Алексей Казанцев, IBOX Bank: об удаленной верификации, вызовах кибербезопасности и возможностях блокчейна для защиты данных

Алексей Казанцев, IBOX Bank: об удаленной верификации, вызовах кибербезопасности и возможностях блокчейна для защиты данных

UA UA.NEWS
Автор
UA UA.NEWS
UA.NEWS
Поделиться:

Современные протоколы защиты информации в сети делают рынок удаленных финансовых услуг безопасным и надежным. О том, как именно это работает в Украине и какие инструменты идентификации применяются, как противостоять киберугрозам и мошенничеству в интернет, в чем состоит революционное влияние блокчейна в эксклюзивном интервью UA.news рассказал советник главы правления IBOX Bank Алексей Казанцев.

IBOX Bank завершает интеграцию BANK ID от НБУ? В чем разница между выбранным вами вариантом и аналогичным решением от «ПриватБанка»? Как скоро вашим клиентам будет доступна такая опция? 

Алексей Казанцев: Да, действительно IBOX Bank успешно завершил тестирование взаимодействия системы BankID НБУ с нашими информационными системами и уже в ближайшие дни мы ожидаем завершения интеграции и полноценного включения в эту систему.

Алексей Казанцев,
советник главы правления IBOX Bank
Уже в ближайшее время открыть счет в IBOX Bank из любой точки мира станет возможным без посещений отделения банка, с помощью удаленной идентификации через систему BankID НБУ и электронную подпись.

На сегодняшний день в Украине имеется две системы BankID. Это BankID от НБУ и BankID «ПриватБанка». История такова: в апреле 2015 года «ПриватБанк» запустил свою систему. Совместно с сообществом IT-волонтеров которых он призвал, им удалось реализовать ряд проектов в области e-government, в том числе iGov – портал государственных услуг, которые любой гражданин или бизнес могут заказать дистанционно благодаря BankID как инструменту идентификации.

Через полтора года, в 2016 году, такую же систему запустил и Национальный банк Украины. Сегодня Нацбанк развивает свою систему намного более активно в связи с возросшим интересом среди банковского и финансового сектора в этом году. Откуда он? Как вы, возможно, знаете из общения с моими коллегами, Национальный банк принял ряд изменений к законодательству, которые позволили использовать систему BankID НБУ для удаленной идентификации клиентов банками и удаленного открытия ими счетов без обязательного посещения клиентом отделения банка.

Таким образом, для идентификации и предоставления удаленных финансовых услуг клиентам, банки сейчас законодательно могут использовать только систему BankID НБУ. Причина нашего выбора достаточно очевидна. Что не исключает в последующем подключения и к другой системе BankID.

А предоставление регулятором равных условий обеим системам позволило бы создать конкуренцию среди них, а следовательно, и динамику в развитии систем дистанционной идентификации клиентов в финансовом секторе, особенно учитывая, что «ПриватБанк» ныне также является государственным банком.

Алексей Казанцев,
советник главы правления IBOX Bank
Идентификация через систему BankID НБУ является безопасной для пользователей, потому что их персональные данные не хранятся в этой системе. Они лишь передаются через BankID НБУ в зашифрованном виде с наложением квалифицированной электронной подписи или такой же печати банка.

Уже в ближайшее время возможность открыть счет в IBOX Bank из любой точки мира, с помощью удаленной идентификации через систему BankID НБУ и электронную подпись, не посещая отделения банка, станет доступной нашим потенциальным клиентам.

Какие уровни защиты выстроены для сохранности данных пользователей? На какие решения вы ориентировались? Или в данном случае просто классические инструменты и ноу-хау? Разработана ли какая-то «защита от дурака», к примеру, против мошенников, использующих социальную инженерию? 

Алексей Казанцев: Электронная идентификация физических лиц с использованием системы BankID НБУ происходит путем передачи персональных данных такого лица от абонента-идентификатора (банка, в котором открыт счет пользователя), к абоненту-поставщику услуг. Передача данных происходит только по инициативе самого пользователя (клиента-физлица).

Идентификация через систему BankID НБУ является безопасной для пользователей, потому что их персональные данные не хранятся в этой системе. Они лишь передаются через BankID НБУ в зашифрованном виде с наложением квалифицированной электронной подписи или квалифицированной электронной печати банка. Только владелец персональных данных может инициировать передачу своих данных. Передача идентификационных данных третьим лицам без согласия пользователя (владельца данных) запрещена и невозможна.

Алексей Казанцев,
советник главы правления IBOX Bank
Мы не можем контролировать поведение и действия клиента, если он сам сообщает мошенникам необходимую им информацию. Поэтому самым эффективным способом борьбы с мошенничеством данных остается повышение финансовой грамотности населения.

Говоря о конкретных протоколах защиты – прием информации с данными пользователей на стороне IBOX Bank проводится через ПО, сертифицированное на уровне Г-3 (ТЗИ 2.5-004-99 «Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа»). Уровень Г3 в Украине имеют лишь некоторые специализированные системы военного назначения. Он аналогичен уровню EAL 4 международного стандарта ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».

Соответствие этим уровням гарантий защиты данных подтверждает полную контролируемость и управляемость процессов, исключает возможность случайной или преднамеренной утечки, несанкционированного сбора и передачи данных третьим лицам или внесения злоумышленниками программных закладок в исходный код программного обеспечения на всех этапах создания и эксплуатации.

Относительно мошенников использующих «социальную инженерию» — в IBOX Bank используются различные системы противодействия: автоматизация обработки для исключения человеческого фактора, ограничение доступов к такой информации, антифродовые системы.

Но мы не можем контролировать поведение и действия клиента, если он сам сообщает мошенникам необходимую им информацию. Поэтому самым эффективным способом борьбы в данном случае остается повышение финансовой грамотности населения.

Алексей Казанцев,
советник главы правления IBOX Bank
В Украине дистанционная идентификация и верификация физлица по видеосвязи стала возможной с апреля 2020 года. Все заложено в принятом законе о финмониторинге.

Усиление ответственности за подобные мошеннические действия в киберсфере, вплоть до криминальной, могло бы также помочь в борьбе с таким видом преступлений.

В июле этого года IBOX Bank присоединился к информационной кампании Национального банка по противодействию финансовому мошенничеству #ШахрайГудбай. Главная цель этой кампании – информирование и обучение граждан главным правилам безопасности безналичных и онлайн-платежей. IBOX Bank стал информационным партнером этой кампании и содействует повышению финансовой грамотности населения страны во всех вопросах банковских услуг.

BANK ID – одна из надежных систем верификации клиентов. С другой стороны, в Европе некоторые банки уже открывают счета через социальные сети и мессенджеры с видеосвязью, выстроив надежную схему идентификации. Когда чего-то подобного стоит ожидать в Украине? Делаются ли какие-то шаги на законодательном уровне в этом направлении? 

Алексей Казанцев: Ждать не нужно – в Украине дистанционная идентификация и верификация физлица по видеосвязи стала возможной с апреля 2020 года. Все заложено в принятом законе о финмониторинге.

Есть, конечно же, определенные правила и требования к проведению такой верификации от регулятора, в т.ч. и к организации информационной безопасности при её проведении, каналам связи, качеству получаемой картинки. Банкам также необходимо научиться эффективно выявлять попытки мошеннической идентификации по поддельным документам, особенно это касается старых образцов документов (например, паспорт «книжечка»), поддельных вклеенных фото по видео, распознавание защитных элементов.

Алексей Казанцев,
советник главы правления IBOX Bank
Либерализация законодательства в финтех-сфере и приведение его к европейским нормам уже в процессе, но где грань между свободным, но бесконтрольным рынком и зарегулированной защитой? Нацбанк ищет этот баланс довольно успешно. 

С новыми биометрическими документами – внутренним паспортом в виде ID карты и загранпаспортом – уже сейчас возможна безопасная передача цифровых копий с помощью приложения «Дія» в банк для идентификации. Несколько банков уже предлагают такую возможность. После запуска приложения IBOX Bank представит свой вариант такой услуги для клиентов.

В Украине в целом стремительно развивается финтех и банковская сфера – мы среди лидеров по использованию Paypass/NFC. При этом с одной стороны, часть населения остается весьма инертной и консервативной, с другой стороны, законодательство отстает и от темпов, и от Западных стран в целом. Какие шаги, как государства, так и частного сектора могли бы дать очередной мощный толчок к развитию? 

Алексей Казанцев: Что касается части населения и бизнеса, которые остаются «инертными и консервативными», я бы отметил здесь несколько основных причин:

  • Теневой характер рынка украинской экономики. По разным оценкам, сейчас 30% малого и среднего бизнеса находятся в тени. Пессимистичная аналитика говорит о том, что названная цифра может быть и в два раза больше. А это и зарплаты в конвертах, и значительный теневой наличный оборот.
  • Неравномерность доступа к цифровым услугам. Часть населения страны, живущая в малонаселенных и отдаленных от миллионников населенных пунктах, лишены доступа ко всему спектру банковского обслуживания. Открытие отделений в таких местах для банков экономически невыгодно.
  • Низкая финансовая грамотность населения и недоверие к банковской системе.

Конечно же, обеспечить активизацию банковского и финтех-секторов могли бы решительные шаги государства, направленные на детенизацию экономики страны. Либерализация законодательства в финтех-сфере и приведение его к европейским нормам уже в процессе, но здесь у многих становится вопрос: где грань между свободным, но бесконтрольным рынком и зарегулированной защитой? Нацбанк ищет этот баланс и последние годы довольно успешно.

Алексей Казанцев,
советник главы правления IBOX Bank
Любая страна или структура не застрахованы от кибератаки на 100%, а придумать «вечную защиту» невозможно. Это постоянная работа по улучшению, в которой вы должны быть на один-два шага впереди взломщика. А лучше на три.

Конечно же, необходимы дополнительные упрощенные, но надежные методы удаленной идентификации и верификации клиентов: окончательная имплементация евродирективы PSD2 и Open Banking, усовершенствование вопросов финмониторинга и KYC-регуляций, моментальные платежи в СЭП 24/7. Все это могло бы усилить конкуренцию, а значит качество услуг и доверие клиентов.

Киберугрозы являются серьёзным вызовом и для государств, и для бизнеса. Как вы оцените достижения Украины в этом вопросе? Взломы госпредприятий и агентств, вирус Petya и wannacry существенно повлияли на ситуацию? 

Алексей Казанцев: Киберугрозы уже давно стали общемировой проблемой и серьезным вызовом для национальной и международной безопасности. Сегодня кибернетическая сфера становится передовой мирового противостояния.

Украина делает значительные шаги в направлении построения мощной системы кибербезопасности, учитывая, что гибридные угрозы, в том числе кибератаки на критическую инфраструктуру и цифровая пропаганда, сегодня выходят на первый план. Мы сотрудничаем с государствами-партнерами в области кибербезопасности – возможно, недостаточно активно, но вопрос ресурсов и бюджетов здесь определяющий.

Алексей Казанцев,
советник главы правления IBOX Bank
Применение технологии блокчейн для обеспечения кибербезопасности практически безгранично благодаря уникальным свойствам, таким как надежность, общедоступность, высокая адаптивность и экономическая эффективность.

Что касается известных массовых вирусных атак на различные структуры государственного и частного сектора – как бы цинично это ни звучало бы, любая страна или структура не застрахованы от кибератаки на 100%, а придумать «вечную защиту» невозможно. Это постоянная работа по улучшению, в которой вы должны быть на один-два шага впереди взломщика. А лучше на три.

Как развитие технологии блокчейн повлияло на рост безопасности? К слову, как Вы оцените безопасность хранения капитала в криптовалютах, если абстрагироваться от скачков курса и полулегального положения?

Алексей Казанцев: Технологии блокчейн являются революционным явлением, равным по значимости самым гениальным изобретениям человечества в информационной среде. Они создали платформу нового вида Интернета, повлияли на децентрализацию сети по принципу распределенного реестра, стали использоваться во всевозможных разновидностях для самых разных целей, включая кибербезопасность.

Применение технологии блокчейн для обеспечения кибербезопасности практически безгранично благодаря уникальным свойствам, таким как надежность, общедоступность, высокая адаптивность и экономическая эффективность.

Использование блокчейн-технологий для борьбы с киберугрозами может распространяться на контроль над банковскими и финансовыми услугами, государственным управлением, бизнесом – да и любой другой отраслью. Надежность основывается на правиле распределенного реестра.

После любого внесения изменений в такую базу новая информация синхронизируется на компьютерах всех пользователей, а внесенные данные создают следующий блок, содержащий криптографически сформированный ключ, служащий для разблокировки произведенной записи.

Таким образом, отсутствует центральный депозитарий, который хранит базу данных, следит за ее актуальностью, защищает от атак. Потеря базы на одном и даже нескольких компьютерах не влияет на сохранность информации: такие же копии хранятся у других пользователей. Таких виртуальных хранилищ может быть тысячи, миллионы или десятки миллионов, такую базу данных можно считать почти неуязвимой.

Относительно же хранения капитала в криптовалютах, очень сложно абстрагироваться от существующего положения дел, когда стоимость такого актива в будущем слабо предсказуема и на данный момент статус таких активов законодательно не урегулирован. Пока не урегулирован.

Автор: UA UA.NEWS
Поделиться:

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Sorry that something went wrong, repeat again!