$ 38.08 € 41.49 zł 9.64
+13° Київ +17° Варшава +12° Вашингтон
Олексій Казанцев, IBOX Bank: про дистанційну верифікацію, виклики кібербезпеки та можливості блокчейну для захисту даних

Олексій Казанцев, IBOX Bank: про дистанційну верифікацію, виклики кібербезпеки та можливості блокчейну для захисту даних

20 Жовтня 2020 15:28

Сучасні протоколи захисту інформації в мережі роблять ринок віддалених фінансових послуг безпечним і надійним. Про те, як саме це працює в Україні та які інструменти ідентифікації застосовуються,  яким чином протистояти кіберзагрозам і шахрайству в інтернет, в чому полягає революційний вплив блокчейну в ексклюзивному інтерв'ю UA.news розповів радник голови правління IBOX Bank Олексій Казанцев.

IBOX Bank завершує інтеграцію BankID від НБУ? У чому різниця між обраним вами варіантом та аналогічним рішенням від «ПриватБанку»? Як скоро вашим клієнтам буде доступною така опція?

Олексій Казанцев: Так, дійсно IBOX Bank успішно завершив тестування взаємодії системи BankID НБУ з нашими інформаційними системами і вже в найближчі дні ми очікуємо завершення інтеграції та повноцінного включення у цю систему.

Уже найближчим часом відкрити рахунок в IBOX Bank з будь-якої точки світу стане можливим без відвідувань відділення банку, за допомогою віддаленої ідентифікації через систему BankID НБУ та електронний підпис.

Олексій Казанцев,

радник голови правління IBOX Bank


На сьогоднішній день в Україні є дві системи BankID. Це BankID від НБУ і BankID «ПриватБанку». Історія така: у квітні 2015 року «ПриватБанк» запустив свою систему. Разом зі спільнотою IT-волонтерів яких він закликав, їм вдалося реалізувати ряд проектів в області e-government, в тому числі iGov – портал державних послуг, які будь-який громадянин або бізнес можуть замовити дистанційно завдяки BankID як інструменту ідентифікації.

Через півтора роки, в 2016, таку ж систему запустив і Національний банк України. Сьогодні Нацбанк розвиває свою систему набагато більш активно у зв'язку із збільшеним інтересом серед банківського і фінансового секторів у цьому році. Звідки він? Як ви, можливо, знаєте зі спілкування з моїми колегами, Національний банк прийняв ряд змін до законодавства, які дозволили використовувати систему BankID НБУ для віддаленої ідентифікації клієнтів банками і віддаленого відкриття ними рахунків без обов'язкового відвідування клієнтом відділення банку.

Таким чином, для ідентифікації і надання віддалених фінансових послуг клієнтам, банки зараз законодавчо можуть використовувати тільки систему BankID НБУ. Причина нашого вибору досить очевидна. Що не виключає в подальшому підключення і до іншої системи BankID.

А надання регулятором рівних умов обом системам дозволило б створити конкуренцію серед них, а отже, і динаміку в розвитку систем дистанційної ідентифікації клієнтів у фінансовому секторі, особливо з огляду на те, що «ПриватБанк» нині також є державним банком.

Ідентифікація через систему BankID НБУ є безпечною для користувачів, тому що їх персональні дані не зберігаються в цій системі. Вони лише передаються через BankID НБУ в зашифрованому вигляді з накладанням кваліфікованого електронного підпису або такої ж печатки банку.

Олексій Казанцев,

радник голови правління IBOX Bank


Уже найближчим часом можливість відкрити рахунок в IBOX Bank з будь-якої точки світу, за допомогою віддаленої ідентифікації через систему BankID НБУ і електронний підпис, не відвідуючи відділення банку, стане доступною нашим потенційним клієнтам.



Які рівні захисту побудовані для збереження даних користувачів? На які рішення ви орієнтувалися? Або в даному випадку просто класичні інструменти і ноу-хау? Розроблено якийсь «захист від дурня», наприклад, проти шахраїв, які використовують соціальну інженерію?

Олексій Казанцев: Електронна ідентифікація фізичних осіб з використанням системи BankID НБУ відбувається шляхом передачі персональних даних такої особи від абонента-ідентифікатора (банку, в якому відкрито рахунок користувача), до абонента-постачальника послуг. Передача даних відбувається тільки за ініціативою самого користувача (клієнта-фізособи).

Ідентифікація через систему BankID НБУ є безпечною для користувачів, тому що їх персональні дані не зберігаються в цій системі. Вони лише передаються через BankID НБУ в зашифрованому вигляді з накладанням кваліфікованого електронного підпису або кваліфікованої електронної печатки банку. Тільки власник персональних даних може ініціювати передачу своїх даних. Передача ідентифікаційних даних третім особам без згоди користувача (власника даних) заборонена і неможлива.

Ми не можемо контролювати поведінку та  дії клієнта, якщо він сам повідомляє шахраям необхідну їм інформацію. Тому найефективнішим способом боротьби з шахрайством даних залишається підвищення фінансової грамотності населення.

Олексій Казанцев,

радник голови правління IBOX Bank


Говорячи про конкретні протоколи захисту – прийом інформації з даними користувачів на стороні IBOX Bank проводиться через ПЗ, сертифіковане на рівні Г-3 (ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу»). Рівень Г3 в Україні мають лише деякі спеціалізовані системи військового призначення. Він аналогічний рівню EAL 4 міжнародного стандарту ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».

Відповідність цих рівнів гарантій захисту даних підтверджує повну контрольованість і керованість процесів, виключає можливість випадкового або навмисного витоку, несанкціонованого збору і передачі даних третім особам або внесення зловмисниками програмних закладок у вихідний код програмного забезпечення на всіх етапах створення та експлуатації.

Щодо шахраїв, які використовують «соціальну інженерію» - в IBOX Bank використовуються різні системи протидії: автоматизація обробки для виключення людського фактора, обмеження доступів до такої інформації, антифродові системи.

Але ми не можемо контролювати поведінку та дії клієнта, якщо він сам повідомляє шахраям необхідну їм інформацію. Тому найефективнішим способом боротьби у даному випадку залишається підвищення фінансової грамотності населення.

В Україні дистанційна ідентифікація та верифікація фізособи по відеозв'язку стала можливою з квітня 2020 року. Все закладено у прийнятому законі про фінмоніторинг.

Олексій Казанцев,

радник голови правління IBOX Bank


Посилення відповідальності за подібні шахрайські дії в кіберсфері, аж до кримінальної, могло б також допомогти у боротьбі з таким видом злочинів.

У липні цього року IBOX Bank приєднався до інформаційної кампанії Національного банку з протидії фінансовому шахрайству #ШахрайГудбай. Головна мета цієї кампанії – інформування та навчання громадян головним правилам безпеки безготівкових та онлайн-платежів. IBOX Bank став інформаційним партнером цієї кампанії та сприяє підвищенню фінансової грамотності населення країни у всіх питаннях банківських послуг.



BankID – одна з надійних систем верифікації клієнтів. З іншого боку, в Європі деякі банки вже відкривають рахунки через соціальні мережі та месенджери з відеозв'язком, побудувавши надійну схему ідентифікації. Коли чогось подібного варто очікувати в Україні? Чи робляться якісь кроки на законодавчому рівні у цьому напрямку?

Олексій Казанцев: Чекати не потрібно – в Україні дистанційна ідентифікація і верифікація фізособи по відеозв'язку стала можливою з квітня 2020 року. Все закладено у прийнятому законі про фінмоніторинг.

Є, звичайно ж, певні правила і вимоги до проведення такої верифікації від регулятора, в т.ч. і до організації інформаційної безпеки при її проведенні, каналам зв'язку, якості отримуваної картинки. Банкам також необхідно навчитися ефективно виявляти спроби шахрайської ідентифікації за підробленими документами, особливо це стосується старих зразків документів (наприклад, паспорт «книжечка»), підроблених вклеєних фото по відео, розпізнавання захисних елементів.

Лібералізація законодавства у фінтех-сфері та приведення його до європейських норм вже в процесі, але де межа між вільним, але безконтрольним ринком і зарегульованим захистом? Нацбанк шукає цей баланс досить успішно.

Олексій Казанцев,

радник голови правління IBOX Bank


З новими біометричними документами – внутрішнім паспортом у вигляді ID карти і закордонним паспортом – вже зараз можлива безпечна передача цифрових копій за допомогою програми «Дія» в банк для ідентифікації. Кілька банків уже пропонують таку можливість. Після запуску програми IBOX Bank представить свій варіант такої послуги для клієнтів.

В Україні в цілому стрімко розвивається фінтех і банківська сфера – ми серед лідерів по використанню Paypass/NFC. При цьому з одного боку, частина населення залишається досить інертною і консервативною, з іншого боку, законодавство відстає і від темпів, і від Західних країн в цілому. Які кроки, як держави, так і приватного сектора могли б дати черговий потужний поштовх до розвитку?

Олексій Казанцев: Що стосується частини населення і бізнесу, які залишаються «інертними і консервативними», я б відзначив тут кілька основних причин:

  • Тіньовий характер ринку української економіки. За різними оцінками, зараз 30% малого і середнього бізнесу знаходяться в тіні. Песимістична аналітика говорить про те, що названа цифра може бути і в два рази більшою. А це і зарплати в конвертах, і значний тіньовий готівковий обіг.

  • Нерівномірність доступу до цифрових послуг. Частина населення країни, що живе в малонаселених і віддалених від мільйонників населених пунктах, позбавлені доступу до всього спектру банківського обслуговування. Відкриття відділень у таких місцях для банків є економічно невигідним.

  • Низька фінансова грамотність населення та недовіра до банківської системи.


Звичайно ж, забезпечити активізацію банківського та фінтех-секторів могли б рішучі кроки держави, спрямовані на детінізацію економіки країни. Лібералізація законодавства у фінтех-сфері та приведення його до європейських норм уже в процесі, але тут у багатьох постає питання: де межа між вільним, але безконтрольним ринком та зарегульованим захистом? Нацбанк шукає цей баланс і останні роки досить успішно.

Будь-яка країна або структура не застраховані від кібератаки на 100%, а придумати «вічний захист» неможливо. Це постійна робота щодо поліпшення, в якій ви повинні бути на один-два кроки попереду зломщика. А краще на три.

Олексій Казанцев,

радник голови правління IBOX Bank


Звичайно ж, необхідні додаткові спрощені, але надійні методи віддаленої ідентифікації та верифікації клієнтів: остаточна імплементація Євродирективи PSD2 і Open Banking, удосконалення питань фінмоніторингу і KYC-регуляцій, моментальні платежі в СЕП 24/7. Все це могло б посилити конкуренцію, а значить якість послуг і довіру клієнтів.



Кіберзагрози є серйозним викликом і для держав, і для бізнесу. Як ви оціните досягнення України в цьому питанні? Зломи держпідприємств та агентств, вірус Petya і wannacry істотно вплинули на ситуацію?

Олексій Казанцев: Кіберзагрози вже давно стали загальносвітовою проблемою і серйозним викликом для національної і міжнародної безпеки. Сьогодні кібернетична сфера стає на передовій світового протистояння.

Україна робить значні кроки у напрямку побудови потужної системи кібербезпеки, враховуючи, що гібридні загрози, в тому числі кібератаки на критичну інфраструктуру і цифрова пропаганда, сьогодні виходять на перший план. Ми співпрацюємо з державами-партнерами в області кібербезпеки – можливо, недостатньо активно, але питання ресурсів та бюджетів тут визначальне.

Застосування технології блокчейн для забезпечення кібербезпеки є практично безмежним завдяки унікальним властивостям, таким як надійність, загальнодоступність, висока адаптивність та економічна ефективність.

Олексій Казанцев,

радник голови правління IBOX Bank


Що стосується відомих масових вірусних атак на різні структури державного і приватного сектора – як би цинічно це не звучало, будь-яка країна або структура не застраховані від кібератаки на 100%, а придумати «вічний захист» неможливо. Це постійна робота щодо поліпшення, в якій ви повинні бути на один-два кроки попереду зломщика. А краще на три.

Як розвиток технології блокчейн вплинув на зростання безпеки? До слова, як Ви оціните безпеку зберігання капіталу в криптовалюті, якщо абстрагуватися від стрибків курсу і напівлегального становища?

Олексій Казанцев: Технології блокчейн є революційним явищем, рівним за значенням найгеніальнішим винаходам людства в інформаційному середовищі. Вони створили платформу нового виду Інтернету, вплинули на децентралізацію мережі за принципом розподіленого реєстру, стали використовуватися у всіляких різновидах для найрізноманітніших цілей, включаючи кібербезпеку.

Застосування технології блокчейн для забезпечення кібербезпеки є практично безмежним завдяки унікальним властивостям, таким як надійність, загальнодоступність, висока адаптивність та економічна ефективність.

Використання блокчейн-технологій для боротьби з кіберзагрозами може поширюватися на контроль над банківськими та фінансовими послугами, державним управлінням, бізнесом – та й будь-якою іншою галуззю. Надійність ґрунтується на правилі розподіленого реєстру.

Після будь-якого внесення змін до такої бази нова інформація синхронізується на комп'ютерах усіх користувачів, а внесені дані створюють наступний блок, що містить криптографічно сформований ключ, що слугує для розблокування виробленого запису.

Таким чином, відсутній центральний депозитарій, який зберігає базу даних, слідкує за її актуальністю, захищає від атак. Втрата бази на одному і навіть декількох комп'ютерах не впливає на збереження інформації: такі ж копії зберігаються у інших користувачів. Таких віртуальних сховищ може бути тисячі, мільйони чи десятки мільйонів, таку базу даних можна вважати майже невразливою.

Щодо зберігання капіталу в криптовалюті, дуже складно абстрагуватися від існуючого стану справ, коли вартість такого активу в майбутньому слабо передбачувана і на даний момент статус таких активів законодавчо не врегульований. Поки не врегульований.