О технологии, положенной в основу обновленной банковской ЭП

В интервью редакции Единого портала Электронной подписи разработчик решения PayControl, на которое уже перешли более 70 банков, поделился его отличительными особенностями, а также рассказал о перспективах использования технологии и действующих клиентах.

Портал iEcp.ru, а также ряд других СМИ в конце мая 2020 года сообщили о появлении обновленной электронной подписи, на которую стали переходить банки. Назначение инструмента осталось прежним – подтверждать операции, технология же изменилась. Среди прочего предложенное решение позволило исключить шаг с введением «проверочного кода» или push-уведомления, поступавших на телефон клиента. Подобные отправки одноразовых паролей, как известно, открывают «окно возможностей» для мошенников, которые могут скомпрометировать комбинации, например, при помощи методов социальной инженерии, искусно введя жертву в заблуждение.

Редакция Единого портала Электронной подписи взяла интервью у разработчика решения PayControl, на которое переходит все большее количество банков. О том, что представляет собой электронная подпись в случае использования PayControl, о сферах применения, а также о мобильности, надежности и перспективах внедрения новых финансовых услуг рассказала Дарья Верестникова, коммерческий директор компании SafeTech.

«Платформа PayControl. Мобильная подпись для всех и для каждого»

Расскажите о решении PayControl, разработанном компанией SafeTech, каково его назначение и сферы применения?

PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам с высоким уровнем безопасности и удобства подтверждать свои операции, создаваемые в любых цифровых каналах (интернет-банкинг, мобильный банкинг, операции CNP, рrivate-bank и др.). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

PayControl полностью блокирует распространенные атаки на клиентов систем ДБО, таких как перевыпуск SIM-карты, фишинг, подмена документа и, самое главное, методы социальной инженерии. При подтверждении своего волеизъявления пользователь имеет возможность на экране смартфона убедиться в корректности данных операции или электронного документа и сформировать под ними подпись независимо от того, на каком устройстве они были созданы. Никаких дополнительных скретч-карт или криптокалькуляторов, никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl не сложнее, чем звонок с мобильного телефона. Пользователи, не только физические лица, но и представители корпоративных клиентов, отмечают удобство в использовании и сокращение клиентского пути, а банки — сокращение расходов на обеспечение безопасности и снижение уровня мошенничества.

Результаты внедрения решения PayControl позволяют финансовым и страховым институтам реализовать новые цифровые сервисы: регистрация нового бизнеса в режиме онлайн, открыть счет удаленно без посещения офиса банка, а в дальнейшем — подписывать платежи и документы в любом месте и в любое время.

Какова архитектура PayControl? Из каких элементов состоит решение?

Решение PayControl имеет клиент-серверную архитектуру. Серверная часть разворачивается в инфраструктуре банка или компании-заказчика, а клиентская часть – устанавливается на мобильных устройствах пользователей. Поскольку структура PayControl модульная и решение состоит из множества «кубиков», которые можно использовать в зависимости от конкретных потребностей клиентов (см. рис.1), мы позиционируем PayControl именно как «платформу» — платформу мобильной аутентификации и электронной подписи.

Рис.1. Структура платформы PayControl

Платформа PayControl включает в себя несколько функциональных модулей:

• PayControl Mobile Signature – базовый модуль для формирования мобильной электронной подписи;
• PayControl Inform – модуль для информирования клиентов по вопросам дистанционного обслуживания и о результатах совершаемых ими операций;
• PayControl investigation tool – модуль разбора конфликтных ситуаций (АРМ РКС);
• PayControl KYC – модуль идентификации и аутентификации клиентов;
• PayControl Secure Bank – модуль раннего предотвращения мошенничества.

Объем внедрения определяется потребностями конкретного банка и его клиентов, что делает каждый проект абсолютно уникальным.

В чем преимущества PayControl в сравнении с другими решениями? Например, в сравнении с ПЭП банков, формируемых на основе кода подтверждения, высылаемого в SMS-сообщении или в Push-уведомлении?

Основное преимущество PayControl по сравнению с «традиционными» способами подтверждения платежей, в частности, одноразовым паролем в SMS-сообщении или в Push-уведомлении, заключается в том, что код подтверждения операции формируется непосредственно на мобильном устройстве клиента. Код привязывается к реквизитам транзакции, уникальным характеристикам смартфона пользователя и даже гипотетический перехват мошенниками этого кода не приведет к краже средств со счета.

Второе преимущество PayControl заключается в способности эффективно противостоять мошенническим действиям с применением методов социальной инженерии, волна которой буквально «захлестнула» финансовую сферу. Вы наверняка знакомы со статистикой: по информации ФинЦЕРТ Банка России, только в 2018 году с использованием социальной инженерии было совершено более 97% хищений со счетов физических лиц. В 2019 году ситуация ухудшилась – злоумышленники начали подменять исходящий телефонный номер на «реальный банковский». А с началом «инфекционного кризиса» 2020 года ситуация еще более усугубилась — клиенты в буквальном смысле слова «решали вопросы жизни и смерти» — думали, прежде всего, о сохранении здоровья и спасении бизнеса, поэтому мошенникам стало еще проще вводить их в заблуждение.

В тоже время, PayControl позволяет исключить принципиальную возможность сообщить злоумышленнику какой-либо код. Пользователь самостоятельно подтверждает транзакции мобильной электронной подписью, но лишь после просмотра полных реквизитов платежа и только со своего смартфона. Это исключает возможность подтвердить документ без желания и контроля клиентом, обеспечивает юридическую значимость, контроль целостности и авторства. А еще мобильная электронная подпись намного стабильнее и удобнее, чем SMS и Push.

То есть Вы исключаете использование ПЭП на основе кода подтверждения в SMS-сообщении или в Push-уведомлении?

Использование банками SMS и Push-уведомлений, которое началось в погоне за улучшением «user experience» и увеличением числа клиентов, вызывает множество вопросов. Одни эксперты замечают, что передача в SMS и Push одноразовых паролей (OTP) и подтверждение ими операций физлиц, были, для своего времени конечно, «шагом вперед» к удобству и безопасности. Другие возражают, что SMS и Push сейчас уже неспособны защитить от наиболее распространенных атак: социальной инженерии и подмены реквизитов платежа, перехвата SMS и злонамеренного ПО. Да и сами сценарии использования OTP уже не воспринимаются такими «удобными», пользователи хотят подтверждать документы в DIGITAL — «в одно касание».

Так какое же решение принять банкам? Обратимся ко мнению профессионалов. Одним из известных исследований «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России стал анализ Центра судебных экспертиз компании RTM Group. Общий вывод таков, что SMS можно использовать с целым рядом оговорок, а вот Push-уведомления — нельзя. А учитывая негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, и, самое главное, волну мошенничества с использованием методов социальной инженерии, от SMS и Push лучше отказаться.

Кстати говоря, Вы знаете что думают об этом в Европе? С вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP и должны быть заменены на более безопасные методы.

Можно ли назвать «электронной подписью» действия или результат действий пользователя с использованием PayControl? Из каких элементов формируется ЭП в данном случае?

Вы наверняка помните, что в соответствии с №63-ФЗ «Об электронной подписи» (Федеральный закон от 06 апреля 2011 года) «классическая» ПЭП – простая электронная подпись, формируется без криптографических преобразований над самим подписываемым документом (например, те самые одноразовые коды, которые передаются через SMS или Push), а с криптографическим преобразованием подписываемого документа, формируется УНЭП – усиленная неквалифицированная электронная подпись. Только она защитит от внесения злоумышленником изменений в документ уже после его подписания, а также от попытки выдать свою несанкционированную подпись за легальную. ПЭП и УНЭП признаются двумя участниками электронного взаимодействия только при наличии заранее согласованного и подписанного документа, который обычно называется «Соглашение о признании электронной подписи». Но в случае возникновения инцидента (например, несанкционированного списания со счета клиента) УНЭП позволит провести подробный разбор конфликтной ситуации, для чего при использовании «классической» ПЭП возможностей будет меньше.

Решение PayControl реализует электронную подпись на основе «асимметричной криптографии», или, как говорят специалисты, «криптографии с открытым ключом». PayControl формирует подпись как функцию от 4-х аргументов: реквизиты конкретной операции, ключ подписи клиента, момент времени операции и «отпечаток» смартфона пользователя. В этот же момент проводится анализ смартфона на Root/Jailbreak и наличие подозрительных приложений, а также в систему фрод-мониторинга банка отправляются параметры рабочей сессии. Кроме того, в PayControl предусмотрен полноценный АРМ разбора конфликтных ситуаций (АРМ РКС). На основе оригинала подписываемого документа или подтвержденной транзакции, значения сформированной мобильной электронной подписи и уникальных признаков смартфона пользователя, он позволяет вынести обоснованное решение: верна ли электронная подпись или неверна.

Но по сути, важно не то, как де-юре называется ваша подпись (ПЭП или НЭП), а то, как она технически реализована. PayControl обеспечивает подписи все свойства УНЭП, ту же юридическую значимость, тот же уровень безопасности, но де-юре прописывается банками, как ПЭП. Это не противоречит законодательству и не несет никаких рисков. Главное – суть технологии. Если подпись реализована технически как УНЭП, обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований, то это – единственный верный путь. А одноразовые коды в SMS и Push технически никогда УНЭП не станут.

В чем состоят возможности и особенности решения PayControl?

PayControl позволяет исключить все риски, связанные с использованием SMS- и Push-кодов, но ведь есть еще и «дополнительные» возможности – Killer features. Они не только расширяют функциональность решения, но, самое главное, они расширяют возможности самих банков и упрощают работу клиентов.

Наиболее востребованной «дополнительной возможностью» PayControl долгое время остается вход в «личный кабинет» клиента по QR-коду. И корпоративные, и частные клиенты всегда плохо «дружат» с логинами и паролями. Попробуйте запомнить все логины и пароли, которые еще состоят из разноформатных символов? Отсюда все начинают наклеивать пароли на мониторы, или ставить один на все системы, приводя в ужас сотрудников ИБ. Теперь, их и помнить не обязательно. В решении PayControl реализован вход в Интернет-банк через сканирование QR-кода в мобильном приложении. Это напоминает вход в WhatsApp Web, и, на самом деле, очень просто для пользователя. На экране Интернет-банка генерируется QR-код, который сканируется мобильным банковским приложением на смартфоне пользователя, после чего Web-страница сама «проваливается» в личный кабинет. Что это дает? Кроме очевидной простоты и удобства для пользователей вы совсем исключаете необходимость логинов и паролей, а следовательно – и атаки, связанные с их похищением.

Не так давно PayControl получил возможность отображения и подписи транзакций прямо из интерактивных Push-уведомлений, а также поддержку подписания со смарт-часов, включая Apple Watch. Данные дополнения способны еще больше повысить скорость и удобство подписи операций клиентами. Судите сами, когда реквизиты подписываемых операций будут отображаться в интерактивных уведомлениях, то ваши клиенты смогут подтверждать операции в буквальном смысле слова «на ходу», вообще не открывая мобильное приложение – прямо в уведомлении. А при работе со смарт-часами, клиентам даже не потребуется доставать смартфон из кармана. Операции показываются на экране часов и их также можно подтвердить или отклонить, не открывая приложение на смартфоне и не беря в руки телефон. Максимальное удобство. При этом так же безопасно, юридически значимо и в соответствии с законодательством.

Расскажите подробнее об опыте внедрения банками мобильной электронной подписи.

Все проекты внедрения PayControl реализуются в соответствии с бизнес-процессами конкретного банка и особенностями инфраструктуры его систем, в которые производится встраивание. Тем не менее, проекты можно группировать на верхнем уровне по следующим признакам: использование «отдельно-стоящего» мобильного приложения PayControl, а также «встраивание» SDK PayControl в мобильное приложение самого банка. Рассмотрим эти варианты подробнее.

Использование отдельного мобильного приложения PayControl, как правило, выбирается в системах для обслуживания юридических лиц, особенно где необходимо максимально сократить срок внедрения. Поскольку банк получает уже готовое приложение для ЭП, то сроки реализации проекта, конечно же, укорачиваются. Но не следует думать, что в таком варианте использования PayControl не требуется интеграция с системой ДБО или ЭДО. При использовании отдельно стоящего приложения где бы клиент не формировал электронный документ (Интернет- или мобильный банкинг, операции CNP, телефонный банкинг), на его мобильное устройство поступит уведомление о необходимости подтвердить операцию, что он и сделает в приложении PayControl одним движением. Кстати говоря, такой вариант больше нравится департаментам ИБ — требование регулятора о разделении каналов создания транзакции и ее подписания выполняется в явном виде и не требует дополнительных пояснений. Так, например, мобильное приложение PayControl успешно используют такие банки, как «Возрождение», Банк Русский Стандарт, Ак Барс Банк и многие другие.

Встраивание PayControl в собственное мобильное приложение является более массовым вариантом, особенно при работе с физическими лицами, поскольку позволяет полнее раскрыть возможности ДБО, сделать работу клиентов еще более удобной. При работе с PayControl клиент использует только мобильное приложение самого банка, персонализация которого становится проще и прозрачнее. Все функциональные возможности органично интегрированы в мобильное приложение в соответствии с его функциями и технологическими особенностями, при этом процесс подписания документов останется прежним — пользователь просмотрит на экране смартфона детали подтверждаемой операции и сформирует подпись одним касанием пальца.

Мы предоставляем банку полноценный SDK, полный комплект документации, проектную команду для выбора оптимального варианта встраивания, написания бизнес-требований и плотной работы с командой банка. Рекорд скорости встраивания MVP PayControl составляет всего 4 часа. Рекорд по полнофункциональному запуску PayControl принадлежит банку МКБ – всего за месяц с начала пандемии команда ДБО физлиц смогла повысить безопасность своих клиентов. Также проекты встраивания PayControl реализовали Альфа-Банк, Россельхозбанк и другие.

Предусмотрена ли удаленная блокировка решения PayControl? Например, подобная функция могла бы быть актуальна в случае компрометации пароля доступа к похищенному смартфону.

В случае потери или кражи мобильного устройства обеспечение безопасности средств на счетах клиента не отличается от действий в случае утраты банковской карты. Клиент звонит в службу поддержки и просит заблокировать возможность подтверждения операций на мобильном устройстве. Но и пока не наступит момент блокировки клиент не остается беззащитным. Судите сами, сколько различных PIN-кодов защищают платежи на мобильном устройстве: PIN (или Touch ID, и Face ID) на разблокировку самого устройства, PIN на запуск мобильного приложения банка или мобильного приложения PayControl, а в момент непосредственного подтверждения платежей PIN (или Touch ID, и Face ID) на доступ к ключу электронной подписи. Если пользователь соблюдает «цифровую гигиену», то утрата смартфона не приведет к неприятным последствиям.

Какие банки и компании уже внедрили PayControl в свои бизнес-процессы, и кто планирует сделать это в ближайшее время?

Заказчиками SafeTech являются уже свыше 70 банков. Проекты с использованием платформы PayControl реализованы в 5 из ТОП-5 и 8 из ТОП-10 российских банков. Решения SafeTech используют более 300 000 юридических лиц и 2 000 000 частных клиентов.

Среди проектов с использованием PayControl можно перечислить внедрения в системах дистанционного обслуживания клиентов-физических и юридических лиц, встраивание в цифровые каналы обслуживания клиентов премиального сервиса (Private-banking), обеспечение возможности мобильной подписи документов с клиентами в системах ЭДО, проекты в логистической и транспортной области, а также использование комплексных решений с нашими партнерами для самых инновационных сервисов взаимодействия с Государством: онлайн-регистрации бизнеса и регистрации недвижимости в Росреестре.