Безопасность карманного банка

Вопросы обеспечения безопасности и надежности функционирования банковских систем на мобильных устройствах решаются отдельно в рамках каждого проекта — пока для этого нет стандартных рекомендаций. Участники обходятся коммерческими программами шифрования, встроенными возможностями протоколов передачи данных. Этими средствами они пытаются решить три глобальные задачи.

Первая — обеспечение конфиденциальности. Большинство технологических решений в этой области полагается на механизм строгой многофакторной взаимной аутентификации. Транзакция в системах “мобильного кошелька” может быть завершена только тогда, когда система убедится, что запрос от абонента подлинный, что он не был изменен в процессе передачи по глобальной сети и что у абонента достаточно средств для осуществления платежа, а банк готов принять платеж с данными параметрами. Обычно для входа в систему используются логин и пароль, а для подтверждения транзакции — одноразовый пароль или ПИН-код, который может и не передаваться по сети: специальный аплет, установленный в мобильном устройстве пользователя (Java-banking или STK-banking) самостоятельно проверяет его правильность по встроенному алгоритму и дает центральной системе ответ, что операция подтверждена клиентом. Информация, используемая аплетом для выполнения шифрования и формирования подписи, расположена в специальном защищенном хранилище на SIM-карте или в карте памяти устройства, что исключает возможность получения данных о ключах пользователя. Загрузка и хранение аплета и ключей выполняются в соответствии со спецификацией Security Domain, и, таким образом, злоумышленнику не удастся выкрасть ключевую информацию путем сканирования памяти устройства во время его функционирования.

Вторая задача — защита данных. Вся информация, пересылаемая при помощи SMS-сообщений (пока это основной транспорт всех подобных систем), шифруется с применением банковского ключа, записанного в безопасное хранилище в мобильном телефоне, и недоступна ни одному человеку, кроме получателя, — в том числе и сотрудникам оператора сотовой связи. Конечно, при наличии определенного ПО такую информацию можно и “расколоть”, но для этого надо заполучить в свое распоряжение SIM-карту со всей информацией, которая на ней присутствует, что само по себе непросто. Также надо учесть, что все сообщения в рамках платежных транзакций содержат цифровую подпись, что обеспечивает аутентификацию отправителя и целостность сообщения.

И наконец, третья задача — защита информации от действий самого абонента. Нередки случаи, когда сотовые телефоны лежат на рабочем месте пользователя без присмотра, и когда их оставляют в самолетах, поездах, на кораблях и в такси, в тренажерных залах и ресторанах. Учитывая это, большинство банковских учреждений не могут допустить, чтобы конфиденциальная информация хранилась в памяти смартфонов или телефонов своих клиентов, а потому весь сеанс работы с системой должен проходить в режиме on-line. Когда пользователь прекращает связь с банком, основная часть информации из его мобильного телефона удаляется. Например, у него будет возможность доступа для просмотра и хранения последних 5 - 10 банковских операций, но никаких идентификационных данных, записанных в памяти пластиковых карт (полный номер, дата прекращения действия), там уже не будет. Для защиты от вирусов предусмотрен запрет на сохранение PIN-кодов в мобильном устройстве — сочетание цифр пользователю придется заучить наизусть.

В любом случае при внедрении такой инновационной услуги всегда существует угроза, что использование многочисленных функций безопасности, которыми наделен телефон, негативно отразится на использовании самой услуги. Если абоненту нужно будет в целях безопасности ввести 10 – 12-значный набор букв или цифр на телефоне, у которого на каждую кнопку приходится по три буквы, и к тому же необходимо заучивать комбинации с системными клавишами или работать с виртуальной клавиатурой, то очень многие абоненты просто перестанут следовать таким догматичным инструкциям, которые предложит им банк. Пользователя устроило бы простое выполнение операций при нажатии двух-трех кнопок.

Определенный слой клиентов банков, для которых интернет и мобильный телефон становятся все более привычными средствами общения с кредитными организациями, уже сформировался. Среди них нет очень старых и очень молодых людей, как правило, это люди от 20 до 50 лет, сформировавшие положительное мнение об удобстве и безопасности мобильной и интернет-связи для операций с финансами. Клиенты старшего возраста это люди творческих профессий: адвокаты, художники, журналисты, то есть те, кто привык мыслить самостоятельно, а также люди, так или иначе связанные с ИТ-индустрией. Молодые же пользователи - студенты, «живущие» в интернете, в чатах и форумах. Это очень перспективный слой клиентов: хотя большой потребности в банковских услугах они пока не испытывают, так как оплачивают только мобильный телефон и интернет, но в будущем вырастут в профессионалов и станут пользоваться всем спектром банковских продуктов и услуг.

Обслуживание клиентов посредством банкоматов

и киосков самообслуживания

Банки активно расширяют сеть точек обслуживания розничных клиентов, однако даже организация мини-офиса редко обходится дешевле 100 тыс. долларов. Поэтому кредитные организации стараются применять другие способы для увеличения сети розничных продаж, в том числе устанавливают различные виды банкоматов. Офисы самообслуживания, в которых работает сразу несколько аппаратов (депозитор, банкоматы и автоматический информационный киоск) в среднем обходятся в $1 млн, а отдельный банкомат, через который можно проводить платежи и получать деньги с карточки - в пределах $10 тыс.

Банкомат - устойчивое к взлому банковское защитное средство, предназначенное для выдачи и приема наличных денежных средств; составления документов по операциям с использованием банковских карт; выдачи информации по счету; осуществления безналичных платежей и т.д. Банкомат оснащен процессором, дисплеем, клавиатурой и ридером, предназначенным для считывания информации с карточки. Для идентификации пользователя карточка помещается в ридер и с клавиатуры вводится персональный идентификационный номер (ПИН-код), после чего банкомат проводит сеанс авторизации и, при успешном его завершении, совершает операцию.

Сегодня банкоматы позволяют оплачивать коммунальные платежи, услуги операторов сотовой связи и телевидения, а некоторые - переводить денежные средства между банковскими картами, пополнять счёт, принимать платежи по кредитам и производить валютно-обменные операции.

На фоне всё большей популярности кредитных карт широкое распространение получают банкоматы с функцией приёма наличных денежных средств и зачисления их на счет клиента в режиме реального времени (банкоматы cash-in или «интеллектуальные» банкоматы). Наличие этой функции позволяет значительно упростить процедуру погашения кредита, что повышает лояльность пользователя кредитной карты к данному продукту. Есть и более специализированные варианты. Например, в аэропорту Домодедово Экспобанком установлен банкомат, способный принимать наличные для оплаты штрафов при прохождении таможенного контроля.