ЦБ обновляет правила защиты банковской информации.
Центральный банк России опубликовал проект положения об обязательных требованиях к защите информации российскими банками и филиалами иностранных кредитных организаций для противодействия операциям без согласия клиента (ОБС). Это положение придет на смену действующему сегодня 683-П.
Одним из ключевых нововведений, согласно мнению специалистов, станет возможность для клиентов системно значимых банков и кредитных организаций подавать заявления о преступлениях в МВД через банк. Уже налажен и функционирует электронный документооборот между МВД, Центральным банком и кредитными организациями, и теперь этот процесс планируется расширить на клиентов. В мобильных приложениях банков появится опция, позволяющая отправлять заявление о преступлении в МВД. Это позволит создать цепочку взаимодействия между клиентом, банком, Центральным банком и Министерством внутренних дел.
Также предполагается, что банки будут обязаны фиксировать параметры и метаданные финансовых операций при каждом поступившем от клиента заявлении. Среди таких данных будут указаны счета, реквизиты электронных кошельков и номера телефонов. Данный подход не только экономит время клиента, но и обеспечивает передачу всей необходимой информации полиции, избавляя жертву преступления от необходимости предоставлять дополнительные выписки по счетам. Полиция на местах часто сталкивается с трудностями в расследовании подобных дел из-за нехватки компетенций и проблем взаимодействия с банками, что замедляет процесс.
Одна из значительных проблем при расследовании мошенничеств — это потеря времени, и новый подход позволит частично решить эту проблему, считают эксперты в области информационной безопасности.
Однако, спорным остается пункт проекта, который предполагает, что криптографические ключи могут изготавливаться не только клиентом, но и банком от его имени. Это может привести к риску оспаривания клиентом транзакций, подтвержденных таким ключом, что потребует от банков внедрения дополнительных механизмов защиты и регистрации операций.
На данный момент большинство банков используют СМС-подтверждение для авторизации операций. СМС-код генерируется на стороне банка, отправляется через оператора сотовой связи и только затем поступает клиенту. Такая схема уже долгое время позволяет клиентам оспаривать переводы денежных средств.
В новой версии документа вводятся дополнительные понятия, направленные на устранение уязвимостей, включая упоминание криптографических ключей. Однако в текущем проекте не указано, где именно эти ключи должны храниться и как их использовать. По мнению экспертов, наиболее безопасным вариантом было бы явное указание на необходимость хранения криптографических ключей на стороне клиента. В противном случае сохранится ситуация, при которой некоторые кредитные организации, трактуя положения документа, реализуют защитные механизмы только на своей стороне, оставляя клиентам лишь SMS или push-коды, что создает дополнительные риски.
Ладно, не доказали. Но мы работаем над этим