ЦБ не нужны фиктивные соответствия. О чём на самом деле говорит регулятор в 683-П
14/10/2024
Для повышения безопасности клиентов финансовых организаций регулятор планирует внести поправки в положение 683-П, стремясь побудить кредитные организации повысить безопасность подтверждения финансовых транзакций. В чем же причина, что ЦБ вынужден повторять дважды?
По данным ЦБ, количество атак на клиентов-физлиц неуклонно растет. По статистике регулятора, во втором квартале 2023 года у клиентов кредитных организаций было украдено почти 4,8 млрд руб, из которых 4,6 млрд — у физических лиц. Годом ранее эта сумма была в полтора раза меньше. При этом если в недавнем прошлом злоумышленники использовали преимущественно социальную инженерию, то сейчас клиенты банков всё чаще сталкиваются с комбинированными атаками, где вредоносное программное обеспечение сочетается с методами социальной инженерии. По данным ЦБ, число фишинговых рассылок увеличилось более чем на 20 % по сравнению со средним количеством атак с их использованием за последние четыре квартала. И есть все основания полагать, что число таких атак будет увеличиваться.
Причина не только в активных действиях злоумышленников, но и в несовершенстве средств подтверждения банковских транзакций. Сейчас самым частым и привычным способом подтверждения при совершении платежа является код в SMS и PUSH-сообщении. В микрокредитных организациях ситуация еще хуже — там в качестве подтверждения часто используется лишь логин и пароль. Всё ради простоты и удобства пользователей, новопреки обеспечению их безопасности.
При этом регулятор в лице Банка России, видя данный тренд, неуклонно старается вносить соответствующие правки в законодательство, чтобы финансовые организации больше заботились о безопасности своих клиентов.
В октябре 2022 года вступило в силу указание Банка России от 18 февраля 2022 года № 6071-У, которое внесло поправки в положение 683-П (для кредитных финансовых организаций) и симметричное ему 757-П (для некредитных финансовых организаций). Эти положения направлены на предотвращение операций без согласия клиентов. И, по замыслу регулятора, в итоге призваны повысить безопасность совершаемых операций. Согласно пункту 5.1 683-П (п. 1.9 757-П), для обеспечения целостности электронных сообщений необходимо использовать усиленную квалифицированную электронную подпись (УКЭП), усиленную неквалифицированную электронную подпись (УНЭП) или средства криптографической защиты информации (СКЗИ) с имитовставкой и аутентификацией отправителя сообщения.
Данное требование, если его исполнять должным образом, поможет защитить клиентов банков от таких атак, как перехват сообщений, вредоносное ПО, перевыпуск SIM-карт, внутренний фрод, социнженерия и пр. Как УНЭП, так и СКЗИ, реализующие функцию имитозащиты с аутентификацией отправителя сообщения, предполагают использование криптографических преобразований непосредственно на стороне клиента, что делает выполнение требования при помощи одноразовых кодов, отправляемых через SMS и PUSH каналы, невозможным технологически. При этом в п. 6.1 положения 683-П написано, что «в случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности».
Однако некоторые банки вместо реальной безопасности решили реализовывать фиктивное соответствие. Одни стали разрабатывать свои собственные несертифицированные средства подписи, называя его «ПЭП с имитовставкой», а другие стали делать имитовставку на серверной части в дополнение к коду, отправляемому в SMS или PUSH. До октября 2022 года, когда вступили в силу первые поправки, эти способы подтверждения формально ещё могли быть реализованы — прямого противоречия нормативным требованиям регулятора не было.
Такая реализация требований была далека от того, к чему стремился регулятор. Поэтому ЦБ выпустил письмо от 16 марта 2023 года № ИН-017-56/22, в котором явно указал:
если организация разрабатывает собственное СКЗИ, то она должны учитывать необходимость его сертификации;
а под СКЗИ, реализующим функцию имитозащиты информации с аутентификацией отправителя сообщения, понимается средство имитозащиты, обеспечивающее целостность и аутентификацию электронных сообщений, произведённое на территории Российской Федерации или ввезённое на территорию Российской Федерации в установленном порядке.
Таким образом Банк России разъяснил, что нельзя просто так на зарубежной криптографии реализовать собственные непроверенные средства защиты, а аутентификация отправителя сообщений должна обеспечиваться строго, а значит криптография должна быть на клиентской, а не серверной стороне.
Однако письма ЦБ — не нормативный документ, потому данное разъяснение не носит обязательный характер. В итоге оно смогло мотивировать на повышение уровня безопасности далеко не все кредитные организации. При этом готовые технологические пути для обеспечения соответствия регуляторным требованиям существуют: программные и аппаратные сертифицированные средства СКЗИ, двухсторонний ГОСТ TLS, мобильная электронная подпись на базе сертифицированных СКЗИ и пр. Каждый из них уже доказал свою эффективность при обслуживании различных категорий клиентов, нисколько не портит, а зачастую улучшает клиентский путь и обеспечивает максимальную безопасность.
При этом, безусловно, Банк России продолжает выпускать новые поправки к данным положениям. Недавно на сайте ЦБ появилось несколько проектов нормативных документов с описанием изменений в 683-П/757-П, в которых ещё раз более явно указаны:
необходимость использования СКЗИ на клиентской стороне;
необходимость использования сертифицированных СКЗИ;
при использовании УЦ — необходимость использования сертифицированных средств УЦ.
В каком виде будут приняты изменения — сможем увидеть в скором времени. Многие кредитные финансовые организации давно начали переходить на сертифицированные средства, понимая направления действий регулятора. Некредитные финансовые организации тоже стали внедрять новые средства подтверждения операций, хотя ранее для них данное направление обеспечения безопасности дистанционных каналов было менее приоритетным.
Еще один сегмент финансового рынка, где, на мой взгляд, также необходимо повышение безопасности операций — ЦФА. Согласно п.1.4.3 Положения ЦБ РФ №757-П операторы выпуска и обмена ЦФА относятся корганизациям, реализующим стандартный уровень защиты информации, а значит на них так же распространяются требования в части обеспечения безопасности операций, зафиксированные в том же п. 1.9 Положения 757-П. Сейчас работа с ЦФА для физических лиц в некоторых банках напрямую выведена в дистанционный канал наравне с переводами платежей и работой с брокерскими счетами. Единое средство подтверждения для операций с ЦФА будет являться логичным развитием дистанционных каналов.