Разделы

Телеком Безопасность Мобильная связь Стратегия безопасности Пользователю

Мобильный банкинг в России: удобен, но опасен?

Услуги мобильного банкинга становятся все более популярными и существенно облегчают жизнь как клиентам, так и самим финансовым учреждениям. Тем не менее, на другой чаше весов один, но большой минус: использования телефонов для доступа к банковским услугам существенно понижает уровень безопасности и повышает шансы злоумышленников завладеть данными или деньгами. Причем по большей части это вина отнюдь не банков.

Пожалуй, наиболее обширный функционал имеет система HandyBank, в которую входят около 50 банков-провайдеров, включая "Альта Банк", "Интерпрогрессбанк", "Ренессанс Кредит" и другие. Она поддерживает, в частности, мгновенный перевод средств на счет клиента от других участников системы, стандартные банковские платежи по реквизитам, оплату покупок в интернет-магазинах и все прочие действия, предусмотренные интернет-банком.

Подобных систем насчитываются десятки, но функционал лишь 15 из них, по оценке "Эксперт РА", удовлетворяет ожиданиям пользователей.

Знакомство вслепую

Чем больше возможностей по выводу средств предоставляет система мобильного банкинга, тем больше желающих воспользоваться ими неправомерно. Вопрос, как обычно, только в том, как это сделать.

Банк не может проверить документы человека, работающего в системе через смартфон или планшет. Отсюда возникают угрозы: злоумышленник может завладеть мобильным устройством или же данные из устройства могут быть перехвачены шпионским ПО и отправлены преступникам.

Такие ситуации вполне реальны. Активных пользователей мобильного банкинга в России, по экспертным оценкам, несколько сотен тысяч (хотя и публикуются пресс-релизы о миллионах подключившихся к "мобильному банку", многие клиенты не продвигаются дальше получения смс об операциях по карте). Ежегодно в России происходит около 100 тыс. краж/утерь мобильников и КПК. Если владелец записал в памяти телефона свой пароль к банковскому приложению, преступник имеет большие шансы снять с его счета все доступные средства.

Помимо этого, клиент может стать жертвой несанкционированного доступа к его данным, просто загрузив со стороннего сайта игру или другое приложение, содержащее вредоносный код. Во время очередного выхода в интернет личные данные отправятся к новому владельцу.

Простота хуже воровства

Статистика показывает, что подобная безалаберность со стороны клиента - это реальность. Согласно недавнему исследованию Ponemon Institute в США, 29% владельцев телефонов хранят в них данные о своих пластиковых картах. 90% опрошенных понятия не имеют, что сами могут загрузить на телефон шпионскую программу. Столько же людей не знают, что финансовые приложения для смартфонов передают в интернет детали платежа, включая данные о карте.

Случаи реальных мошеннических действий со счетами клиентов через мобильные устройства банки предпочитают не разглашать, опасаясь за свою репутацию, которая дороже денег. Но известны ситуации, когда осуществлялась атака пользователей интернет-клиентов как минимум двух крупных российских банков, когда троянская программа меняла записи в файле hosts на компьютерах жертв и вместо сайта своего банка люди попадали на фишинговые сайты, где и вводили пароли.

Что касается мобильных устройств, то, согласно отчету фирмы Juniper Networks, за последний год вчетверо выросло число вирусов, выявленных для системы Android. Существуют зловредные программы и для других мобильных платформ, включая iOS. Иногда ошибаются сами банки. Так, недавно Sitibank обнаружил критическую уязвимость в своем мобильном клиенте для iPhone. Приложение сохраняло скрытые файлы с персональными данными об аккаунте клиента, включая номера банковских счетов, выставленные на оплату счета и пароли доступа к системе.

Еще одна проблема заключается в том, что для реализации услуги мобильного банкинга необходимо сотрудничать с другими организациями, такими как сотовые операторы и небанковские платежные системы. Банкиры и так имеют к ним претензии, поскольку и первые, и вторые постепенно начинают оказывать чисто банковские услуги, но играют на этом рынке по упрощенным правилам из-за отсутствия таких жестких регуляторов как Центробанк или Росфинмониторинг. А тут еще необходимо доверить операторам связи передачу собственной финансовой информации на "последней миле", пусть и по защищенным каналам. Стандарт ЦБ по информационной безопасности в банках прямо называет зависимость от поставщиков, провайдеров, партнеров и клиентов одним из основных источников ИБ-угроз. Не в последнюю очередь это связано с тем, что у них отсутствует такое жесткое регулирование вопросов безопасности как в банках. Но выгода от предоставления услуги оправдывает и эти риски.

Поиск стандарта

Борьба за безопасность мобильного банкинга сегодня ведется как в области совершенствования банковских систем, так и в сфере пропаганды "основ безопасной жизнедеятельности" среди клиентов. Согласно требованиям Стандарта ЦБ, они должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций, включая информацию о возможных рисках. Эти инструкции содержатся на веб-сайтах банков и в буклетах по банковским услугам.

Сложнее обстоит дело с системами. Прошлогоднее исследование ДБО для физлиц, проведенное CNews Analytics среди банков Топ100, показало, что "интернет-клиент" есть у 70%. Среди них 33,6% пользуются системами собственной разработки. На втором месте решения компании "Банк Софт Системс" (BSS) – 29,3%. Третье место с 9,3% заняла компания "Бифит".

Те же участники поделили ведущие места среди систем интернет-банкинга для юрлиц (в них также существуют решения для мобильных устройств), только собственные разработки банков уступили продуктам BSS (17,5% и 48,4% соответственно), третье место занял "Бифит" с 14,8%.

Естественно, эти данные не означают, что так же распределились пользователи систем, поскольку банки отличаются по количеству клиентов.

Множество систем собственной разработки и отсутствие обязательного стандарта по обеспечению безопасности при проведении мобильных операций привели к разнообразию форм защиты данных.

Одни банки требуют личного присутствия клиента в офисе при регистрации мобильного банка на его имя. Другие упрощают эту процедуру и подключают к системе через интернет-клиент, банкомат (терминал) или по звонку в контакт-центр с вводом пин-кода с клавиатуры телефона.

Приложение для телефона или планшета обычно скачивается с сайта банка. Но есть и своеобразные решения. МБРР заключил соглашение с МТС, и при регистрации "мобильного банка" обменивает сим-карту клиента на аналогичную, с тем же номером и балансом, но с уже установленным на ней банковским приложением.

Как правило, сами приложения защищены паролем. Поскольку, как уже говорилось, многие люди хранят персональные данные непосредственно в телефоне, широко используются другие средства аутентификации: одноразовые пин-коды подтверждения транзакций, часто действительные лишь несколько минут; скретч-карты, ЭЦП и аналоги собственноручной подписи.

Перспективы есть

Несколько лет назад среди потребителей банковских услуг преобладал скептицизм в отношении мобильного банкинга. Он был обусловлен не только ограниченными, в основном чисто информационными возможностями, но и недоверием к обеспечению безопасности (хотя кому нужна в лучшем случае тысяча рублей, остающаяся на счете после снятия зарплаты в регионах) и нежеланием разбираться в продвинутых функциях своего мобильного устройства.

Сегодня рынок мобильного банкинга в России растет опережающими темпами по отношению к росту ДБО в целом. По оценкам экспертов, к 2013 году число пользователей интернет-банкинга возрастет на 35%, а мобильного банкинга – на 105%. Причин этого явления несколько.

Во-первых, появились реальные возможности управления счетом. Во-вторых, услуга удобна благодаря своей оперативности. В-третьих, желание комфорта пересиливает сомнения относительно безопасности, тем более что заголовки СМИ не пестрят сообщениями о преступлениях в этой сфере.

Павел Притула / CNews