Удаленные финансовые услуги
ЦЕЛЬ НАСТОЯЩЕЙ СТАТЬИ - ОПИСАТЬ ТЕКУЩЕЕ ПОЛОЖЕНИЕ И ТЕНДЕНЦИИ В СФЕРЕ УДАЛЕННЫХ ФИНАНСОВЫХ УСЛУГ, УТОЧНИТЬ КЛАССИФИКАЦИЮ ТАКИХ УСЛУГ, СПРОГНОЗИРОВАТЬ ЛОГИКУ ДАЛЬНЕЙШЕГО РАЗВИТИЯ УСЛУГ, А ТАКЖЕ ОПИСАТЬ ПУТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРОВЕДЕНИЯ ФИНАНСОВЫХ ОПЕРАЦИЙ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ ТЕРМИНАЛОВ КАК НАИБОЛЕЕ ПЕРСПЕКТИВНОГО НАПРАВЛЕНИЯ РАЗВИТИЯ УДАЛЕННЫХ ФИНАНСОВЫХ УСЛУГ.
Евгений Бондаренко,
заместитель генерального директора, ЗАО "Интервэйл"
1-2 апреля 2009 г. в московском Президент Отеле общественно-государственное объединение "Ассоциация документальной электросвязи" (АДЭ) при поддержке Министерства связи и массовых коммуникаций РФ провела 8-ю международную конференцию "Безопасность и доверие при использовании инфокоммуникационнык сетей и систем". В рамках конференции, компания INTERVALE, являясь членом АДЭ и золотым спонсором конференции, проводила секционное заседание по теме "Безопасность мобильного банкинга". На заседании выступили представители ЦБ РФ, Международной Платежной Системыi и операторов сотовой связи, внедривших систему мобильного банкинга.
Под "удаленными финансовыми услугами" мы понимаем, в основном, платежи, осуществляемые удаленным пользователем через открытые сети связи — Интернет, сети мобильной связи и т.п.
Для предоставления таких услуг существуют два принципиально различных подхода:
а) удаленное перечисление реальных безналичных денежных средств (remote payments);
б) использование "электронных денег" — различного рода суррогатов и заменителей денег (e-money).
Электронные деньги используются, в основном, в ситуациях, когда платеж наличным способом невозможен или неудобен, и у участников сделки отсутствует возможность быстрого и удобного доступа к безналичным банковским сервисам. Они получили массовое распространение, особенно в экономиках с неразвитой розничной банковской инфраструктурой, а также в сфере продажи "электронных" продуктов.
Электронные деньги подразделяются на 2 основных типа: карточные деньги ("электрон-
ный кошелёк") и сетевые деньги ("’леЬ-деньги").
В первом случае, "деньги" находятся или непосредственно ассоциируются с носителями, постоянно находящимися под контролем пользователя, — принадлежащей ему смарт-картой, предоплаченной картой, жетоном и т.п., и транзакции с ними представляют собой списание необходимого количества "единиц" с носителя плательщика и перемещение их на носитель или счет получателя.
Во втором случае, "деньги" хранятся в базе данных, доступной через публичные сети, например, Интернет. Транзакции с такими деньгами представляют собой перевод необходимого количества "единиц" со "счета" (записи в базе данных) одного пользователя данного сервиса и данной базы данных на "счет" (запись) другого.
Электронные деньги не находятся под контролем финансового регулятора (как национального, так и на международном уровне), по ним не осуществляется необходимая отчетность, за исключением сценариев "покупки" электронных денег за реальные, и последующего обратного обмена электронных денег на реальные.
Электронные деньги имеют весьма высокую и постоянно возрастающую привлекательность для индивидуальных плательщиков, так как они обеспечивают высокую мобильность и конфиденциальность платежей, а также создают практически неограниченные возможности по уклонению от уплаты налогов и работы по теневым схемам.
В частности, отчет Международного Банка Взаиморасчетов отмечает следующие зоны, требующие внимания регулятора, при работе с электронными деньгами: соответствие монетарной политике и влияние на эмиссию денежных средств, контроль над эмитентами электронных денег и соответствием их резервов обязательствам, вопросы безопасности, вопросы контроля над оборотом электронных денег, уклонения от уплаты налогов и противодействия отмыванию денег.
Удаленные платежи появились и начали по-
лучать распространение в связи с быстрым ростом Интернета и цифровой мобильной связи, благодаря чему у пользователей появилась техническая возможность быстрого и удобного удаленного доступа к платежным услугам.
Это обусловило появление наиболее цивилизованного и контролируемого безопасного подхода к предоставлению сервисов электронной и мобильной коммерции и банкинга — безопасный доступ к банковским услугам и удаленным платежам в реальном режиме времени с банковских счетов с использованием национальных денежных единиц.
Такой подход способствует решению стратегической задачи государства — увеличить проникновение банковских услуг и способствовать скорейшему и массовому переводу розничных платежей в безналичную форму.
Для мобильных платежей также есть особая разновидность — платежи со счета мобильного оператора, фактически представляющие собой перечисление авансов, сделанных пользователем мобильного оператору, другому лицу. Такие решения часто подразумевают использование временных или фиктивных банковских счетов в целях обеспечить легальность производимых операций и обойти отсутствие у участвующих компаний лицензий на осуществление соответствующей деятельности.
В РФ практически отсутствует государственное регулирование удаленных финансовых услуг и публичная позиция финансового регулятора по данной теме.
В результате:
• растет сфера применения и объемы транзакций с использованием электронных денег, в т.ч. кросс-граничных, не подконтрольных государственным органам
• отсутствуют шаги, направленные на стимулирование создания розничных платежных инструментов, сравнимых по удобству и качеству сервиса для индивидуального пользователя с Электронными деньгами и прозрачных для национальной банковской системы с точки зре-
Согласно прогнозам Gartner, общее число пользователей мобильньх платежей в 2009 г. составит 74,4 млн. человек, что на 70% превысит аналогичный показатель 2008 г. (43 млн. человек), а к 2012 г. их количество может достичь 190 млн. Исследователи считают, что к 2012 г. около 3% всех владельцев мобильных устройств будут совершать мобильные платежи. Под мобильными платежами в данном случае понимается оплата с помощью различных технологий, включая NFC, SMS, WAP и USSD. Представители Gartner отмечают, что с ростом рынка мобильных платежей все больше потребителей смогут воспользоваться банковскими сервисами. По оценкам специалистов Tower Group, рынок мобильного банкинга вырастет в 5 раз к концу 2013 г.
По материалам DailyComm 02.06.2009
34 т -Comm спецвыпуск по ИБ, 2009
О
ния соблюдения законности и обеспечения безопасности
ЗАО "Интервэйл" разрабатывает концепцию и базовое техническое решение для создания системы удаленных банковских платежей с использованием мобильных терминалов. Такой подход может обеспечить быстрое и высокое проникновение на рынок платежных инструментов системы, обеспечивая при этом все требования по безопасности, предъявляемые международными платежными системами. Преимущества проведения банковских операций с мобильного телефона совершенно понятны: Мобильный телефон на сегодняшний день есть у каждого. Телефон всегда с собой, практически всегда на связи, даже в путешествии. Операции осуществляются в реальном времени, с помощью удобного меню встроенного приложения мобильного телефона. Отпадает необходимость идти в банк, стоять в очереди, заполнять квитанции. Результаты проведения операции мгновенно отображаются на дисплее телефона.
Основным вопросом мобильного банкинга, как появившегося недавно направления, является вопрос обеспечения безопасности проведения финансовых операций. Собственно, безопасность этой услуги определяется выполнением требований по конфиденциальности, целостности передаваемых данных, аутентификации и обеспечению невозможности отказа и приписывания авторства транзакции.
Задача аутентификации абонента состоит в установлении факта его подлинности, т.е. доказательстве того, что сообщение (платежное поручение) от имени лица заключившего договор сформировано именно этим лицом, а сообщение, сформированное Банком, сформировано именно Банком. Это доказательство должно быть получено таким образом, чтобы ни у одной из сторон не было бы возможности оспорить факт наличия данного сообщения (операции).
Идентификация абонента системы Банком осуществляется по данным, которыми он обладает как абонент сети GSM (ICCID, MSISDN, IMSI).
Непосредственно использование этих данных для принятия решения о фактическом соот-
ветствии данного абонента клиенту, зарегистрированному в системе "Мобильный Банк" недопустимо, поскольку третье лицо (злоумышленник) может попытаться предоставить чужие данные для получения доступа к сервисам "Мобильный Банк".
В международных платежных системах выделяют следующие факторы аутентификации:
— абонент обладает некоторым предметом, который сложно подделать (банковская карта, бумажные документы);
— абонент знает некоторые сведения, которые не должен знать кто-либо еще (пароль, PIN, авторизационную фразу, ответ на проверочный запрос);
— абонент умеет производить некоторое действие уникальным образом (формировать графическую или цифровую подпись, имитов-ставку).
В соответствии с тем, сколько и каких факторов аутентификации задействовано в процессе конкретной процедуры аутентификации, различают однофакторную и многофакторную аутентификацию.
Исходя из необходимости обеспечения наибольшей надежности аутентификации абонента, в системе мобильного банкинга применяется двухфакторная аутентификация:
— аутентификация абонента;
— аутентификация Приложения.
Первичная аутентификация абонентов системы проводится локально средствами банковского Приложения. Для аутентификации применяется запрос на ввод пароля (код доступа, аналог PIN SIM-карты). Данный пароль назначается клиентом и может быть им изменен по собственному желанию путем повторной персонализации Приложения. Начальное значение пароля не определено, однако при персонализации в системе "Мобильный Банк" (первом использовании Приложения) клиент вынужден указать некоторое значение этого кода.
Аутентификация Приложения состоит в двухсторонней проверке совпадения секретных ключей хранящихся в Приложении клиента и в базе данных клиентских ключей у Банка.
Компания Интервэйл внедряет две основные модели мобильной коммерции:
— Банк-ориентированная модель (когда услуга предлагается банком-имитентом, а оператор может быть любым).
— Оператор-ориентированная модель (когда услуга предлагается оператором мобильной связи и клиент может активировать несколько кредитных карт различных банков).
Разработано несколько типов приложений для мобильных телефонов:
При использовании STK-апплета ключевая информация, используемая для шифрования обмена между апплетом и MAP (Mobile Access Point), хранится в защищенном хранилище на SIM-карте, ключи не извлекаются из хранилища в процессе выполнения операций шифрования и формирования цифровой подписи. Для доступа к операциям клиент устанавливает секретный код APIN, который известен только ему (никогда не выполняется отсылка APIN в MAP или в другие системы).
При использовании мидлета безопасность данных обеспечивается при помощи комбинации симметричных и асимметричных методов криптографии, качественные случайные ключи для выполнения криптографических операций генерируются в MAP с использованием HSM (Hardware Security Module) и загружаются в мид-лет при выполнении процедур смены ключей.
При использовании WAP безопасность обеспечивается за счет использования стандартных средств аутентификации WAP-платформы оператора и асимметричной криптографии.
Обеспечение безопасности работы (защиты информации) системы достигается за счет использования безопасных схем и компонентов системы. Наиболее важными компонентами системы являются носитель ключевой информации клиента, например SIM-карта телефона клиента и серверные средства проверки целостности передаваемых клиентом распоряжений, реализуемые в составе MAP
SIM-карты снабжены встроенными средствами безопасности, обеспечивающими стойкость системы к взлому. При работе карточек используются ключи и пароли:
• пароль — последовательность символов, предъявляемая SIM-карте при выполнении некоторых защищенных паролем операций;
•ключ — последовательность символов, используемая SIM-картой и Системой для шифрования информации при выполнении защищенных операций.
Схема криптографической аутентификации реализована с применением методов шифрования, что предполагает наличие разделенного секретного ключа у клиента и эмитента.
С учетом технологических возможностей современных SIM-карт хранение и проведение криптографической обработки сообщений выполняются непосредственно на SIM-карте клиента. Используемые оператором карты позволяют выполнять шифрование с применением алгоритмов 3DES, AES.
T-Comm спецвыпуск по ИБ, 2009
35
О