Карты с дисплеем как новое средство защиты онлайн-банкинга
Не успели в России привыкнуть к пластиковым картам с чипами, как с Запада пришли новые технологии, – и это вовсе не мобильные платежи со смартфонов, это пластиковые карты с дисплеем. Дело в том, что смартфон изначально не предназначен для осуществления платежей, его функционал существенно шире, и это могут использовать злоумышленники (перехват sms с кодом подтверждения, рассылка фейковых sms и т.д.), либо он просто может быть выведен из строя вирусами и троянскими программами.
Для тех, кто воспринимает карты с дисплеем как абсолютную новинку, нелишне пояснить, что это пластиковая карта обычных размеров, подходящая для совершения платежей во всех платежных устройствах и банкоматах. От простого «пластика» и «пластика с чипом» она отличается тем, что генерирует уникальный одноразовый пароль для совершения платежей в системе интернет-банкинга. Одноразовый пароль обозначается аббревиатурой ОТР – one time password. Таким образом, пользователи интернет-банкинга, привыкшие к скретч-картам со множеством паролей, для доступа к которым надо стереть защитный слой, получают вместо нескольких карт одну – и никакого защитного слоя. Кроме того, они получают впечатляющую степень защиты онлайн-платежей и банковских счетов, потому что технология ОТР гораздо надежнее, чем скретч-карты: во-первых, пароль при ОТР «живет» лишь 30 секунд (или 5 секунд – в зависимости от настроек пользователя), он совершенно уникален и годится лишь для конкретной транзакции, осуществляемой в определенное время; во-вторых, пароль не может быть известен никому заранее, чего не скажешь о пароле со скретч-карты; наконец, в-третьих, список паролей, сгенерированных дисплей-картой, невозможно потерять – потому что его просто не существует.
Это преимущество делается особенно заметным в свете того, что рост киберпреступности все меньше поддается контролю: ущерб в 900 млн долл. только за минувший год в России, 2,5 млрд евро потерь от действий российских хакеров по всему миру, стабильно удерживаемое РФ первое место по хакерским атакам, прочная слава России как страны, в которой (наряду с Китаем) живут самые агрессивные и удачливые кибермошенники. В силу высокой конкуренции в банковской сфере банки заняты развитием и предлагают все новые сервисы, по преимуществу онлайновые, что привлекает не только новых клиентов, но и новых хакеров.
В этой непростой ситуации российская банковская система готовится к тому, что вскоре придется возвращать клиентам средства, украденные из систем онлайн-банкинга, не дожидаясь разбирательств и расследований, по умолчанию. Этого требуют вступающие в силу с 1 января будущего года положения Закона о национальной платежной системе. Среди банков есть различные мнения по поводу перспектив функционирования этого нового закона: некоторые банки практически в открытую заявляют, что закон несовершенен и они будут стараться использовать любую возможность, чтобы не платить; другие – что будет, как в Европе, развиваться страхование банковских операций; третьи – что мошенничеств станет больше; четвертые – что их станет меньше. Однако все сходятся на том, что банкам придется укреплять системы своей информационной безопасности, выстраивать киберзащиту от киберпреступлений.
Генерация уникального пароля при помощи карты с дисплеем – одна из технологий, помогающих выстроить такую защиту. Сама технология напоминает удаленную аутентификацию пользователя при помощи чипа (Remote Chip Authentification), еще недавно столь популярную в Европе. Считывающие устройства карточных чипов были весьма распространены, однако для аутентификации пользователя все-таки был необходим картридер, т.е. само считывающее устройство. Это доставляло определенные неудобства – а дисплей-карта их устраняет. Кроме того, дисплей-карта, связывающаяся с аутентификационным сервером банка (причем каналы связи не прямые, так что угроза мошенничества сводится практически к нулю), способна предоставлять финансовую информацию, в частности о балансе счета.
В Европе внедрение дисплей-карт набирает обороты. Исследование, проведенное Master Card, показало, что примерно половина пользователей онлайн-банкинга хотели бы обзавестись дисплей-картами, а в свою очередь 57% из них были бы не против, чтобы такая карта обладала большим набором функций. В этом нет ничего удивительного: современный человек все более и более привыкает к мультифункциональным устройствам.
Есть и менее общие данные. Итальянская банковская группа Banco Popolare, в которую входят 14 банков, после использования токенов принялась вводить в обращение карты с дисплеем. В результате число онлайн-транзакций возросло на 300%. Сегодня количество карт с дисплеем, выпущенных Banco Popolare, перевалило за 300 тыс. и постоянно растет.
Учитывая вышесказанное, легко предположить, что и российский банковский рынок пойдет по этому пути.