Журнал "Information Security/ Информационная безопасность" #2, 2021

Центральные подсисте- мы, как правило, можно сде- лать доверенными привыч- ными средствами. А вот "клиентские" средства при- меняются в разных усло- виях, и поэтому требования к их защите могут быть очень разными. Выполнение этих функций связано с рис- ками как для клиентов, так и для банков [1]. Если риск реа- лизуется, то зачастую банки злоупотребляют своим домини- рующим положением и старают- ся переложить вину за потери на клиента [2]. Но как же так? Разве клиент виноват, что банк перепутал его с преступником и отдал пре- ступнику деньги, принадлежа- щие клиенту и доверенные им банку? Ответственность банка закреплена в положениях Феде- рального закона от 27 июня 2011 г. № 161-ФЗ "О нацио- нальной платежной системе" (161-ФЗ), в котором на законо- дательном уровне определено, что если деньги клиента со счета в банке исчезнут, то банк должен сначала деньги вернуть, а уже потом разбираться, куда они исчезли и кто в этом вино- ват. Но не все так просто. Когда с моего счета незаконно списа- ли небольшую сумму денег, мне удалось их вернуть после пере- писки с банком, но пришлось применить весь мой опыт без- опасника и знание законов. Несмотря на мизерность суммы, банк искал все возможные зацепки, чтобы виноватым ока- зался клиент, хотя ошибка банка лежала на поверхности и не могла быть не видна юри- стам. Не уверен, что многие смогут повторить мой успешный опыт борьбы с банком. Очевидно, что подход "сам виноват", как и "всегда прав", не в полной мере верен. Клиен- ты бывают разные, и среди подавляющего большинства, близкого к идеальным пред- ставлениям законодателя о нем, попадаются и другие, которых, впрочем, вполне хватит, чтобы заметно навредить банковскому бизнесу. Для ухода от крайних позиций целесообразно правильно поставить цели и понять, не как защищать клиентов от банков и не как защищать банки от клиентов, а как сделать инфор- мационное взаимодействие кли- ента и банка безопасным, удоб- ным и при этом недорогим. С учетом того, что требования к доверенности процедур иден- тификации/аутентификации носят системный характер и их создание не является основным видом деятельности для банков, появилась [3] идея объединить усилия и создать единого для всех национального оператора идентификации (НОИ), который возьмет на себя предоставление доверенной услуги идентифи- кации клиента для всех банков и ответственность за данное предоставление, тем самым сни- мая с банков несвойственные им функции и блокируя риски. Позднее эта идея была частично реализована в Единой системе идентификации и аутентифика- ции (ЕСИА) и Единой биомет- рической системе (ЕБС) как еди- ного для всех сервиса аутенти- фикации. Здесь нужно отметить, что ЕСИА строилась из соображе- ний применения в корпоратив- ных системах, но зачастую используется в открытых, а ЕБС планируется как инстру- мент для открытых систем, но использует методы, разрабо- танные для корпоративных систем. Задачи новые, а инстру- менты старые. Видимо, разви- тие и будущее связаны с отка- зом от применения привыч- ных, но неэффективных в новых условиях инструмен- тов. Как ЕСИА, так и ЕБС – это сервисы идентификации/аутен- тификации, а значит, и быть доверенными они могут только в случае, если надежно защи- щен сам банк и доверенными являются все его клиенты и коммуникации между ними. Центральные подсистемы, как правило, можно сделать дове- ренными привычными средства- ми. А вот "клиентские" средства применяются в разных усло- виях, и поэтому требования к их защите могут быть очень раз- ными. Например, банкомат можно в значительной степени считать доверенным устрой- ством, размещенным в контро- лируемом помещении. Таковы- ми нельзя считать терминалы самостоятельной оплаты – какой контроль в огромных тор- говых залах, заполненных поку- пателями? Тем более что тер- миналы оплаты принадлежат, как правило, совсем не банкам. 38 • ТЕХНОЛОГИИ Будущее аутентификации в ДБО з самого названия – “Дистанционное банковское обслуживание" следует, что подразумевается любое управление банковским счетом, осуществляемое без очного посещения банка. Например, сюда безусловно можно отнести услуги, предоставляемые такими разными средствами и системами, как “клиент-банк", эквайринг (торговый, через Интернет, мобильный), АТМ- эквайринг, вендинг (торговые автоматы), терминалы самостоятельной оплаты и другое. Предоставление всех этих услуг начинается с идентификации и аутентификации клиента. И раз это обслуживание банковское, то и выполнять данные полезные функции должны банки. И Валерий Конявский, д.т.н., зав. кафедрой защиты информации ФРКТ МФТИ