.д.

Действующее законодательство теоретически позволяет организовать контроль над разработчиками через сертификацию ПО на основании закона «О техническом регулировании». Другой вариант — создание саморегулируемой организации (по примеру PCI Council, регулирующей стандарты безопасности платежных приложений), выработка требований, принципов сертификации, аудита и пр. самими участниками рынка. В любом случае каких-либо конкретных решений по этому поводу не выработано, идут обсуждения механизмов контроля над разработчиками — возможно, они найдут отражение в новых редакциях 382-П.