Услуги мобильного банкинга становятся все более популярными и существенно облегчают жизнь как клиентам, так и самим финансовым учреждениям. Тем не менее, на другой чаше весов один, но большой минус: использования телефонов для доступа к банковским услугам существенно понижает уровень безопасности и повышает шансы злоумышленников завладеть данными или деньгами. Причем по большей части это вина отнюдь не банков.
В связи с внедрением мобильных сервисов возникли значительные риски информационной безопасности. Причем для банков они были новыми и существенно отличались от привычных, вроде кредитов на чужой паспорт или скиммеров на банкоматах. С другой стороны, из-за реальной угрозы оттока клиентов ввиду финансового кризиса банкам пришлось активнее работать над удобством предоставления своих услуг.
Главная угроза безопасности мобильного банкинга заключается не в ИТ-инфраструктуре самого банка и не в каналах передачи данных его "сотовых" партнеров: вопросы безопасной передачи данных в сетях GSM решены достаточно успешно. Наименее надежная часть системы – в конце "последней мили", то есть это сам клиент и его мобильное устройство. Причем банк не может контролировать клиента и указывать ему правила безопасного поведения при работе со счетом. Он может лишь обратить его внимание на это.
Потому что жизнь - борьба
На заре своего развития мобильный банкинг предлагал клиентам две основные услуги: информирование о движении средств по счету и пополнение телефонного баланса, то есть оплату самого инструмента предоставления банковской услуги. Такой канал выхода на банковские системы мошенников не интересовал, поэтому долгое время клиенты могли не беспокоиться о безопасности своих счетов даже при утере телефона.
Со временем услуга модернизировалась, и клиенты получили ряд возможностей удаленного управления счетами, которые раньше были доступны только при личном визите в офис или через интернет-банк с обычного компьютера. К этому банкиров подтолкнули жесткая конкуренция и развитие мобильных платформ. Форсированный вывод фронт-офиса в онлайн позволил бы им сократить расходы на физические офисы и заодно удовлетворить требования клиентов по комфортному предоставлению банковских услуг.
Кроме того, "банковский бизнес – это борьба жадности с осторожностью", по меткому выражению одного из банкиров. Поэтому очень важно дать клиенту такой набор инструментов, с помощью которого он в перспективе сможет пользоваться банковскими услугами сразу же после возникновения потребности или простого желания что-то купить, когда он еще "горяч" и готов потратить остатки, влезть в овердрафт или взять кредит. А набор из пластиковой карты и смартфона носит с собой почти каждый экономически активный гражданин.
Онлайн больших возможностей
Мобильные сервисы, предоставляемые разными банками в рамках ДБО, различаются по функционалу и способу реализации. Например, "Сбербанк РФ" использует систему, которая позволяет клиенту самому писать смс-запросы или отправлять их через интерфейс JAVA-приложения. Таким образом клиент может проводить основные операции, такие как получение информации о состоянии счета и последних операциях, включая операции через "Интернет-банк ОнЛ@йн", оплату коммунальных услуг в двух столицах, пополнение баланса у сотовых операторов и интернет-провайдеров, погашение кредита, блокировку пластиковой карты при утере или компрометации.
Аналогичная система "Альфа-Мобайл", используемая "Альфа-Банком", обладает более широким функционалом, предлагая дополнительно переводы между своими счетами и переводы в другой банк или другому клиенту "Альфа-Банка".
Пожалуй, наиболее обширный функционал имеет система HandyBank, в которую входят около 50 банков-провайдеров, включая "Альта Банк", "Интерпрогрессбанк", "Ренессанс Кредит" и другие. Она поддерживает, в частности, мгновенный перевод средств на счет клиента от других участников системы, стандартные банковские платежи по реквизитам, оплату покупок в интернет-магазинах и все прочие действия, предусмотренные интернет-банком.
Подобных систем насчитываются десятки, но функционал лишь 15 из них, по оценке "Эксперт РА", удовлетворяет ожиданиям пользователей.
Знакомство вслепую
Чем больше возможностей по выводу средств предоставляет система мобильного банкинга, тем больше желающих воспользоваться ими неправомерно. Вопрос, как обычно, только в том, как это сделать.
Банк не может проверить документы человека, работающего в системе через смартфон или планшет. Отсюда возникают угрозы: злоумышленник может завладеть мобильным устройством или же данные из устройства могут быть перехвачены шпионским ПО и отправлены преступникам.
Такие ситуации вполне реальны. Активных пользователей мобильного банкинга в России, по экспертным оценкам, несколько сотен тысяч (хотя и публикуются пресс-релизы о миллионах подключившихся к "мобильному банку", многие клиенты не продвигаются дальше получения смс об операциях по карте). Ежегодно в России происходит около 100 тыс. краж/утерь мобильников и КПК. Если владелец записал в памяти телефона свой пароль к банковскому приложению, преступник имеет большие шансы снять с его счета все доступные средства.
Помимо этого, клиент может стать жертвой несанкционированного доступа к его данным, просто загрузив со стороннего сайта игру или другое приложение, содержащее вредоносный код. Во время очередного выхода в интернет личные данные отправятся к новому владельцу.
Простота хуже воровства
Статистика показывает, что подобная безалаберность со стороны клиента - это реальность. Согласно недавнему исследованию Ponemon Institute в США, 29% владельцев телефонов хранят в них данные о своих пластиковых картах. 90% опрошенных понятия не имеют, что сами могут загрузить на телефон шпионскую программу. Столько же людей не знают, что финансовые приложения для смартфонов передают в интернет детали платежа, включая данные о карте.
Случаи реальных мошеннических действий со счетами клиентов через мобильные устройства банки предпочитают не разглашать, опасаясь за свою репутацию, которая дороже денег. Но известны ситуации, когда осуществлялась атака пользователей интернет-клиентов как минимум двух крупных российских банков, когда троянская программа меняла записи в файле hosts на компьютерах жертв и вместо сайта своего банка люди попадали на фишинговые сайты, где и вводили пароли.
Что касается мобильных устройств, то, согласно отчету фирмы Juniper Networks, за последний год вчетверо выросло число вирусов, выявленных для системы Android. Существуют зловредные программы и для других мобильных платформ, включая iOS. Иногда ошибаются сами банки. Так, недавно Sitibank обнаружил критическую уязвимость в своем мобильном клиенте для iPhone. Приложение сохраняло скрытые файлы с персональными данными об аккаунте клиента, включая номера банковских счетов, выставленные на оплату счета и пароли доступа к системе.
Еще одна проблема заключается в том, что для реализации услуги мобильного банкинга необходимо сотрудничать с другими организациями, такими как сотовые операторы и небанковские платежные системы. Банкиры и так имеют к ним претензии, поскольку и первые, и вторые постепенно начинают оказывать чисто банковские услуги, но играют на этом рынке по упрощенным правилам из-за отсутствия таких жестких регуляторов как Центробанк или Росфинмониторинг. А тут еще необходимо доверить операторам связи передачу собственной финансовой информации на "последней миле", пусть и по защищенным каналам. Стандарт ЦБ по информационной безопасности в банках прямо называет зависимость от поставщиков, провайдеров, партнеров и клиентов одним из основных источников ИБ-угроз. Не в последнюю очередь это связано с тем, что у них отсутствует такое жесткое регулирование вопросов безопасности как в банках. Но выгода от предоставления услуги оправдывает и эти риски.
Поиск стандарта
Борьба за безопасность мобильного банкинга сегодня ведется как в области совершенствования банковских систем, так и в сфере пропаганды "основ безопасной жизнедеятельности" среди клиентов. Согласно требованиям Стандарта ЦБ, они должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций, включая информацию о возможных рисках. Эти инструкции содержатся на веб-сайтах банков и в буклетах по банковским услугам.
Сложнее обстоит дело с системами. Прошлогоднее исследование ДБО для физлиц, проведенное CNews Analytics среди банков Топ100, показало, что "интернет-клиент" есть у 70%. Среди них 33,6% пользуются системами собственной разработки. На втором месте решения компании "Банк Софт Системс" (BSS) – 29,3%. Третье место с 9,3% заняла компания "Бифит".
Те же участники поделили ведущие места среди систем интернет-банкинга для юрлиц (в них также существуют решения для мобильных устройств), только собственные разработки банков уступили продуктам BSS (17,5% и 48,4% соответственно), третье место занял "Бифит" с 14,8%.
Естественно, эти данные не означают, что так же распределились пользователи систем, поскольку банки отличаются по количеству клиентов.
Множество систем собственной разработки и отсутствие обязательного стандарта по обеспечению безопасности при проведении мобильных операций привели к разнообразию форм защиты данных.
Одни банки требуют личного присутствия клиента в офисе при регистрации мобильного банка на его имя. Другие упрощают эту процедуру и подключают к системе через интернет-клиент, банкомат (терминал) или по звонку в контакт-центр с вводом пин-кода с клавиатуры телефона.
Приложение для телефона или планшета обычно скачивается с сайта банка. Но есть и своеобразные решения. МБРР заключил соглашение с МТС, и при регистрации "мобильного банка" обменивает сим-карту клиента на аналогичную, с тем же номером и балансом, но с уже установленным на ней банковским приложением.
Как правило, сами приложения защищены паролем. Поскольку, как уже говорилось, многие люди хранят персональные данные непосредственно в телефоне, широко используются другие средства аутентификации: одноразовые пин-коды подтверждения транзакций, часто действительные лишь несколько минут; скретч-карты, ЭЦП и аналоги собственноручной подписи.
Перспективы есть
Несколько лет назад среди потребителей банковских услуг преобладал скептицизм в отношении мобильного банкинга. Он был обусловлен не только ограниченными, в основном чисто информационными возможностями, но и недоверием к обеспечению безопасности (хотя кому нужна в лучшем случае тысяча рублей, остающаяся на счете после снятия зарплаты в регионах) и нежеланием разбираться в продвинутых функциях своего мобильного устройства.
Сегодня рынок мобильного банкинга в России растет опережающими темпами по отношению к росту ДБО в целом. По оценкам экспертов, к 2013 году число пользователей интернет-банкинга возрастет на 35%, а мобильного банкинга – на 105%. Причин этого явления несколько.
Во-первых, появились реальные возможности управления счетом. Во-вторых, услуга удобна благодаря своей оперативности. В-третьих, желание комфорта пересиливает сомнения относительно безопасности, тем более что заголовки СМИ не пестрят сообщениями о преступлениях в этой сфере.
На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC Group
CNews: Опасен ли мобильный банкинг? Кажется, больше шансов быть ограбленным на улице.
Сергей Березин: Не соглашусь, что мобильный банкинг более опасен, чем привычный интернет-банкинг. Можно сказать, что мобильный банкинг даже более безопасен, чем интернет-банкинг - просто в силу меньшего числа доступных операций. Так, например, в ряде реализаций интернет-банкинга для частных клиентов есть возможность покупать/продавать ценные бумаги (или паи ПИФов), открывать/закрывать депозиты, в то время как даже для самого "продвинутого" мобильного банкинга эти операции пока не реализованы. Сергей Березин: В настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору
Кроме того, мобильный банкинг в некотором смысле может быть более безопасным, чем традиционный банкинг с посещением отделения банка – есть регионы (необязательно в России), где у клиента гораздо больше шансов быть ограбленным на улице по пути к отделению банка, чем при использовании мобильного банкинга.
Действительно, существуют две основные угрозы информационной безопасности (ИБ), ассоциированные с мобильным банкингом. Эти угрозы: фальсификация истинного владельца смартфона (имперсонализация) при помощи вредоносного ПО и угроза физической кражи/утери мобильного устройства с последующим взломом доступа к банковскому приложению на устройстве.
Пути снижения угрозы заражения смартфона вредоносным ПО полностью аналогичны таким же рекомендациям для интернет-банкинга. Т.е. не загружать программы, игры, коллекции фото и видео из сомнительных источников, не давать свой смартфон с установленным банковским приложением "поиграть" другим членам семьи (особенно подросткам), "своей девушке" и т.д., а также не сдавать его в ремонт, на перепрошивку и т.п., предварительно не стерев банковское приложение.
В идеале, для мобильного банкинга хорошо бы иметь отдельный смартфон, на котором нет никаких иных программ, кроме операционной системы и банковского приложения. Аналогия – во многих организациях с серьезным подходом к ИБ есть специально выделенный компьютер только для операций "банк-клиент". Этот ПК или ноутбук находится под неусыпным контролем системного администратора с точки зрения ПО и физически контролируется службой безопасности организации.
Что касается угрозы ИБ, ассоциированной со взломом украденного или утерянного смартфона, то в настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору. Это намного более защищенный вход, чем по пользовательскому паролю, поскольку пароль некоторые пользователи умудряются записать и сохранить среди файлов смартфона, а 8-разрядный код PIN-калькулятора, имеющий срок жизни всего 30сек, подобрать практически невозможно.
Упоминаемая автором статьи аутентификация с помощью дополнительных SMS гораздо менее устойчива, т.к. в случае кражи/утери мобильного устройства эти SMS с большой вероятностью будут приходить уже не владельцу, а злоумышленнику. Добавлю, что основной целью кражи смартфонов являются все-таки сами мобильные устройства, а отнюдь не доступ к банковскому приложению (которого на конкретном смартфоне может и не быть). В случае кражи/утери мобильного устройства, - совершенно аналогично случаю кражи/утери банковской карты, - необходимо немедленно звонить в банк для блокировки функционала мобильного банкинга.
23:23
Услуги мобильного банкинга становятся все более популярными и существенно облегчают жизнь как клиентам, так и самим финансовым учреждениям. Тем не менее, на другой чаше весов один, но большой минус: использования телефонов для доступа к банковским услугам существенно понижает уровень безопасности и повышает шансы злоумышленников завладеть данными или деньгами. Причем по большей части это вина отнюдь не банков.
