Заявление Центробанка о намерении бороться с доходами, полученными преступным путем, методом отслеживания IP и MAC-адресов клиентов дистанционного банкинга, вызвало бурную реакцию на рынке. О том, какие проблемы может вызвать этот подход, в интервью Bankir.Ru рассказывает управляющий директор OptimaInfosecurity (группа Optima) Неманья Никитович.
— Из заявления Центробанка следует, что ЦБ намерен отредактировать положение «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Основная суть претензий экспертов к этой декларации Центробанка?
— Большинство экспертов уже заявили о том, что пользование системами ДБО с мобильных устройств, через wi-fi доступ и прочими «публичными» способами будет слишком затруднено и, скорее всего, банкам попросту придется его заблокировать. Это значит, что количество онлайн-транзакций резко упадет.
Представьте себе, что случится, если онлайн-доступа к своему счету лишатся люди, находящиеся в командировке или на отдыхе и пользующиеся интернет-доступом в отеле или ресторане с динамическим IP – как раз те люди, которым чаще всего нужно обращение к системе онлайн-банкинга.
Таким образом, пытаясь обезопасить банки и их клиентов от неожиданных транзакций, произведенных в бутике пятизвездочного отеля в Шанхае в 3 часа ночи, в то время как владелец счета мирно спал в московской квартире, Центробанк рискует лишить их удовольствия пользования своим счетом любым другим способом, кроме домашнего компьютера, чей IP и MAC-адрес известны ЦБ и не могут вызвать вопросов
— А вообще реально, что и они не «вызовут вопросов»?
— Судите сами. База данных таких адресов должна быть составлена в месячный срок.
Сегодня число пользователей интернет-банкинга в России равно 9,5 млн. человек, за 2011 год оно увеличилось на 3,4 млн. В способности банков собрать информацию по всем клиентам эксперты также сомневаются.
Предложение Центробанка вызвало резкую реакцию банковского сообщества: как известно, Национальный платежный совет обратился в ЦБ с открытым письмом, в котором перечислил все риски принятия нового положения.
Но пока никаких новых комментариев от ЦБ не поступало. Попробуем понять, так ли уж катастрофично по своим последствиям обязательное указание IP и MAC-адреса, с которого клиент намерен входить в систему онлайн-банкинга.
Вячеслав Антонов и Степан Никитович Варанкин. Гастарбайтер.
В проекте указания ЦБ говорится, что необходимо указывать «сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых юридическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным юридическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг».
— На первый взгляд, в отношении юридических лиц предложение кажется более логичным
— На первый – да. Однако, что прикажете делать, если ваша компания сменила провайдера и автоматически сменила IP-адрес? Обновлять информацию, имеющуюся у регулятора?
Вероятно, именно так.
Законодательство и различные отраслевые стандарты обязывают, скажем, европейские банки в любой момент быть готовыми дать ответ, кто, откуда и когда совершил то или иное действие в системе онлайн-банкинга. Для того, чтобы заблокировать доступ в банковскую систему сомнительному пользователю, существуют существенно более продвинутые технологии, лежащие в области информационной безопасности.
Совершенно нет смысла отрубать человеку голову, чтобы излечить его от головной боли.
Российским банкам нет смысла изобретать велосипед, потому что он уже изобретен в странах Запада. Российская банковская система может использовать европейский опыт и быть даже более успешна в этом, потому что у нее есть возможность учесть европейские ошибки.
Конечно, при этом постаравшись не совершать своих собственных.
— А что подсказывает западный опыт в этой сфере?
— Возвращаясь к использованию IP и MAC-адресов, следует сказать, что в Европе они используются для нужд расследования незаконных списаний денег и всевозможных атак на системы онлайн-банкинга. Получив IP-адрес, власти получают возможность выяснить, кто использовал его в момент атаки и т.д.
Также информация об IP и MAC-адресах оказывается полезной, так как мошенники действуют, подключаясь по сетям VPN или используя компьютер клиента как прокси-сервер.
Но ни в Европе, ни где-либо в цивилизованном мире IP и MAC-адреса не являются информацией, которую банк или любой проверяющий орган затребует заранее, чтобы сверяться с ней и в зависимости от соответствия или несоответствия этой информации блокировать или нет конкретную транзакцию! Сходным образом можно запрещать клиентам банков совершать банковские операции в офисе, если они пришли в этот офис не из дома, где они прописаны, а, скажем, из гостей.
Им можно просто отказывать в идентификации.
Остается одно-единственное предположение: ЦБ намерен составить базу данных адресов, чтобы в дальнейшем облегчить возможные расследования по инцидентам. Транзакции, совершаемые с динамических или просто иных IP-адресов, блокироваться не должны.
В противном случае система ДБО в России существенно пострадает, что станет не только технологическим, но и отраслевым откатом назад.
Трудно поверить, что перед Центробанком стоит именно такая цель. Скорее всего, российская банковская система продолжит свое поступательное развитие
