поиск по сайту
Национальный оператор идентификации, или как повысить доверие клиентов к ДБО и понизить риски банков

Конявский В.А., д.т.н. (МФТИ),
Поспелов А.Л. (ЦБ РФ)

Национальный оператор идентификации, или как повысить доверие клиентов к ДБО и понизить риски банков 

Положения Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (161-ФЗ) создают реальные предпосылки для реализации повышения доверия клиентов к ДБО - если деньги клиента со счета в банке исчезнут, то банк должен сначала деньги вернуть, а уже потом разбираться, куда они исчезли и кто в этом виноват. Это достаточно радикальное средство возвращения доверия клиентов к услугам банка. Представляется, что клиентов такой подход может только радовать, и, пожалуй, это одна из немногих законодательных инициатив, против которой практически никто не возражает. Теперь уже клиент действительно «всегда прав», а не «сам виноват», как было до этого практически всегда и везде[1].

Но почему это не радует банки? Разве они не нуждаются в доверии клиентов?

Думается, что дело в определенной идеализации отношений - раньше законодатель считал, что рынок заставит все банки вести себя идеально по отношению к клиентам - и ошибся. Банки зачастую очевидно злоупотребляли своей возможностью навязывать клиенту несправедливые условия договора по дистанционному обслуживанию, в результате которого, как правило, виноватым оказывался клиент - «у сильного всегда бессильный виноват». Заметив, причем справедливо, что что-то не так - законодатель радикально изменил курс. Теперь в его глазах идеальным стал клиент - который по непонятным причинам никогда ни при каких обстоятельствах не захочет обмануть банк.

Очевидно, что и этот подход не в полной мере верный. Клиенты бывают разные, и среди подавляющего большинства, близкого к идеальным представлениям законодателя о нем, попадаются и другие, которых, впрочем, вполне хватит, чтобы заметно навредить банковскому бизнесу. Не стоит рассказывать, как именно. Банки этот анализ уже провели (и примеры халатности при соблюдении правил обеспечения безопасности, и криминальные посягательства со стороны клиента есть и немало).

«Сила действия равна силе противодействия» - вот и шарахаемся из одной стороны в другую.

Для ухода от крайних позиций целесообразно правильно выставить цели и понять не как защищать клиентов от банков, и не как защищать банки от клиентов, а как сделать информационное взаимодействие клиента и банка безопасным, удобным и при этом недорогим. Заметим, что 161-ФЗ много сделал для блокирования рисков клиентов, и теперь самое время подумать о том, как уменьшить риски банков.

Суть информационного взаимодействия клиента и банка заключается в том, что клиент поручает (с использованием электронного платежного поручения) банку выполнить ту или иную операцию с его (клиента) деньгами, находящимися   на его (клиента) счете. Это волеизъявление клиента, и оно должно быть оформлено соответствующим образом. При использовании услуги ДБО это означает, что поручение клиента должно быть подписано электронной подписью (ЭП). ЭП (как инструмент для обеспечения целостности и подтверждения авторства) может эффективно достигать свои заявленные цели при условии, что она (ЭП) вырабатывается и устанавливается в доверенной среде в доверенном сеансе связи (ДСС) клиента и банка - об этом так много говорилось в последнее время[2], что нет необходимости  повторять аргументацию. Средство, с помощью которого ведется работа с ЭП, называется средством электронной подписи[3] (СЭП).

Можно придумать и иногда даже сертифицировать много различных СЭП. Однако СЭП для ДБО должно иметь определенные особенности. Главная особенность СЭП - оно должно быть ненастраиваемым - работать «в одно касание», «one touch». Настройки безопасности - дело достаточно сложное и тонкое, и лучше его доверить профессионалам. Не следует ожидать, что в ближайшее время нам удастся в достаточной степени подготовить в области информационной безопасности всех наших сограждан - а именно они и являются клиентами банков. Банкиров бы подготовить... .

Заметим, что обоснованное требование использовать ненастраиваемое сертифицированное средство электронной подписи является единым для всех клиентов.

Конечно, в банке также обязательно должна быть обеспечена доверенная среда, но в банке есть специалисты, и они могут и должны это сделать.

Для банка при выполнении поручения клиента важнейшим элементом является закрепленное клиентским договором положение о том, что банк «выполняет поручения клиента». Клиента, а не хакера.

Для выполнения данного положения в распоряжении банка должны быть средства идентификации и аутентификации, позволяющие однозначно отделять хакерские «поручения» от волеизъявления клиентов.

Для всех без исключения банков это тоже единое требование, как и требование о доверенности и ненастраиваемости СЭП для клиента. Всем банкам придется так или иначе эту задачу решать. И, если задача решена правильно - потери будут сведены к минимуму. Если неправильно и с помощью негодных средств - банк может  нести ощутимые потери.

Выбор средств идентификации и аутентификации для банка пока очень труден. Ноосфера заполнена недобросовестными рекламными материалами, позиционирующими простые токены как панацею от всех бед, и рассуждениями о том, как именно можно работать с квалифицированной ЭП в недоверенной среде. Конечно, банкам хочется в это верить, как иногда больному хочется верить в чудо. Но чудеса потому и чудеса, что они редкие исключения из правил. Можно надеяться на чудо, но система обеспечения безопасности на чудо надеяться не должна. Таким образом, при построении системы обеспечения безопасности, целесообразно добиться доверенности сеанса связи.

Итак - клиентские требования одинаковы для всех клиентов, и банковские требования одинаковы для всех банков. Клиентам нужно предоставить ненастраиваемое СЭП, формирующее доверенную среду. Каждый банк же должен создать свою собственную доверенную систему идентификации и аутентификации. Рационально ли это?

Может, банкам, кредитным организациям, финансовым институтам, их объединениям, страховым компаниям объединить свои усилия и создать единого для всех Национального оператора идентификации (НОИ), который возьмет на себя предоставление доверенной услуги идентификации клиента для всех банков и ответственность за данное представление, тем самым снимая с банков несвойственные им функции и блокируя риски?

 


[1] Конявский В. А. «Всегда прав» или «Cам виноват»? // Защита информации. Инсайд. 2011. № 5. С. 70-77.

[2] Конявский В. А. Организация безопасного ДБО на основе СОДС «МАРШ!» // Национальный банковский журнал. 2011. № 9; Конявский В. А. Хотят ли банки ДБО? // Национальный банковский журнал. 2012. № 2 (февраль). С. 86-87; «Риски ДБО можно и нужно контролировать». Интервью В. А. Конявского НБЖ. 2012. № 8 (август). С. 115-116; Конявский В. А. Про ДБО // Национальный банковский журнал. № 12 (103). С. 86-87.

[3] Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них
ЛичноеЛичное
Защита частной жизни