Статья о защите данных в журнале ПЛАС
В майском номере журнала «ПЛАС» опубликована статья Павла Есакова, эксперта по системам аутентификации ООО «Потенциал», о несанкционированных переводах со счетов.
Полная версия статьи доступна ниже:
Скоро вступит в силу постановление Банка России №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Существует мнение, что оно фактически запрещает использование SMS и PUSH-кодов для переводов в онлайн-каналах.
На что же обращает внимание Павел Есаков:
В документе (№683-П – прим. ред.) имеется раздел 5.1, который касается механизмов подтверждения операций, проводимых по каналам дистанционного банковского обслуживания. ЦБ требует использования электронной подписи в рамках 63-ФЗ, что никоим образом не делает невозможным использование SMS и push каналов доставки кодов подтверждения банковских транзакций. Единственное ограничение – это использование простой электронной подписи (статического пароля), которая не связана с данными транзакции и абсолютно непригодна для финансовых операций.
Если стать на абсолютно формальные позиции, то в соответствии с требованиями 63-ФЗ устройство формирования подписи должно находиться под единоличным контролем лица, использующего электронную подпись. В реальной жизни код подтверждения вместе с данными о проводимой операции клиент банка получает по SMS или push каналу доставки, и полученный код подтверждения (усиленная неквалифицированная подпись) отправляется в банк вместе с содержимым транзакции. Можно говорить о том, что де-юре данный механизм не полностью соответствует 63-ФЗ, но использование аналогов собственноручной подписи регулируется Гражданским кодексом, который позволяет использовать любой вид аналога собственноручной подписи, закрепив это в договоре с клиентом, чем и пользуются практически все банки.
Так что появление положения 683-П практически не может привести к отмиранию ни SMS, ни push каналов доставки кода подтверждения операций.