Это интересно

Взять кредит и жениться можно будет по смартфону

Российские разработчики программного обеспечения для электронного документооборота нашли способ «привязать» цифровую подпись гражданина к его смартфону. 

Программно-аппаратный комплекс «КриптоПро DSS» с модулем аутентификации myDSS недавно был сертифицирован Федеральной службой безопасности. В результате долгожданного прорыва в России впервые появилась легальная технология электронного документооборота с помощью мобильного приложения на смартфоне. 

В интервью Федеральному агентству новостей авторы разработки сообщили о том, что первые юридически значимые электронные операции с использованием мобильного телефона запланированы уже на этот месяц.

ФСБ подтверждает надежность

«Раньше в России не было, по сути, ни одного способа легально наложить электронную цифровую подпись при помощи смартфона, — рассказал корреспонденту ФАН генеральный директор компании-разработчика SafeTech Денис Калемберг. — Средство подписи должно было быть сертифицировано ФСБ, которая далеко не сразу выдала сертификат: было много требований к безопасности технологии. В конечном итоге, мы выполнили все требования и получили сертификат. Это первое подобное решение в России».

Технология криптографического преобразования электронного документа с использованием так называемого «ключа электронной подписи» начала применяться в России еще в 1990-е годы. В 2000-х были предприняты попытки популяризировать ее под эгидой развития электронного правительства. Однако за прошедшие годы это решение так и не стало массовым, поскольку требовало сложной и дорогостоящей установки специального ПО на компьютер и получения криптографического «ключа» (токена).

Денис Калемберг

«Рынок электронного документооборота у юридических лиц довольно неплохо развит, в том числе взаимодействие с госструктурами, тендерные площадки, активно используется дистанционный банкинг, — поясняет Калемберг. — Если же говорить про попытки применения квалифицированной электронной подписи в массовых проектах, то есть ориентированных на население, например, госуслуги для граждан, то это натыкалось на огромную сложность в масштабировании, потому что очень дорого. Ну, и как вы какой-нибудь бабушке объясните, как устанавливать программное обеспечение, настраивать его, генерировать ключи?»

Авторы технологии, получившей официальное одобрение ФСБ, взяли за основу идею размещения криптографического ключа для электронной цифровой подписи в так называемом «облачном» хранилище, реализованную одним из основных игроков рынка криптографии в России — компанией «КриптоПро». «Облако» позволяло избавиться от трудностей с установкой и настройкой программного обеспечения у пользователя, но не решало вопроса безопасности электронного документа до момента его передачи на сервер подписи.

Вопрос о том, как подтвердить, что электронный документ отправлен на подпись в облачное хранилище именно законным владельцем ключа подписи, оставался открытым. Тогда была разработана технология подтверждения личности владельца цифровой подписи с помощью смартфона.

«Для начала работы клиент приходит в удостоверяющий центр, который подтверждает его личность, затем скачивает приложение, сканирует QR-код, и с этого момента у него есть персонализированное средство подписи в смартфоне», — объясняет генеральный директор SafeTech.

Пользователь создает какой-то документ или электронную операцию — без разницы — и нажимает кнопку «Подписать». У него в смартфоне появляется этот документ: он его может увеличить, рассмотреть, если это договор, он все страницы договора увидит и проверит, что это действительно тот документ, который он хочет подписать, и нажимает «Подтвердить».

После этого незаметно для клиента происходят криптографические преобразования, в которых участвуют ключ клиента, который хранится в зашифрованном виде на смартфоне, сам документ, отпечаток смартфона и время. Можно даже проконтролировать место, где сделана подпись…

«Приложение собирает большое количество параметров, чтобы максимально защитить операцию, чтобы никто не мог, условно, сделать дубликат телефона, перевести на другой и с него запустить. Этого не получится — не будет работать», — добавляет собеседник ФАН.

Решение вопросов информационной безопасности, по словам авторов программно-аппаратного комплекса, отняло больше всего времени. Именно достаточный уровень защиты данных был главным условием выдачи сертификата в ФСБ.

«Ни одна из попыток взломать приложение не удалась, даже с учетом того, что мы передавали его исходные коды — а у хакера нет исходных кодов. Мы передавали эти коды и людям, которые профессионально этим занимаются, но взломать не удалось, — рассказывает Денис Калемберг. — При этом в нашей сфере нельзя никогда говорить о том, что какое-то решение обеспечивает стопроцентную безопасность, нет даже понятия такого».

Однако можно с высокой долей уверенности говорить о том, что эта технология обеспечит не меньший, а то и больший уровень безопасности, чем нынешние способы работы с электронной подписью, добавляет разработчик.

Федеральное агентство новостей / Скриншоты программы

Мнения экспертов

Между тем, основатель научной школы «Электронная криминалистика», доктор юридических наук и эксперт по информационной безопасности Виталий Вехов прогнозирует всплеск числа жалоб к создателям программы, как минимум, в первые полгода. По его мнению, массовое использование приложения может проявить недочеты, которые сейчас незаметны.

«Как всякая технология, это палка о двух концах: всплеск жалоб на первом этапе будет, полностью защищенных технологий нет и быть не может. Но, тем не менее, на данный момент это намного лучше, чем то, что у нас существует, — считает эксперт. — У нас такая же проблема была с сервисом 900, когда мы привязывали карточку к номеру телефона и по номеру 900 Сбербанка могли совершать определенные лимитированные платежи на карты клиентов Сбербанка, на сим-карты».

Это очень удобная технология, и сейчас все это уже поняли, добавляет Вехов. Но в течение первого полугода, когда она только вводилась, были массовые хищения денежных средств, пока эта технология не была доработана с подачи специалистов, напоминает он.

Несмотря на настороженное отношение специалистов по IT-безопасности и юристов, авторы программно-аппаратного комплекса не успевают обрабатывать запросы от заинтересованных в подобном софте госструктур и фирм. Ожидается, что участниками самых первых электронных операций на смартфонах станут клиенты банков и пользователи мобильного банкинга.

«Сейчас очень много идет запросов по так называемым банковским маркетплейсам, — утверждает Калемберг. — Это те ситуации, когда банк хочет продать клиенту какую-то услугу по взаимодействию с государственными структурами: например, через банк зарегистрировать патент или право собственности на программное обеспечение».

pixabay.com/PD / Безопасность — главный приоритет

Многие не очень любят ходить по кабинетам, собирать кучу бумаг, поясняет директор SafeTech.

«А так банк выводит у себя в системе мобильного банкинга или интернет-банкинга красивый интерфейс, в котором надо нажать кнопку «Зарегистрировать юрлицо», и сразу куча информации заполнится автоматически, — добавляет разработчик. — Ввести останется только, например, название юрлица и владельца, после чего загрузить устав и нажать кнопку «Отправить».

В компании не называют своих потенциальных клиентов. Однако ФАН стал известен банк, который одним из первых предложит своим клиентам услуги электронного документооборота в смартфоне. Извещение о закупке программно-аппаратного комплекса размещено в разделе закупочных процедур на официальном сайте Сбербанка России.

На вопрос о возможности воспользоваться подобной услугой консультанты офиса, который посетил корреспондент ФАН в качестве обычного клиента, уверенно отвечают: «Возможно», — но со сроками ясности нет: скорее всего, не раньше 2019 года.

По словам специалиста Сбербанка, подобные сервисы внедрят сразу несколько банков. Это подтверждают и сами авторы комплекса. Среди потенциальных клиентов — финансовые и страховые компании, площадки электронной торговли и электронного документооборота, корпоративные клиенты и государственные структуры, заинтересованные в предоставлении гражданам госуслуг в наиболее комфортном для него виде.

Отмечается, что в перспективе с помощью смартфона можно будет оформить право собственности на квартиру или патент на изобретение, взять ипотеку, сдать налоговую декларацию и даже зарегистрировать брак, не выходя из дома.

«Есть вещи, которые не менялись с момента появления первых государств, например печати и подписи для заверения подлинности документа. Для цифровой экономики подобные анахронизмы являются неприемлемыми, — считает директор центра компетенций Fintech&Blockchain фонда «Сколково» Павел Новиков. — Технология PayControl от нашего резидента SafeTech наконец-то позволит сделать процесс подписи любого документа или транзакции максимально безопасным и удобным. Например, зарегистрировать брак или поставить на учет летающий автомобиль можно будет прямо в смартфоне».

В управлении ЗАГС города Москвы такой вариант исключать не стали, однако уточнили, что с 1 октября 2018 года будет осуществлен переход органов ЗАГС России на работу в Федеральной государственной информационной системе «Единый государственный реестр записей актов гражданского состояния» (ФГИС ЕГР ЗАГС), оператором которой станет Федеральная налоговая служба. Подключенный к ней комплекс электронной цифровой подписи с модулем аутентификации сможет заменить смартфоном функции нескольких десятков специалистов как органов ЗАГС, так и ФНС.

По словам авторов комплекса, решение может быть развернуто как полностью в инфраструктуре компании-заказчика, так и на мощностях сервис-провайдера, став при этом платформой для оказания высокодоступных и юридически значимых сервисов.

 

Анна Клименко

Опубликовано 17 сентября 2018 года на сайте Федерального агентства новостей (Riafan.ru) 
Подробнее...
Источник: https://riafan.ru/1099457-vzyat-kredit-i-zhenitsya-mozhno-budet-po-smart...

 

Банки оценили биометрию. Многим она оказалась не по карману

Определен перечень «базовых элементов», необходимых банку для сбора биометрических данных и передачи их в Единую биометрическую систему (ЕБС). Минимальные затраты на подключение банка с одним отделением составят около 4 млн руб., каждое новое отделение требует еще 130 тыс. руб. Избежать расходов не удастся — к концу 2019 года сбор биометрии должен быть обеспечен во всех отделениях всех банков. Но учитывая, что многие игроки почти не работают с населением, предлагается освободить их от этой обязанности.

На прошлой неделе в «Ростелекоме» прошло закрытое совещание, посвященное выполнению банками требований информационной безопасности при сборе биометрических данных у населения и отправке их в ЕБС. Как рассказали источники “Ъ”, в совещании приняли участие представители 20 крупнейших банков, ЦБ, «Ростелекома» и ФСБ. Участникам рынка изложили требования к аппаратно-программному комплексу банков: серверу (HSM-модуль), операционной системе, средству подписи снимаемой биометрии. Кроме того, указали на необходимость наличия у банка антивируса, межсетевого экрана, системы обнаружения угроз.

Рисунок: Виктор Чумачев / Коммерсантъ

В результате, по словам участников встречи, точно определен перечень «базовых элементов», необходимых для подключения к ЕБС, и можно рассчитать минимальную стоимость сбора данных. По оценкам главы «Айтуби» Ильи Тарасова, цена подключения банка с одним отделением — от 3 млн руб., где половина — расходы на киберзащиту (один HSM-модуль стоит 1,5 млн руб.), остальное — на оборудование для снятия данных и направления их в ЕБС. За каждое следующее отделение придется доплатить 130 тыс. руб., из которых 30 тыс. руб. это средства защиты, 60 тыс. руб.— оборудование для снятия биометрии на одно рабочее место, 40 тыс. руб.— компьютер сотрудника.

Кроме того, при подключении за работы по настройке оборудования, аттестацию системы ЕБС, разработку модели угроз и модели нарушений, а также за годовое обслуживание потребуется заплатить еще около 1,2 млн руб. Единожды подключившись к ЕБС, банки должны будут тратить по 800 тыс. руб. на обслуживание в год Избежать расходов не удастся: к 1 января 2019 года подключиться к ЕБС должно 20% отделений кредитных организаций, к 1 июля 2019 года — 60%, к концу 2019 года сбор биометрических данных должен происходить во всех отделениях всех банков.

Сейчас, по данным ЦБ, в России 476 банков (из них 39 в принципе не работают с населением), собирают и передают данные лишь 50 игроков. Как говорили “Ъ” в «Ростелекоме», на 2 августа в системе были данные 1,2 тыс. человек. Но многие банки сконцентрированы на обслуживании корпоративных клиентов, и поток граждан, желающих в их отделениях сдать биометрические данные или же получить услуги с их помощью, будет минимальным. «Мы работаем только с корпоративными клиентами, единственный офис находится рядом с отделением банка из топ-10,— рассказывает “Ъ” топ-менеджер небольшого банка.— Очевидно, что для нас расходы на подключение к ЕБС — деньги на ветер, тем более что придется также выделять и оборудовать помещение для сбора биометрии, нанимать отдельного сотрудника».

По словам главы Национального совета финансового рынка (НСФР) Андрея Емелина, исходно, когда только велась работа над соответствующим законопроектом, предполагалось, что собирать биометрию будут не все банки, и эту идею поддерживал ЦБ. «Но действующая редакция закона не содержит исключений, и это в корне неверно»,— отметил он. Теперь НСФР намерен обратиться в Госдуму с предложением внести поправки. Например, поясняет господин Емелин, для тех игроков, кто ориентирован на бизнес или на ипотеку, где услуги на основании биометрических данных не будут предоставляться, а также для тех отделений, где нет технической возможности осуществлять сбор биометрии, например из-за качества интернета и так далее. Внести изменения необходимо оперативно — в осеннюю сессию, подчеркнул он. Глава комитета Госдумы по финансовому рынку Анатолий Аксаков также считает нужным проработать вопрос и при необходимости инициировать внесение поправок к законодательству. Но далеко не последнее слово остается за ЦБ. Однако там пока комментируют ситуацию исключительно в рамках действующего законодательства. В пресс-службе Банка России подчеркнули, что сбор биометрии является обязательным для всех банков, соответствующих установленным законом критериям. К банкам, не выполняющим требование закона о переходе 20% отделений на сбор биометрии к 1 января 2019 года, будут применяться меры, предусмотренные статьей 74 закона о ЦБ. Функция по надзору за сбором биометрии закреплена за ЦБ.

 

Вероника Горячева

Опубликовано 3 сентября 2018 года в газете "Коммерсантъ" №158
Подробнее...
Источник: https://www.kommersant.ru/doc/3731093

 

Хакеры сводят дебет с кредитом. Для хищения средств они создают сайты для бухгалтеров

Тренд смещения интересов хакеров с банков на их клиентов порождает новые идеи для поиска жертв. Group-IB сообщила о выявлении группы из пяти полноценных бухгалтерских сайтов, созданных специально для хищения средств через систему «банк—клиент». По оценкам экспертов, подобный профильный «контент» потенциально может приносить злоумышленникам до 1,2 млн руб. в день. И пока банки с трудом могут защитить клиентов.

Group-IB сообщила о выявлении и блокировке сети из пяти бухгалтерских сайтов, целью создания которых было заражение посетителей банковскими троянами Buhtrap и RTM. Жертвами атак стали бухгалтеры, юристы и другие специалисты, работающие с системами дистанционного банковского обслуживания (ДБО). По оценке Group-IB, три ресурса, появившиеся в апреле, уже посетило не менее 200 тыс. человек.

Фото: Виктор Коротаев / Коммерсантъ

Схема была раскрыта после попытки загрузки вредоноса в одном из российских банков. В ходе расследования установили, что троян загружался с профильного бухгалтерского ресурса buh-docum.ru, содержащего сотни специализированных документов для бухгалтеров. Ресурс регулярно появлялся в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.).

Заражение происходило при скачивании документа. Сначала компьютер жертвы «обследовался» на предмет доступа с него к ДБО, и при подтверждении сервер отдавал команду на загрузку троянов.

По оценке Group-IB, каждая успешная атака ежедневно приносила злоумышленникам в среднем 1,2 млн руб.

Эксперты отмечают, что в данном случае злоумышленники отошли от прежних схем — взлом легального бухгалтерского сайта (см. “Ъ” от 25 августа 2017 года) или создание его клона. Дело в том, что при заражении легально работающего сайта вредонос может выявить его владелец. В результате теперь были созданы полноценные ресурсы с сотнями полезных документов. А как отмечает партнер Energy Consulting Юлия Гладышева, «если бухгалтеру нужен конкретный документ, которого нигде нет, он зайдет на любой сайт, любой форум для получения информации». При этом, по словам главного редактора «Клерк.ру» Марины Снеговской, попасть в топ запросов поисковика довольно просто, зная механизмы поисковой оптимизации.

По данным Positive Technologies, использование вредоносного программного обеспечения входит в число самых распространенных методов атак (63% всех атак, по статистике за первый квартал 2018 года), причем до 31% всех заражений вредоносным ПО происходит во время посещения зараженного сайта. При этом защищаться от вредоноса в подобных ситуациях должна в первую очередь сама организация.

По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, необходимо внедрять эшелонированную систему защиты и концентрироваться на создании процесса мониторинга событий ИБ на критических узлах. В частности, необходимо контролировать безопасность компьютеров, на которых обрабатывается критическая для организации информация, включая финансовые трансакции.

Банкам же в данном случае крайне сложно защитить своего клиента от хищений. «Мы не можем проконтролировать, посещает ли бухгалтер, на компьютере которого стоит ДБО, сомнительные сайты, скачивал ли он файлы с незнакомых ресурсов, есть ли у него антивирус»,— отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Как заявили в Сбербанке, продукты банка изначально были спроектированы с учетом данной угрозы. Таким образом, даже если на ПК бухгалтера будет установлен вирус, в том числе данного типа, средства клиентов будут защищены.

Герман Греф, глава Сбербанка, 6 июля 2018 года на Международном конгрессе по кибербезопасности: "Мы как банк часто гордимся тем, что нас — Сбербанк — ни разу не взломали. А давайте поговорим о клиентах Сбербанка? Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены".

Впрочем, с 1 января 2020 года вступают в силу поправки к нормативным документам ЦБ, которые потребуют от банка при невозможности обеспечить защиту от воздействия вредоносного кода разделять технологии по формированию платежного документа и по его подтверждению. В частности, в случае с корпоративными клиентами, по словам консультанта по безопасности Cisco Алексея Лукацкого, один компьютер будет готовить платежку, а с другого она будет отправляться в банк. Как надеются в ЦБ, эта мера существенно осложнит задачу злоумышленников.

 

Вероника Горячева

Опубликовано 30 июля 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3700116

CERT Group-IB: обнаружена сеть фальшивых бухгалтерских сайтов, «заразивших» около 200 тыс. пользователей

Group-IB, ведущая международная компания по предотвращению и расследованию киберпреступлений, обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM, нацеленными на атаку юридических лиц. Три ресурса, появившихся в апреле этого года, уже успели посетить, как минимум, 200 000 человек. Жертвами таргетированной атаки хакеров стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. На данный момент, как минимум, один ресурс продолжает работу.

Новая преступная схема была раскрыта после того, как Центр реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) зафиксировал попытку загрузки вредоносной программы в одном из российских банков. В ходе расследования инцидента обнаружилась, что троян был «подсажен» с профильного бухгалтерского ресурса buh-docum[.]ru, содержащего подборку специализированных документов — бланков, контрактов, счетов-фактуры и документов налогового учета.

Анализ сайта buh-docum[.]ru показал, что он был изначально зарегистрирован и заполнен профильным контентом (сайт содержал сотни различных финансовых документов) как приманка для определенной категории посетителей с целью инфицирования их компьютеров. Тематически таргетированный ресурс был направлен на финансовых директоров, главных бухгалтеров, юристов, то есть на тех, кто владеет правами доступа к управлению счетами организаций. Именно благодаря своему профилю деятельности они, как правило, чаще других становятся мишенями хакерских атак.

При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 году исходный код вируса появился на хакерских форумах). Загрузчик собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов (так называемых «ключевиков»):

Если программа обнаруживала один из таких «ключевиков», сервер отдавал команду на загрузку троянов Buhtrap или RTM, нацеленных на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем.

Исследуя сайт buh-docum[.]ru, сотрудники CERT Group-IB обнаружили связанные между собой ресурсы-близнецы, практически не отличающиеся контентом. Сеть фальшивых бухгалтерских сайтов насчитывала, как минимум, пять ресурсов, объединенных общей задачей: распространение вредоносных программ при скачивании бухгалтерских бланков и счетов.

Среди таких ресурсов специалисты Group-IB выявили:

buh-docum[.]ru,
patrolpolice[.]org.ua,
buh-blanks[.]ru,
buh-doc[.]online,
nbsp;buh-doc[.]info.

Два домена были зарегистрированы еще в сентябре 2017 года, остальные работали всего несколько месяцев. Посетителями каждого из сайтов за это время стало 200 тыс. потенциальных жертв. Ресурсы регулярно появлялись в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.). Общий объем посещаемости по всем ресурсам фальшивой бухгалтерской сети на данный момент не установлен: это сотни тысяч пользователей.

По оценке Group-IB, данной в отчете «Hi-Tech Crime Trends 2017», каждая такая атака ежедневно приносит злоумышленниками, в среднем до 1,2 млн рублей. На данный момент большинство фальшивых бухгалтерских сайтов заблокированы либо находятся в процессе блокировки.

 


Ярослав Каргалев, заместитель руководителя CERT Group-IB:

Тактика атакующих изменилась: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов, на которых злоумышленники размещали код, предназначенный для загрузки троянов. В итоге невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным ежедневно происходит минимум по 2 успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 млн рублей. Кроме того, мы не исключаем, что таких ресурсов могло быть больше.


 

Для того чтобы компаниям не стать жертвой киберпреступников, эксперты Group-IB рекомендуют правильно выстраивать систему проактивной защиты, исходя из актуальных киберугроз — необходимо использовать системы раннего предупреждения и детектирования атак в корпоративной сети, решения для поведенческого анализа файлов в безопасной среде (класса «песочница»). Компьютеры, которые работают с бухгалтерскими и банковскими системами, должны быть изолированы, а доступ во внешнюю сеть должен быть разрешен только по «белым спискам» (White lists). Нужно внедрять системы защиты основных узлов и компьютерных систем, своевременно обновлять ПО — операционные системы, приложения, браузеры. Именно через уязвимости в браузере происходит заражение программой Buhtrap. Кроме того сотрудники, попадающие в «группу риска» — бухгалтеры, системные администраторы, секретари в обязательном порядке должны проходить тренинги по информационной безопасности, а всю IT-инфраструктуру компании два раза в год необходимо проверять в ходе «боевых учений». Иначе цена их ошибки может быть очень высока.

 

Опубликовано 27 июля 2018 года на сайте компании Group-IB

Подробнее...

Источник: https://www.group-ib.ru/media/cert-2

 

 

Как запуск системы удаленной идентификации приведет к трансформации банков

В начале июля в России была запущена Единая система удаленной биометрической идентификации. Алексей Панферов, заместитель председателя правления «Совкомбанка», рассказал, как новые условия повлияют на финансовый рынок.

Участники рынка финансовых услуг активно работают над масштабированием системы удаленной идентификации и аутентификации на базе единой биометрической системы (ЕБС) от «Ростелекома» в связи с изменениями, вступившими в силу 1 июля в федеральный закон 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступных путем, и финансированию терроризма». 

Система удаленной идентификации и аутентификации позволяет распознавать человека удаленно – с помощью голоса и изображения лица. Теперь граждане будут иметь возможность доступа к банковским услугам без личного визита в офис, в любое время и в любом месте.  

Согласно нововведениям, чтобы иметь возможность открывать счета и совершать банковские операции без посещения отделения, сначала следует обратиться в любую кредитную организацию для соглашения о передаче персональных данных и сдать свою биометрию для построения особых личностных шаблонов. Предварительно должен быть открыт личный кабинет в единой системе идентификации и аутентификации (ЕСИА – портал государственных и муниципальных услуг). Если же у клиента нет личного кабинета в ЕСИА, то его можно будет открыть непосредственно в отделении банка. В ближайшее время кредитные учреждения закончат дорабатывать свое ДБО, в рамках которого клиенты смогут проходить удаленную верификацию уже с помощью биометрии.

В перспективе к сервису будут подключены и другие финансовые и социальные услуги.

Как пилотируем

Внедрением системы ЕБС занимаются не только банки, активно участвовавшие в пилотном проекте («Сбербанк», ВТБ, «Россельхозбанк», «Альфа-Банк», «Промсвязьбанк», «Совкомбанк», «Почта банк», «Райффайзенбанк», «Ак Барс», «СКБ-банк», «Тинькофф Банк» и «Хоум Кредит»), но и другие кредитные учреждения, которые интересуются этой технологией. Поправки в федеральный закон распространяются на всех участников финансового рынка.

Рабочей группе потребовалось внести изменения в более чем 20 нормативно-правовых актов и провести тестирования по съему биометрических шаблонов в разных условиях шумности и освещенности.

О сборе биометрии

Как же осуществляется сбор биометрических данных клиентов? На первых этапах участники пилота прорабатывали несколько вариантов записи идеального шаблона – голоса и изображения лица. Как обойтись без создания на территории отделения банка звукозаписывающей студии? Ведь в этом случае в штатное расписание нужно было бы включить должности звукорежиссеров и фотографов.

Баланс между качеством и заявленными требованиями все-таки был найден. Биометрический шаблон, позволяющий гражданину в будущем стать клиентом банка удаленно – с домашнего компьютера или мобильного устройства, – может быть создан с помощью использования направленного микрофона и веб-камеры.

После формирования шаблона и его передачи банком в ЕБС клиент может быть удаленно идентифицирован и принят на дистанционное обслуживание.

Какие услуги кредитные учреждения готовы предоставлять удаленно? Ряд банков будут давать возможность заказывать дебетовые карты и открывать депозиты, другие – кредитовать на незначительные суммы. Список будет варьироваться в зависимости от рисковой политики и готовности технологических систем.

Возможные альтернативы в будущем

По закону сдача биометрических данных для физического лица не является обязательной, но все же следует рассмотреть другие возможности для клиентов. Тот, кто не захочет по каким-либо причинам посетить банк для сдачи биометрии, в будущем сможет использовать усиленную квалифицированную электронную подпись (УКЭП) как альтернативу дистанционной идентификации и входам в систему.

Сейчас наличие квалифицированной электронной подписи является обязательным условием для работы с несколькими порталами (Госуслуги, Система межведомственного электронного взаимодействия, сдача отчетности в налоговые органы и других).

УКЭП создается с привлечением криптографических средств, подтвержденных ФСБ РФ. Гарантом подлинности выступает специальный сертификат, который был выдан аккредитованным удостоверяющим центром.

Электронный документ, подписанный УКЭП, имеет такую же юридическую силу, как и бумажный, который подписан собственноручно.

Как можно получить УКЭП? При личном обращении в аккредитованный удостоверяющий центр или через интернет. В последнем случае копии должны быть нотариально заверены.

Как может быть реализована идентификация физического лица посредством УКЭП (один из вариантов реализации):

  • Физическое лицо, желающее стать клиентом банка, заходит в систему ДБО банка и выбирает способ идентификации «УКЭП»;
  • Банк предлагает клиенту подписать заявление на присоединение к правилам ДКБО или заявление на открытие банковского продукта;
  • Банк отправляет в удостоверяющий центр запрос для проверки сертификата (ключа подписи) и получения информации , достаточной для идентификации клиента в рамках законодательства (ФЗ-115, 499-П ЦБ РФ);
  • На основании данных, полученных от удостоверяющего центра, банк принимает/не принимает клиента на обслуживание, о чем сообщает заявителю;
  • В случае положительного решения кредитная организация подписывает заявление клиента и пропускает в свою систему ДБО.

Пока для реализации такого алгоритма, как и при реализации проекта ЕБС, необходимо внести ряд изменений в нормативно-правовые акты, определить способы передачи этой информации и другие организационные вопросы.

Возможности (и риски) для банков

Конечно, в первую очередь все кредитные учреждения смогут расширить клиентскую базу и привлечь новых потребителей, у которых нет возможности посетить отделения банка.

Так, например, даже в маленьком городе или селе потенциальному клиенту будут доступны услуги, которые раньше можно было получить только в крупных городах. Региональные банки смогут конкурировать с игроками федерального масштаба. Банки также смогут оптимизировать свои расходы по обслуживанию клиентов благодаря переводу на «безбумажную» технологию.

Возможны ли риски? Как и в любом проекте такого масштаба, есть вероятность, что на первых этапах будут выявлены недоработки. Однако, как показывает практика, риски минимизированы, так как обновления проходят в кратчайшие сроки.

Международный опыт

На самом деле, такая технология не является новой. Сначала рассмотрим европейский опыт. В Эстонии, например, с 2002 года реализуется общегосударственный проект ID-kaart. Эта карта позволяет:

  • Проходить идентификацию в интернете;
  • Подписывать электронные документы;
  • Пользоваться услугами банков и государственных учреждений;
  • Участвовать в электронном голосовании.

В рамках проекта возможно получение как физического носителя ID – карты – так и мобильного Mobiil-ID. В 2016 году с помощью системы совершалось около 2,7 миллиона различных юридически значимых операций в месяц.

В Великобритании банки готовы удаленно открывать счета после проверки данных через бюро кредитных историй. Похожий принцип реализован в Австралии и Нигерии, где для удаленного открытия счетов информация о клиенте проверяется через базы данных сторонних организаций.

Интересен также и опыт Новой Зеландии, где было создано специальное агентство, обеспечивающее хранение данных о гражданах в электронном виде. Подключившись к порталу realme.govt.nz, можно удаленно пройти верификацию личности.

На территории Индии одна из крупнейших биометрических систем в мире Aadhaar, в которой уже зарегистрированы более 1,1 миллиарда пользователей, активно взаимодействует с различными организациями (банками, правительственными учреждениями). В ответ на считанные биометрические данные (один или несколько шаблонов отпечатка пальца или радужная оболочка глаза пользователя) сервис выдает ответ «да/нет», идентифицируя конкретного человека. Здесь действуют территориальные особенности, так как сотни миллионов жителей Индии просто не имеют удостоверения личности.

Что мы увидим завтра

Доступ к банковским или государственным услугам посредством удаленной идентификации личности уже семимильными шагами идет по стране. Все зависит только от технологии, которая лежит в основе процесса, а также от готовности рынка и его участников. К чему же мы придем в перспективе?

Финансовые учреждения будут вынуждены корректировать свои маркетинговые и продуктовые стратегии.

Запустив масштабную трансформацию рынка, мы постепенно придем и к трансформации сознания клиентов. Ведь необязательно идти в какой-то конкретный банк за желаемой услугой. Достаточно будет взглянуть на камеру мобильного телефона или другого устройства и произнести запрашиваемую фразу, чтобы дистанционно открыть вклад, провести операции по картам или кредитам различных финансовых учреждений.

 

 

Алексей Панферов, Заместитель председателя правления «Совкомбанка»
Опубликовано 10 июля 2018 года на сайте rb.ru
Подробнее...
Источник: https://rb.ru/opinion/transformaciya-bankov 

Страницы