Закодировать от злого умысла: как криптография защитит от мошенничества
«Нужно искать другие решения», — заявила глава ЦБ Эльвира Набиуллина во время недавнего выступления в Госдуме. Речь шла о борьбе с мошенничеством, где пока не удается достичь перелома, остается лишь «бить по хвостам». Парадокс ситуации заключается в том, что ЦБ решение нашел и даже прописал в своих нормативных документах. Так, эффективной мерой защиты банковских клиентов может стать криптография. И еще в начале 2022 года в положении ЦБ №683-П появилось требование по ее внедрению при денежных переводах. Однако некоторые формулировки документа позволяют банкам трактовать их в пользу сохранения существующих решений, в итоге результат — клиенты по-прежнему недостаточно защищены.
Скажу сразу: криптография, конечно же, не поможет, если ведомый социальными инженерами человек осознанно снимает средства со своих вкладов и собственноручно кладет их на счет мошенника. Однако в тех случаях, когда злоумышленники сами совершают действия за жертву, склоняя ее назвать код из SMS-сообщения, либо пользуются простыми техническими приемами для перехвата кода, правильно реализованная криптография защиту усилит. Другими словами, криптосредства эффективны, когда явно отделены нарушитель и легитимный пользователь — на профессиональном языке это называется адекватной моделью нарушителя.
Для защиты от упомянутых атак и были внесены поправки в 683-П, по которым для обеспечения целостности сообщений о подтверждении операции именно клиентом банка ввели требование об использовании криптографии. Регулятор в документе указал на необходимость обеспечить «реализацию мер по использованию усиленной квалифицированной электронной подписи (УКЭП), усиленной неквалифицированной электронной подписи или СКЗИ (средства криптографической защиты информации), реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения». Выполнение банком этого требования позволит человеку быть уверенным, что в кредитную организацию уйдет именно его платеж и в неизменном виде. И никто другой не сможет совершить трансакцию за него, поскольку только клиент владеет своим криптографическим ключом, которым эта операция подтверждается. Например, с применением этого ключа может формироваться так называемый код аутентификации сообщения.
Но банки, к сожалению, не всегда спешат соответствовать требованиям ЦБ. Одна из причин — неоднозначные формулировки в положении 683-П. Для верного понимания его замысла и корректной трактовки документа регулятор в марте 2023 года даже опубликовал письмо, в котором подчеркнул, что использование ПЭП (простой электронной подписи, то есть как раз привычных банкам кодов из SMS и push-сообщений) возможно лишь «совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения». Но, к сожалению, разъяснения ЦБ не являются нормативным документом, обязательным к исполнению. Они носят лишь рекомендательный характер и для банков не являются прямым руководством к действию.
Еще один аспект 683-П, который нередко вызывает дискуссии среди ИБ-специалистов: где должны храниться криптографические ключи? По логике документа и с учетом фундаментальных подходов информационной безопасности — на устройстве клиента. Только в этом случае канал передачи информации защищен и нет возможности подменить или перехватить сообщение. Но однозначного указания места хранения ключей в 683-П нет. А значит, нет прямого запрета идти по пути наименьшего сопротивления. И некоторые банки, трактуя требования ЦБ формально, внедряют решения для подтверждения клиентских трансакций с хранением криптографических ключей на сервере кредитной организации. На стороне клиента трансакция при этом подтверждается единственным фактором — теми самыми SMS или push-кодами. Этот подход ничего не меняет в защите средств граждан от мошенников и потому является фикцией. Если формулировки 683-П станут несколько более точными, у банков уже не будет возможности пойти по пути наименьшего сопротивления. К примеру, в требованиях ЦБ по криптографической защите операций с цифровым рублем двоякости трактовок нет, в связи с чем нет и внедрения неэффективных методов защиты информации.
Многие кредитные организации опасаются, что внедрение криптографии в процесс подтверждения трансакций приведет к ухудшению пользовательского опыта. Однако данные опасения, на мой взгляд, напрасны. За годы развития отечественной массовой криптографии была создана совокупность технологий, позволяющих ее внедрить малозаметно для пользователя. Но при этом — с соблюдением всех требований информационной безопасности. Клиент не почувствует изменений, а пользовательский опыт лишь упростится, не понадобятся SMS и push-коды. Как пример: в нашей стране имеется успешный опыт использования УКЭП в серьезных финансовых операциях на крупные суммы, например при заключении цифровых ипотечных сделок на покупку недвижимости. А это самый сложный с точки зрения технической реализации и пользовательского опыта вид электронной подписи. У ряда банков работа с ней просто встроена в приложение, для использования УКЭП достаточно смартфона, а пользовательский путь прост и понятен.
Соглашусь, что переход на использование криптографии не всегда прост. Однако уже наработан очень существенный опыт ее внедрения в решение сложных задач для массового пользователя. Вспомним хотя бы, что происходило несколько лет назад на старте сбора биометрических данных в Единую биометрическую систему. В то время банковское сообщество в едином порыве заявляло, что требования невыполнимы, поскольку стандартные подходы к внедрению криптографических средств делали фактически невозможным одновременный переход на работу с биометрией всех кредитных организаций страны. Для решения этой проблемы совместно с банками и регуляторами мы вместе искали оптимальный подход — и нашли, и успешно применили во всей банковской отрасли. Другим примером может быть ход пилотов по внедрению расчетов с помощью цифрового рубля: успешный благодаря движению регуляторов, разработчиков и банков навстречу друг другу.
Поэтому, на мой взгляд, главное для банковского сообщества — захотеть выполнить требования 683-П по существу и внедрить криптографию, совместно с ЦБ и экспертами решая сопутствующие задачи. И тогда через некоторое время глава ЦБ сможет сообщить депутатам, что борьба с мошенничеством в важнейшей области сдвинулась с мертвой точки.
Мнение редакции может не совпадать с точкой зрения автора