Технологии ДБО должны обеспечивать максимальное удобство и безопасность пользователя
Статья Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."
Может ли информационная безопасность быть бесплатной? Специалисты понимают, что это вряд ли возможно. Если же человек находится в состоянии абсолютной неосведомленности, некая иллюзия бесплатности может возникать, когда на безопасность не приходится тратить деньги напрямую.
Например, вместо использования услуг интернет-банкинга можно поехать в офис и произвести оплату с помощью операциониста. Или, зная о мошенничествах с использованием банковских карт, заплатить в магазине наличными. Вроде бы денег за безопасность в этих случаях платить не приходится, но взглянем внимательно: в первом случае мы платим временем, деньгами за проезд, оперативностью платежа; во втором – необходимостью иметь при себе наличные, что влечет за собой новые риски (утеря, кража, мошенничество и т.п.).
Однако вопрос не только в очевидной необходимости обрабатывать риски, связанные с использованием тех или иных сервисов, т.е. оценивать угрозы и принимать решения о реакции на них. Важно элементарное желание этими сервисами пользоваться. Возьмем для примера карты одноразовых паролей.
Вспомните стандартное предупреждение: «Не держите карту с паролями вместе с банковской картой». Однако карты все равно приходится носить с собой, ведь запомнить пароли может, пожалуй, только гений. Возникнет ли у вас желание постоянно вводить труднозапоминаемый логин и многозначный пароль? Добавим к этому такой недостаток, как необходимость каждый раз ездить в отделение банка для получения карт. Кроме того, зачастую невозможно использовать все 20 паролей, потому что они отпечатаны так, что стираются уже к моменту использования пятого.
При этом банкиры удивляются тому, что, по самым оптимистичным оценкам, 80% держателей пластиковых карт пользуются ими исключительно для снятия наличных, а из остальных 20% к услугам дистанционного обслуживания прибегает столь малое число клиентов, что содержание систем ДБО окупается только у крупных банков. Что касается россиян, то, по оценкам специалистов, чуть более 55% имеют пластиковые карты, но только 13% из них используются для чего-то кроме снятия наличных.
При этом западные специалисты отмечают недостаточное количество офисов обслуживания. Это вполне логично: российский рынок пластиковых карт начал развиваться значительно позже западного. Кроме того, и плотность населения, и ее неравномерность по стране не могут не влиять на текущий результат. Те же специалисты отмечают активный рост на рынке пластиковых карт, который не остановил (хотя и замедлил) даже кризис. Тенденция вряд ли изменится, и в течение 5-10 лет мы вполне сравняемся в этой области с западными странами. Но, как ни странно, именно текущее отставание может оказаться преимуществом. Невозможность открывать физические офисы банков в отдаленных частях страны может быть компенсирована более активным развитием дистанционного банковского обслуживания. При этом важно стремиться к тому, чтобы технологии ДБО обеспечивали максимальное удобство и безопасность пользователя.
Самое красивое решение здесь могло бы выглядеть следующим образом: клиент подключает к компьютеру по стандартному порту (сейчас это, скорее всего, USB) некое устройство, которое автоматически устанавливает защищенное соединение с банком, предоставляет пользователю экранный интерфейс для ввода данных платежа и запрашивает у пользователя PIN-код. В качестве дополнительного средства аутентификации может выступать биометрический признак. Далее устройство, самостоятельно приняв решение об аутентификации, «договаривается» с банком об осуществлении транзакции. Банку же остается только передать клиенту информацию о совершенных операциях.
Все то же самое может осуществляться с помощью мобильного телефона с соответствующей SIM-картой или картой памяти. При этом клиент избавлен от необходимости набирать в браузере адрес сайта банка, искать на сайте нужную ссылку, проверять, что соединение осуществляется по защищенному https-протоколу, вводить логины и пароли, а также дополнительные графические коды. К сожалению, на сегодняшний день в некоторых системах ДБО механизм доступа зачастую реализован так, что возникает желание попросту сменить банк.