• Послуги мобільного банкінгу стають все більш популярними і істотно полегшують життя як клієнтів, так і самим фінансовим установам. Тим не менш, на іншій чаші терезів один, але великий мінус: використання телефонів для доступу до банківських послуг істотно знижує рівень безпеки і підвищує шанси зловмисників заволодіти даними або грошима. Причому здебільшого це вина аж ніяк не банків.
    У зв'язку з впровадженням мобільних сервісів виникли значні ризики інформаційної безпеки. Причому для банків вони були новими і суттєво відрізнялися від звичних, начебто кредитів на чужий паспорт або скімерів на банкоматах. З іншого боку, за реальної загрози відтоку клієнтів через фінансової кризи банкам довелося активніше працювати над зручністю надання своїх послуг.
    Головна загроза безпеки мобільного банкінгу полягає не в ІТ-інфраструктури самого банку і не в каналах передачі даних його "стільникових" партнерів: питання безпечної передачі даних у мережах GSM вирішені досить успішно. Найменш надійний частина системи - в кінці "останньої милі", тобто це сам клієнт і його мобільний пристрій. Причому банк не може контролювати клієнта і вказувати йому правила безпечної поведінки при роботі з рахунком. Він може лише звернути увагу на це.
    Тому що життя - боротьба
    На зорі свого розвитку мобільний банкінг пропонував клієнтам дві основні послуги: інформування про рух коштів по рахунку та поповнення телефонного балансу, тобто оплату самого інструменту надання банківської послуги. Такий канал виходу на банківські системи шахраїв не цікавив, тому довгий час клієнти могли не турбуватися про безпеку своїх рахунків навіть при втраті телефону.
    згодом послуга модернізувалася, і клієнти отримали ряд можливостей віддаленого управління рахунками, які раніше були доступні тільки при особистому візит в офіс або через інтернет-банк з звичайного комп'ютера. До цього банкірів підштовхнули жорстка конкуренція та розвиток мобільних платформ. Форсований висновок фронт-офісу в онлайн дозволив би їм скоротити витрати на фізичні офіси і заодно задовольнити вимоги клієнтів з комфортному надання банківських послуг.
    Крім того, "банківський бізнес - це боротьба жадібності з обережністю", за влучним висловом одного з банкірів. Тому дуже важливо дати клієнту такий набір інструментів, за допомогою якого він в перспективі зможе користуватися банківськими послугами відразу ж після виникнення потреби або простого бажання щось купити, коли він ще "гарячий" і готовий витратити залишки, влізти в овердрафт або взяти кредит. А набір з пластикової карти і смартфона носить з собою майже кожен економічно активний громадянин.
    Онлайн великих можливостей
    Мобільні сервіси, що надаються різними банками в рамках ДБО, розрізняються по функціоналу і способу реалізації. Наприклад, "Ощадбанк РФ" використовує систему, яка дозволяє клієнтові самому писати смс-запити або відправляти їх через інтерфейс JAVA-додатки. Таким чином, клієнт може проводити основні операції, такі як отримання інформації про стан рахунку і останні операції, включаючи операції через Інтернет-банк ОнЛ@йн", оплату комунальних послуг у двох столицях, поповнення балансу в стільникових операторів і інтернет-провайдерів, погашення кредиту, блокування пластикової картки при втраті або компрометації.
    Аналогічна система "Альфа-Мобайл", використовувана "Альфа Банком", має більш широким функціоналом, пропонуючи додатково перекази між своїми рахунками та переклади в інший банк або іншому клієнту "Альфа Банку".
    Мабуть, найбільш великий функціонал має система HandyBank, в яку входять близько 50 банків-провайдерів, включаючи "Альта Банк", "Интерпрогрессбанк", "Ренесанс Кредит" та інші. Вона підтримує, зокрема, миттєвий переказ коштів на рахунок клієнта від інших учасників системи, стандартні банківські платежі за реквізитами, оплату покупок в інтернет-магазинах і всі інші дії, передбачені інтернет-банком.
    Подібних систем нараховуються десятки, але функціонал лише 15 з них, за оцінкою "Експерт РА", відповідає очікуванням користувачів.
    Знайомство наосліп
    Чим більше можливостей з виведення коштів надає система мобільного банкінгу, тим більше охочих скористатися ними неправомірно. Питання, як зазвичай, тільки в тому, як це зробити.
    Банк не може перевірити документи людини, що працює в системі через смартфон або планшет. Звідси виникають загрози: зловмисник може заволодіти мобільним пристроєм або ж дані із пристрою можуть бути перехоплені шпигунським пз і відправлені злочинцям.
    Такі ситуації цілком реальні. Активних користувачів мобільного банкінгу в Росії, за експертними оцінками, кілька сотень тисяч (хоча і публікуються прес-релізи про мільйони, які підключилися до "мобільному банку", багато клієнти не просуваються далі отримання смс про операції по карті). Щорічно в Росії відбувається близько 100 тис. крадіжок/втрат мобільників і КПК. Якщо власник записав у пам'яті телефону свій пароль до банківського з додатком, злочинець має великі шанси зняти з його рахунку всі доступні засоби.
    Крім цього, клієнт може стати жертвою несанкціонованого доступу до його даними, просто завантаживши з стороннього сайту гру або інший додаток, що містить шкідливий код. Під час чергового виходу в інтернет особисті дані відправляться до нового власника.
    Простота гірше крадіжки
    Статистика показує, що подібна недбалість з боку клієнта - це реальність. Згідно з недавнім дослідженням Ponemon Institute в США, 29% власників телефонів зберігають в них дані про своїх пластикових картах. 90% опитаних поняття не мають, що самі можуть завантажити на телефон шпигунську програму. Стільки ж людей не знають, що фінансові програми для смартфонів передають в інтернет деталі платежу, включаючи дані про карті.
    Випадки реальних шахрайських дій з рахунками клієнтів через мобільні пристрої банки воліють не розголошувати, побоюючись за свою репутацію, що дорожче грошей. Але відомі ситуації, коли атака здійснювалася користувачів інтернет-клієнтів як мінімум двох великих російських банків, коли троянська програма змінювала запису у файлі hosts на комп'ютерах жертв і замість сайту свого банку люди потрапляли на фішингові сайти, де і вводили паролі.
    Що стосується мобільних пристроїв, то, згідно зі звітом компанії Juniper Networks, за останній рік зросла вчетверо число вірусів, виявлених для системи Android. Існують шкідливі програми і для інших мобільних платформ, включаючи iOS. Іноді помиляються самі банки. Так, нещодавно Sitibank виявив критичну уразливість в своєму мобільному клієнта для iPhone. Додаток зберігало приховані файли з персональними даними про обліковий запис клієнта, включаючи номери банківських рахунків, виставлені на оплату рахунку і паролі доступу до системи.
    Ще одна проблема полягає в тому, що для реалізації послуги мобільного банкінгу необхідно співпрацювати з іншими організаціями, такими як стільникові оператори та небанківські платіжні системи. Банкіри і так мають до них претензії, оскільки і перші, і другі поступово починають надавати чисто банківські послуги, але грають на цьому ринку за спрощеними правилами з-за відсутності таких жорстких регуляторів як Центробанк або Росфінмоніторинг. А тут ще необхідно довірити операторам зв'язку передачу власної фінансової інформації на "останньої милі", нехай і по захищених каналах. Стандарт ЦБ з інформаційної безпеки в банках прямо називає залежність від постачальників, постачальників, партнерів і клієнтів одним з основних джерел ІБ-загроз. Не в останню чергу це пов'язано з тим, що у них відсутнє таке жорстке регулювання питань безпеки як у банках. Але вигода від надання послуги виправдовує і ці ризики.
    Пошук стандарту
    Боротьба за безпеку мобільного банкінгу сьогодні ведеться як в галузі вдосконалення банківських систем, так і в сфері пропаганди "основ безпеки життєдіяльності" серед клієнтів. Згідно з вимогами Стандарту ЦБ, вони повинні бути забезпечені детальними інструкціями, що описують процедури виконання операцій або транзакцій, включаючи інформацію про можливі ризики. Ці інструкції містяться на веб сайтах банків і в буклетах з банківських послуг.
    Складніше йде справа з системами. Торішнє дослідження ДБО для фізосіб, проведене CNews Analytics серед банків Топ100, показало, що "інтернет-клієнт" є у 70%. Серед них 33,6% користуються системами власної розробки. На другому місці рішення компанії "Банк Софт Сістемс" (BSS) - 29,3%. Третє місце з 9,3% зайняла компанія "Біфіт".
    Ті ж учасники поділили провідні місця серед систем інтернет банкінгу для юросіб (у них також існують рішення для мобільних пристроїв), тільки власні розробки банків поступилися продуктів BSS (17,5% і 48,4% відповідно), третє місце зайняв "Біфіт" з 14,8%.
    Природно, ці дані не означають, що так само розподілилися користувачі систем, оскільки банки відрізняються за кількістю клієнтів.
    Безліч систем власної розробки і відсутність обов'язкового стандарту по забезпеченню безпеки при проведенні мобільних операцій призвели до різноманітності форм захисту даних.
    Одні банки вимагають особистої присутності клієнта в офісі при реєстрації мобільного банку на його ім'я. Інші спрощують дану процедуру і підключають до системи через інтернет-клієнт, банкомат (термінал) або по дзвінку в контакт центр з введенням пін-коду з клавіатури телефону.
    Додаток для телефону або планшета зазвичай завантажується з сайту банку. Але є й своєрідні рішення. МБРР уклав угоду з МТС, і при реєстрації "мобільного банку" обмінює сім-картку клієнта на аналогічну, з тим же номером і балансом, але з уже встановленим на ній банківським додатком.
    Як правило, самі додатки захищені паролем. Оскільки, як уже говорилося, багато люди зберігають персональні дані безпосередньо в телефоні, широко використовуються інші засоби аутентифікації: одноразові пін-коди підтвердження транзакцій, часто дійсні лише кілька хвилин; скретч-карти, ЕЦП і аналоги власноручного підпису.
    Перспективи є
    Кілька років тому серед споживачів банківських послуг переважав скептицизм відносно мобільного банкінгу. Він був обумовлений не тільки обмеженими, в основному чисто інформаційними можливостями, але і недовірою до забезпечення безпеки (хоча кому потрібна в кращому разі тисяча рублів, що залишається на рахунку після зняття зарплати в регіонах і небажанням розбиратися в просунутих функцій свого мобільного пристрою.
    Сьогодні ринок мобільного банкінгу в Росії зростає випереджаючими темпами по відношенню до зростання ДБО в цілому. За оцінками експертів, до 2013 року кількість користувачів інтернет банкінгу зросте на 35%, а мобільного банкінгу - на 105%. Причин цього явища кілька.
    по-перше, з ’ явилися реальні можливості керування рахунком. По-друге, послуга зручна завдяки своїй оперативності. По-третє, бажання комфорту пересилює сумніви щодо безпеки, тим більше що заголовки ЗМІ пістрявлять повідомленнями про злочини у цій сфері.
    На питання CNews відповів Сергій Березін, менеджер з маркетингу BCC Group
    CNews: чи Небезпечний мобільний банкінг? Здається, більше шансів бути пограбованим на вулиці.
    Сергій Березін: Не погоджуся, що мобільний банкінг більш небезпечний, ніж звичний інтернет-банкінг. Можна сказати, що мобільний банкінг навіть більш безпечний, ніж інтернет-банкінг - просто в силу меншого числа доступних операцій. Так, наприклад, у ряді реалізацій інтернет банкінгу для приватних клієнтів є можливість купувати/продавати цінні папери (або паї Піфів), відкривати/закривати депозити, у той час як навіть для самого "просунутого" мобільного банкінгу ці операції поки не реализованы.Сергей Березін: В даний час найбільш серйозною захистом доступу до банківського з додатком на мобільному пристрої вважається ідентифікація за PIN-калькулятору
    Крім того, мобільний банкінг у певному сенсі може бути більш безпечним, ніж традиційний банкінг з відвідуванням відділення банку - є регіони (необов'язково в Росії), де у клієнта набагато більше шансів бути пограбованим на вулиці по дорозі до відділення банку, ніж при використанні мобільного банкінгу.
    Справді, існують дві основні загрози інформаційної безпеки (ІБ), асоційовані з мобільним банкінгом. Ці загрози: фальсифікація справжнього власника смартфона (имперсонализация) за допомогою шкідливого пз і загроза фізичної втрати/крадіжки мобільного пристрою з подальшим зломом доступу до банківського з додатком на пристрої.
    Шляхи зниження загрози зараження смартфона шкідливим пз повністю аналогічні таким же рекомендацій для інтернет банкінгу. Тобто не завантажувати програми, ігри, колекції фото і відео з сумнівних джерел, не давати свій смартфон з встановленими банківськими додатком "пограти" іншим членам сім'ї (особливо підліткам), "своїй дівчині" і т.д., а також не здавати його в ремонт, на перепрошивання і т.п., попередньо не стерши банківська додаток.
    В ідеалі, для мобільного банкінгу добре б мати окремий смартфон, на якому немає ніяких інших програм, крім операційної системи і банківського програми. Аналогія - у багатьох організаціях з серйозним підходом до ІБ є спеціально виділений комп'ютер тільки для операцій "банк-клієнт". Цей ПК або ноутбук перебуває під невсипущим контролем системного адміністратора з точки зору і фізично контролюється службою безпеки організації.
    Що стосується загрози ІБ, що асоціюється зі зломом вкраденого або загубленого смартфона, то в даний час найбільш серйозною захистом доступу до банківського з додатком на мобільному пристрої вважається ідентифікація за PIN-калькулятором. Це набагато більш безпечний вхід, ніж по паролю користувача, оскільки пароль деякі користувачі вдається записати і зберегти серед файлів смартфона, а 8-розрядний код PIN-калькулятора, що має термін життя всього 30сек, підібрати практично неможливо.
    Згадувана автором статті аутентифікація з допомогою додаткових SMS набагато менш стійка, оскільки у випадку втрати/крадіжки мобільного пристрою ці SMS з великою ймовірністю будуть приходити вже не власнику, а зловмисникові. Додам, що основною метою крадіжки смартфонів є все-таки самі мобільні пристрої, а аж ніяк не доступ до банківського з додатком (якого на конкретному смартфоні може і не бути). У випадку втрати/крадіжки мобільного пристрою, - абсолютно аналогічно нагоди втрати/крадіжки банківської карти, - необхідно негайно дзвонити у банк для блокування функціоналу мобільного банкінгу.