МОБИЛЬНЫЕ КЛИЕНТЫ систем ДБО были одной из ключевых тем iFin 2014 |
В начале февраля прошла ежегодная выставка-конференция iFin 2014, которая была посвящена системам дистанционного банковского обслуживания и особенно их защите, для которой участники выставки предлагали и аппаратные устройства, и программные решения, и целые комплексы.
Второй по популярности темой обсуждения стали системы мобильного банкинга, которые тем не менее часто оказываются связанными с первой: мобильные устройства выступают в качестве определенного гаранта безопасности при совершении удаленных транзакций. Мобильные устройства используют и для пересылки одноразовых паролей, и для визуализации реквизитов платежа, и для подтверждения с помощью голосовой связи параметров транзакций.
Внедрение в банках устройств для защиты банковских транзакций было начато еще в прошлом году. На прошлой выставке как раз появились инструменты для заверения платежных поручений посредством iPad с присоединенным к нему дополнительным считывателем смарт-карты, который предложила рынку компания «Аладдин Р.Д.» (см. «Заверено на планшете», Computerworld Россия, № 04, 2013).
Сейчас этот инструмент интегрировали в свои ДБО-решения для планшетов практически все производители банковского программного обеспечения.
Однако стало понятно, что подписать документ электронной подписью уже недостаточно, поскольку троянские программы просто видоизменяют платежное поручение перед его подписанием и отправляют его в банк на исполнение.
Для борьбы с троянцами производители предложили банкам более сложную систему верификации — с помощью специального устройства с небольшим экраном, на котором показываются подробности транзакции.
В прошлом году был продемонстрирован считыватель SafeTouch одноименной компании, а в этом свою разработку TrustScreen показали представители компании «Бифит». Предложенное ею устройство совмещает в себе визуализатор транзакций и процессор для изготовления электронной подписи.
Компания «Аладдин Р.Д.» ведет совместный проект с «МегаФоном» и Gemalto по разработке SIM-карты со встроенной российской электронной подписью. В этом случае транзакция формируется на сервере любым способом — с помощью мобильного клиента, планшета или компьютера. По ней генерируется выписка с основными параметрами транзакции и хэшем документа, который передается на мобильный телефон в виде SMS. Работающий в SIM-карте апплет собирает сообщение в единое целое, блокирует операционную систему общего пользования (Android или iOS) и показывает пользователю сообщение от банка на экране самостоятельно. Если пользователь подтверждает транзакцию с помощью специального кода, то сообщение подписывается в SIM-карте и отправляется на сервер банка для исполнения, и только после этого операционная система разблокируется.
Впрочем, клиенты все равно с недоверием относятся к мобильным банковским клиентам. Некоторые из-за того, что защита кажется им слишком слабой, а некоторые — из-за неудобства постоянного ввода паролей и PIN-кодов.
Для решения этой психологической проблемы специалисты по эргономике из компании UsabilityLab рекомендуют дать пользователям выбор из нескольких средства защиты — пользователь должен сам определить, какие из них ему стоит использовать для текущей транзакции.
Эксперты по безопасности рекомендуют также и банку ввести лимиты на разные суммы транзакций: минимальные подтверждать паролем или PIN-кодом, более крупные — при помощи дополнительных устройств, а наиболее объемные — не только с помощью устройств, но и дополнительным звонком клиенту для подтверждения реквизитов.