• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Безопасность vs быстродействие

С точки зрения действующего регулирования электронных платежей превыше всего – безопасность платежных транзакций. Пользователи же этих сервисов хотят также, чтобы их платежи проходили моментально. Игроки рынка ищут золотую середину между быстродействием и безопасностью электронных платежей.

«ИКС»: Какие требования к функционированию платежных систем появились в новых нормативных правовых актах, регулирующих их деятельность?

Михаил БАШЛЫКОВ, руководитель направления ИБ, КРОК: Закон «О национальной платежной системе» и другие недавно введенные нормативные документы не предъявляют конкретных технических требований к аппаратно-программным платформам. Они лишь обязывают всех участников платежной системы гарантировать защиту персональной и иной информации, подлежащей обязательной защите, а также обеспечивать бесперебойность функционирования платежной системы.

Александр ГОРШКОВ, начальник управления банковских технологий, «Техносерв»: Необходимость обеспечения надежного функционирования системы, в том числе в чрезвычайных ситуациях, подразумевает определенный уровень резервирования и мониторинга работоспособности серверного оборудования и конечных устройств, через которые осуществляется оплата. Аппаратная платформа должна обеспечивать выполнение платежных поручений в режиме 24 × 7.

Неманья НИКИТОВИЧ, управляющий директор, Optima Infosecurity (ГК Optima): До 1 января 2014 г. отложено вступление в действие ст. 9 закона «О национальной платежной системе», обязывающей кредитные организации возвращать владельцу аккаунта средства, похищенные из систем ДБО, а уже потом ждать результатов расследования. Иными словами, банки еще не несут всей полноты ответственности за средства клиента на своих счетах. Когда это произойдет, банкам придется внимательнее относиться к новейшим способам защиты онлайн-транзакций. Это послужит хорошим стимулом для развития рынка.

«ИКС»: С какими вызовами приходится сталкиваться банкам при реализации требования  закона «О национальной платежной системе» обеспечить бесперебойное функционирование платежной системы?

Михаил ПЛАХУТА, руководитель отдела развития департамента ИБ, Softline: Ряд требований закона «О национальной платежной системе» и Положения № 382-П трудновыполнимы в рамках бизнес-процессов, существующих в банковских организациях. Например, отслеживание и контроль денежных средств на счетах из-за введенных ограничений, информирование клиентов о проведенных операциях, предоставление отчетности и др. При этом, как уже говорилось, требований к технической реализации не предъявляется, операторы платежных систем вольны выбирать ее самостоятельно. На рынке нет продуктов, специально разработанных для выполнения требований закона, их выполнение достигается применением комплекса организационных и технических средств.

М. БАШЛЫКОВ: Основные проблемы при выполнении требований закона связаны с недостаточной законодательной проработкой некоторых процедур обеспечения информационной безопасности в платежных системах. В их числе процедуры, которые раньше никак законодательно не регулировались (например, управление инцидентами информационной безопасности), а теперь обязательны для исполнения. В большинстве организаций – участников платежных систем эти процедуры не выстроены и не регламентированы.

«ИКС»: Какой набор средств необходим для достижения баланса между производительностью электронной платежной системы и безопасностью транзакций?

Олег АКАЕНКО, старший консультант по ИБ, Sysnet Global Solutions: На этапе серверной обработки платежей, я считаю, виртуализация – это наше все. Следует только отметить, что виртуализация должна проводиться в соответствии с пожеланиями PCI SSC (например, необходимо разносить виртуальные машины с разным уровнем критичности информации по разным гипервизорам). Устаревшие банкоматы, устаревшие программные средства на них, медленные линии связи мешают построить безопасную инфраструктуру согласно требованиям PCI DSS. Отсутствие антивирусов, контроля целостности, сбора и анализа логов, управления обновлениями ПО на банкоматах – повсеместное явление. Без обновления парка банкоматов, линий связи все рекомендации по безопасной их настройке, равно как и требования PCI DSS, едва ли выполнимы.

М. БАШЛЫКОВ: Для достижения баланса между производительностью электронной платежной системы и безопасностью транзакций необходимо предпринять целый комплекс мер. Во-первых, зарезервировать сетевые каналы для предоставления быстрого и отказоустойчивого сетевого доступа к сервисам платежной системы. Во-вторых, использовать резервные центры обработки данных для обеспечения катастрофоустойчивости и распределения нагрузки. В-третьих, применять кластерные отказо-устойчивые конфигурации оборудования и ПО. Также важно регламентировать технологические процессы платежной системы и повысить осведомленность административного персонала и ее пользователей. И конечно, задействовать средства защиты информации.

Н. НИКИТОВИЧ: Искусство информационной безопасности состоит в достижении баланса между требованиями самой безопасности, регулятивными правилами и необходимостью предоставить пользователю максимальное удобство. К примеру, пластиковая карта с дисплеем – это финансовый продукт, позволяющий производить платежи и одновременно обеспечивающий с высокой степенью безопасности подтверждение идентичности пользователя в рамках конкретной транзакции. Это удобно для пользователя и дает возможность экономить на операционных расходах.

«ИКС»: Как вы оцениваете уровень готовности технических средств к внедрению технологии NFC? Какие ее аспекты нуждаются в стандартизации?

А. ГОРШКОВ: По личному опыту скажу, что технические вопросы решаются достаточно просто. Гораздо сложнее с организационными и законодательными. Конечной точке предоставления услуг не так важно, каким способом был осуществлен платеж – наличными, при помощи пластиковой карты или NFC-технологии. Гораздо важнее время, затрачиваемое на оплату, и минимизация финансовых ошибок. Безналичная оплата сокращает время выполнения расчетов и минимизирует финансовые ошибки, в том числе хищение денежных средств из кассы. Технология NFC сильно ускоряет оплату, поэтому у нее достаточно светлое будущее. Например, «ПриватБанку» на Украине принадлежит более 5,5 тыс. терминалов с поддержкой NFC, и он планирует увеличить их количество еще на 2,5 тыс.

Н. НИКИТОВИЧ: Говорить о стандартизации технологий NFC пока рано – сначала следует дождаться сколько-нибудь массового их распространения. И уж тем более ни о какой угрозе с их стороны обычным пластиковым картам речи быть не может. Пластиковые карты могут быть вытеснены только картами с дисплеем и системой генерации одноразового пароля.

О. АКАЕНКО: Сложно говорить о стандартизации технологии NFC, если ею занимаются столько организаций: ISO/IEC, GSMA, StoLPaN, NFC Forum, EMV и др. Мне кажется, что платежные бренды сами должны выбрать наиболее подходящую спецификацию NFC, а остальные (производители телефонов, например) подтянутся.

М. БАШЛЫКОВ: Технология NFC сегодня активно развивается (например, ее продвигает MasterCard), однако находится в самом начале пути. Одни разработчики мобильных устройств, в частности Acer, Sony, LG, уже внедрили в свои устройства чипы NFC, другие (скажем, Apple) лишь планируют. Ряд организаций, предоставляющих населению массовые услуги, тоже разворачивают у себя инфраструктуру, поддерживающую данную технологию. Но подобные проекты только начали появляться.

Мощным толчком как к развитию NFC в России, так и к ее затуханию может стать закон «О национальной платежной системе». Важнейшее звено технологии – модуль TSM (Trusted Service Module), удостоверяющий право пользователя мобильного устройства осуществлять переводы по схеме мобильных платежей. Не участвуя в самих расчетах, модуль является ключевым участником схемы. Вместе с тем TSM не подпадает ни под одно определение закона «О национальной платежной системе», в результате чего NFC остается вне правового поля. Тем не менее большинство участников рынка мобильных платежей заинтересованы в развитии данной технологии, а соответственно, и законодательства, обеспечивающего юридическое регулирование вопросов, связанных с ее применением.

«ИКС»:  Какие еще технологии, на ваш взгляд, могут стать прорывными на рынке электронных платежей?

А. ГОРШКОВ: На мой взгляд, большие перспективы имеют QR-коды и мобильные приложения, которые позволяют осуществлять прием платежей через мобильные устройства пользователей. Причем QR-код может в таких решениях использоваться как для получения информации о стоимости и назначении платежа, так и для информирования контрольного устройства об успешном выполнении платежа. Не все мобильные устройства оснащены NFC-модулем, что в какой-то мере сдерживает развитие этой технологии, к тому же технология QR-кодов требует меньших финансовых затрат при массовом внедрении.

О. АКАЕНКО: Помимо уже хорошо известных технологий NFC и QR-кодов в области обработки платежей сейчас мало что происходит. Да и на полноценное и широкое внедрение вышеупомянутых технологий платежные бренды отводят 10–15 лет. Гораздо интереснее, как мне кажется, принципиально новые системы электронных денег и платежей, мало зависящие от отдельных правительств и брендов, такие как BitCoin. При всей спорности концепции (возможности ухода от налогов, финансового мониторинга и пр.) идея свежая и перспективная.

М. БАШЛЫКОВ: Прорывными могут стать не только те технологии, которые повышают удобство платежей, но и те, которые обеспечивают их дополнительную безопасность. Например, интересны система безопасности транзакций на основе определения местоположения мобильных телефонов и технология, связанная с использованием персонального токена, который в зависимости от времени и параметров транзакции формирует одноразовый пароль. Последняя практически неуязвима в атаке «человек посередине».

В настоящее время наметился тренд на внедрение систем защиты от карточного фрода и фрода в системах ДБО, которые позволяют пометить как подозрительную или заблокировать в режиме реального времени нетипичную для пользователя транзакцию. Например, пользователь выполняет платеж с компьютера, размещенного в Китае, в то время как час назад он делал это из Москвы.

И наконец, одна из последних технологий для обеспечения безопасности банковского обслуживания через интернет – WYSIWYS (What you see is what you sign). Речь идет о подключении к компьютеру специального доверенного физического устройства, формирующего электронную подпись. На его экране пользователь может видеть все параметры транзакции (номер счета получателя, сумму операции и др.), проконтролировать их корректность и отменить транзакцию в случае обнаружения несоответствий. Для обеспечения строгой аутентификации эти устройства защищены пин-кодом.