Банки, люди и их деньги.

После того, как законопослушный гражданин заработал деньги, он, как правило, кладет их на счет в банке. Начиная с этого момента, отношения между Клиентом и Банком регулируются договором о банковском обслуживании, в котором недвусмысленно говорится о том, что Банк обязан выполнять распоряжения Клиента. Клиента, а не хакера. Именно поэтому, а еще из просмотра множества вестернов, у Клиента возникает уверенность, что Банки сделают все, чтобы его (Клиента) деньги сохранялись в Банке максимально надежно, несмотря на то, что множество маргинальных личностей и их объединений хотят Банки ограбить.

Я тоже смотрел эти фильмы, но никогда не слышал, чтобы банкиры кричали в трубку: «Бони и Клайд грабят клиентов», обычно все бывает по-другому, и банкиры сообщают в полицию, что «Грабят мой банк!». Кажется, что такая позиция является социально ответственной, ведь если у тебя украли деньги Клиента - верни их ему, а потом ищи грабителей. Не можешь, потому что вместо сейфов поставил деревянные тумбочки, - ну что же, объявляй себя банкротом и полезай в долговую яму.

Положения нового ФЗ 161, защищающие интересы Клиента, это наиболее сильные его места. Законодатель точно определил, что если Банк выполнил распоряжение не Клиента, а хакера, то к хакеру попали не деньги Клиента, а деньги Банка. И не Клиента нужно отправлять в полицию с заявлением: «У меня украли деньги!», а совсем наоборот - в полицию отправляется Банк, предварительно вернув утраченную сумму на счет клиента. А вот если Банк этого не сделает, то тогда в полицию должен обратиться Клиент, но не с заявлением о пропаже денег, а с заявлением о том, что его деньги Банк взял и не возвращает. Деньги, которые Клиент положил в Банк, должны находиться в безопасности, и именно Банки должны такое положение вещей обеспечить. Для этого Банки и их профессиональные объединения должны предпринять, с одной стороны, антихакерские меры, а с другой - меры, позволяющие надежно отличать Клиента от хакера.

Сегодняшнее состояние многих Банков можно характеризовать как растерянность. Банки понимают, что изменения неизбежны и Закон в целом правилен, но боятся ответственности и, это главное, не знают, как, какими средствами обеспечить его выполнение. И здесь нельзя оставлять Банки один на один с этими проблемами. Не поможем обеспечить приемлемые по цене, надежные и доверенные средства идентификации Клиента - и Банки вынуждены будут искать изъяны в хорошем законе и добиваться его изменений, чем, конечно, сильно его испортят.

Реальная безопасность операций может быть обеспечена только в доверенной среде, которая должна быть создана и в Банке, и у Клиента. Причем достаточную надежность при взаимодействии Банка и Клиента и приемлемую стоимость, в том числе для Клиента, обеспечивают только средства доверенного сеанса связи (ДСС).

Мало какой Банк сможет создать только для себя надежную систему идентификации. Выход видится в создании национального оператора идентификации Национальной платежной системы (НОИ НПС). Взяв на себя все риски Банков, связанные с ошибками идентификации, НОИ НПС мог бы предоставлять Банкам эту абсолютно необходимую услугу за весьма небольшую плату. Техническое обеспечение НОИ НПС может быть предоставлено вычислительным центром МФТИ, имеющем необходимые вычислительные и телекоммуникационные ресурсы.

В свою очередь, Клиент должен иметь возможность осознанного выбора тех или иных средств идентификации. Если Клиент допускает для себя высокий уровень риска - он может идентифицироваться банковской карточкой или даже ключом от подъезда - это его дело и его риски. Но эти риски Клиент должен осознавать! Это значит, что регулятор должен обязать Банки в договорах о ДБО явно оговаривать перечень и характеристики тех рисков, которые Клиент принимает на себя, выбирая тот или иной механизм идентификации. Например, если Клиент выбирает за 500 рублей токен, работающий в недоверенной среде, то все риски утраты денег он принимает на себя. Зато ему дешево и удобно. А если Клиент рисковать не хочет - то он выберет более дорогое средство ДСС и будет перезагружать компьютер перед сеансом связи с Банком. Чуть более неудобно, но все риски Клиента в этом случае лежат на НОИ НПС, а у Банка остаются только его информационные риски.

Конечно, необходимо совместно с регулятором разработать правила выполнения банковских операций при предоставлении услуг ДБО, а системы ДБО нужно сертифицировать на соответствие этим правилам, а также как ИСПДн и по требованиям на правильность встраивания СКЗИ. Это нагрузка на вендоров систем ДБО, но это нагрузка абсолютно необходимая для обеспечения безопасности граждан. Это нагрузка и на вендоров средств идентификации - но все с этим согласятся, так как только регулирование может навести порядок на этом рынке, исключив из него недобросовестных игроков, обманывающих потребителей.

Сегодня известен положительный опыт отраслевой сертификации, и его можно расширить на системы ДБО. Основой такой системы может стать система сертификации ВНИИПВТИ, уже на протяжении ряда лет выполняющая такие работы в интересах Ростелекома как оператора компьютерных систем информационного общества.

И последнее. Я считаю закон, за которым Клиент чувствует себя как за каменной стеной - хорошим Законом. Думаю, что так же должны считать и банки. А наша задача - помочь банкам справиться с непростой задачей, не откладывая решение в долгий ящик.

Автор: Конявский В. А.

Дата публикации: 01.01.2012

Библиографическая ссылка: Конявский В. А. Банки, люди и их деньги // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 140–141.

---