Решения для безопасности банковских услуг
Jan. 25th, 2021 11:28 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
totaltelecomДва года назад для одного из мероприятий BSides Kharkiv я подготовил доклад, рассказав об уязвимостях в сетях мобильной связи, причём уязвимостях именно операторских сетей и сервисов, т.е. аспектах потребительского опыта, которые в принципе не подвластны абонентам. Скачать, чтобы ознакомиться нормальным образом (закадровый, так сказать, текст найдёте в примечаниях), здесь.
Там же, на тематическом мероприятии, посвящённом кибербезопасности, неожиданно выяснилось, что проблемами в сетях мобильной связи не то что не занимается, но с ними и не знаком должным образом никто из присутствующих. Позже выяснилось, что и в операторских компаниях мой доклад, скажем прямо довольно поверхностный, вызвал несуразно большой интерес. Среди всех моих презентаций на Slideshare эта оказалась наиболее, в 6-8 раз, популярной с показателем 1800+ просмотров.
В этом докладе мною, кажется, впервые озвучен тезис, важный для понимания множества проблем с фродом, безопасностью персональных данных и прочими проблемами абонентов: сети мобильной связи не должны восприниматься как априори доверенная среда коммуникации. "Подмена номера? - Штатная функция!... Многочисленные уязвимости ОКС-7? - Непосредственное следствие архитектурных решений GSM-стандарта…". См. слайды №№ 6, 13-15
Стандарты мобильной связи включают развитые и, в целом, достаточно эффективные механизмы безопасности. Однако эти механизмы, в общем случае, требуют отдельной активации и настройки, исходя из потребностей и особенностей поведения абонента. Если это пользователь или пользователька двухдолларовых предоплаченных услуг, не готовые не то что подписать контракт, но даже персонифицироваться, оператору вряд ли стоит возиться с дополнительным и, ещё раз повторю, недешёвыми техническими решениями. Его усилия не будут ни оценены, ни вознаграждены. Однако если с мотивацией и деньгами всё в порядке, можно и нужно сделать многое.
Стоит отметить, что Tinkoff работает в намного более агрессивной среде, нежели украинские банки. В России в части киберпреступности, разного рода скама и фрода ситуация намного хуже, чем у нас. И эпичной, и характерной является история экс-гендиректорши Tinkoff Digital Анны Знаменской (слайд №11). Несмотря на то, что условиями контракта у неё предполагалась выдача карты только лично, по предъявлению документа и кодового слова, её номер был оформлен на мошенников аж четыре раза на протяжении шести недель.
Между тем украинские операторы вовсе не пасут задних. С 2016, кажется, года они предоставляют банкам возможность проверять факт замены SIM-карты, когда речь идёт о "финансовом" номере. Дальше всех, насколько могу судить, продвинулись по этому пути в lifecell. В качестве антифрод-сервисов там предлагают четыре опции (см. с отметки 16:08), включая проверку количества симок, которые прошли через телефон проверяемого лица.
Если говорить о защите от подмены номера, такое решение пока что предлагает только Киевстар.
Нельзя не заметить, что Тинькофф и украинская большая тройка движутся в одном направлении, но по разным траекториям. Всё таки операторы пока что сосредоточены на предоставлении услуг по защите чьих-то абонентов, предполагая получать деньги от юридических лиц.
Тинькофф же, судя по содержанию его публичных материалов, исходит из иной концепции. Пока что услуги Tinkoff Call Defender предлагаются бесплатно для всех участников "экосистемы" банка. Но в будущем, вполне возможно, за них придётся платить. Как это уже происходит, например, с клиентами, использующими страховую услугу «Защита карты». Насколько понимаю, люди платят за то, что банк должен делать бесплатно. Разве что не так быстро, не за 24 часа. Интересный подход.
Порывшись в материалах на сайте банка, посвящённых безопасности клиентов, вынес впечатление некоторой амбивалентности. Если вы признаёте, что мошенники могут подделать номер входящего звонка, почему не откажетесь от этого канала экстренной коммуникации? Предложение перезванивать выглядит не очень разумным. Дозвониться бывает сложно, а то и невозможно. В острой ситуации дорога каждая минута. Что мешает хотя бы для "цифровых" клиентов перейти на VoIP, благо в условиях плохого покрытия есть возможность использовать голосовые сообщения в режиме walky-talky и чаты?
Индустрия медленно и с заметным трудом начинает приходить к пониманию новых обстоятельств (см. слайды №№ 24 и 25). Судя по всему, вся архитектура услуг мобильной связи, их дизайн и сопутствующие процедуры подлежать внимательному изучению и пересмотру, исходя из необходимости обеспечить и безопасность процесса коммуникации, и доверие к нему. В чём разница между безопасностью и доверием - читать здесь.
