18/11/20
Сегодня в рамках кибербитвы и конференции по информационной безопасности The Standoff состоялась пресс-конференция Positive Technologies и RBK.money «Плюсы и минусы современных технологий кредитно-финансового сектора». Эксперты компаний обсудили наиболее насущные вопросы — от платежей с помощью ссылок, QR-кодов и цифровой валюты до биометрии и новейших веб-технологий — и дали прогнозы на ближайшее будущее с точки зрения кибербезопасности.
Проблемы антифрод-решений
Ошибки автоматизации и связанные с ними риски — основная проблема современных антифрод-решений. Уменьшить количество ложных срабатываний и предотвратить ошибочную блокировку платежей поможет широкое внедрение автоматизации с использованием больших данных. При этом эксперты Positive Technologies уверены: ложные срабатывания антифрод-решений неизбежны.
«Чем больше банки пытаются обезопасить своих клиентов, тем с большими количеством трудностей клиенты будут сталкиваться из-за ошибок защиты, — отметил Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — Любая автоматизированная система строится на основе анализа эффективности. Алгоритм определения мошеннических транзакций может быть строгим — тогда растет количество выявляемых подозрительных операций, но чаще останавливаются платежи, либо, наоборот, более щадящим — тогда уменьшается количество ошибочно остановленных платежей, но и больше мошеннических платежей проходят незамеченными. Решение проблемы — поиск баланса между безопасностью и своевременным исполнением платежей, потребностями бизнеса».
Одним из путей повышения эффективности анализа платежей является блокчейн, обеспечивающий прозрачность платежа на каждом этапе. Необходимые шаги в этом направлении уже делаются — недавно анонсированный Центробанком цифровой рубль, например, основан именно на блокчейн-технологиях.
«Мы, наверное, единственный в мире разработчик софта, который свою платежную систему открыл с полностью исходными кодами в опенсорс. Сейчас большинство серверного парка в мире работает на системах под управлением Linux. Это такой опенсорсный проект, который еще в 90-х годах перевернул мое мировоззрение и драйвит меня до сих пор, — говорит Антон Куранда, технический директор RBK.money. — Уже тогда я понял, что можно взять целый исходный код, целую операционную систему и дистрибутивы, открыть их и дорабатывать самостоятельно. В RBK.money мы пришли к тому, что хотим стать теми, кто возьмет на себя эту миссию, и в платежной, финансовой, традиционно закрытой сфере станет изобретателями Linux. Наша платежная платформа – это Linuх в мире финансовых операций. Вы можете ее дорабатывать под себя, при этом возможные риски мы нивелируем лицензией, которая предоставляет полные исключительные права на это ПО. Вы легитимно можете взять исходный код, строить на его основе любые, закрытые или открытые коммерческие решения. При этом любые изменения в это ПО вносятся без каких-либо дополнительных наценок. Кроме того, в отличие от закрытых банковских систем, куда изменения могут вноситься годами, мы сохраняем гибкость, способность оперативно реагировать на угрозы, вносить усовершенствования в работу антифрод-решений и подстраивать защиту под нужды клиентов».
Быстрые платежи и телефон в качестве паспорта
Система быстрых платежей, запущенная 28 февраля 2019 года, позволяет клиентам банков переводить деньги по номеру мобильного телефона и платить за товары в торговых точках по QR-коду вне зависимости от того, в каком банке открыты их счета.
Кроме несомненного удобства, система быстрых платежей принесла пользователям и новые риски, ведь клиент идентифицируется не по паспорту, как в отделениях банков, и не по связке «кредитная карта — код подтверждения», как в традиционных системах, использующих протокол 3-D Secure, а по номеру телефона, к которому привязана банковская информация плательщика.
«Использование телефона в качестве удостоверения личности (и даже в качестве идентификатора получателя, как это делает система быстрых платежей) несет дополнительные риски. Например, процедуры восстановления утерянных сим-карт позволяют мошенникам получить в свое распоряжение сим-карту клиента банка, а уязвимости банковских приложений — привязать номер телефона жертвы к своему собственному счету, — предупреждает Дмитрий Кузнецов, директор по методологии и стандартизации Positive Technologies. — К традиционным способам мошенничества добавляются новые, связанные с использованием телефона».
Биометрия как способ идентификации клиента набирает популярность, но и она несет в себе серьезные риски. Говоря об очень высокой надежности биометрической идентификации, обычно приводят в качестве примера идентификацию по отпечаткам пальцев или радужной оболочке глаза, - такие методы действительно имеют очень низкий коэффициент ошибок (FAR, т.е. вероятность ошибочного “узнавания”, менее 10-6). Но для дистанционной идентификации клиентов предлагаются совсем другие биометрические методы – идентификация по изображению лица и записи голоса. Такие методы имеют сравнительно низкую надежность (FAR порядка 10-4). Это – сравнительно низкий уровень надежности (для сравнения, такой же уровень ошибок дает верификация клиента по случайному четырехзначному одноразовому цифровому паролю). делающий возможным применение дипфейков — автоматической генерации изображения и голоса, которые успешно проходят биометрическую верификацию.
При этом практика показывает, что надежность идентификации практически не влияет на возможности мошенников: в большинстве случаев злоумышленники обходят механизмы аутентификации клиента или с помощью социальной инженерии, или с помощью уязвимостей в платежных приложениях.
К сожалению, многие инициативы банковского сектора по противодействию мошенникам, такие как создание единого реестра сим-карт, введение ограничений на разовую операцию в системе быстрых платежей, — клиенты воспринимают неоднозначно, часто негативно. Переломить подобное отношение, привить пользователям навыки элементарной цифровой гигиены — серьезная задача для банковского сообщества.
«Взломать можно кого угодно и что угодно, мы живем в таком мире и нужно просто принять этот риск. Нельзя взломать онлайн только отшельника, который живет в горах и не использует электронные устройства, — дополняет Антон Куранда, технический директор RBK.money. — Поэтому нужно развивать систему защитников кибергородов, проводить больше практических, обучающих мероприятий по аналогии с The Standoff, активно привлекать молодежь. В идеальном мире подобные кибергорода могут стать частью образовательной программы в университетах, школах, где дети могут вживую посмотреть, что такое кибергород, как он работает. При таком подходе у них будет совершенно другое отношение к киберугрозам и кибербезопасности. Эта отрасль сильна своими специалистами и важно уже повышать уровень защитников и сотрудников служб по киберпезопасности, так как рынок в них сейчас остро нуждается».
Кроме того, специалисты Positive Technologies и RBK.money отметили, что интеграция системы быстрых платежей в социальные сети и мессенджеры не может не привлечь пристальное внимание злоумышленников.
