Статьи
Ноябрь 2017
Банки готовятся к принятым правкам 382-П
Количество мошеннических операций совершенных с использованием дистанционных каналов обслуживания клиентов банков неуклонно растет последние годы. Для защиты банков и их клиентов Центробанк принимает ряд мер. Так например, за последний год значительно выросла роль FinCERT, осуществляющего сбор и мониторинг информации об угрозах информационной безопасности. Обратная связь, которую дает FinCERT позволяет предупредить векторы атак на инфраструктуру кредитно-финансовых организаций. Есть и другие меры, которые так же призваны повысить уровень защиты от кибермошенников.
Напомним, что одним из существенных изменений в Постановлении Банка России № 382-П является требование разделения контуров подготовки и подтверждения клиентом электронных сообщений. На практике это означает, что если вы формируете запрос на транзакцию в интернет-банке, то подписать эту транзакцию следует, например, в приложении в смартфоне. Именно такое решение и предлагает компания Nexus. Про приложение Personal Mobile, доступное так же в виде SDK, вы можете подробно почитать по ссылке.
Вкратце: сгенерированная на смартфоне ключевая пара позволяет подписывать транзакции и аутентифицироваться. На смартфон приходит push запрос, который клиент авторизует вводом PIN, либо используя биометрическую аутентификацию на смартфоне (отпечаток, лицо). Незаметным для клиента остается то, что происходит "за сценой": криптографическая подпись закрытым ключом. То есть используя единое решение, можно не только выполнить требования соответствия новым стандартам, но и уйти от дорогих и небезопасных СМС кодов.
Такой способ аутентификации и электронной подписи значительно безопаснее большинства существующих на рынке решений. Он исключает централизованную атаку, так как нет какого-то сервера, на котором хранятся пароли или секретные seed. На стороне банка хранятся только открытые ключи, а закрытые ключи не покидают смартфон. Целенаправленные же атаки на само мобильное устройство, такие как кража смартфона, редки и экономически неэффективны.
Более подробно решение для банков для подтверждения электронных сообщений описано по ссылке.
Опубликовать в Twitter Опубликовать в Facebook