Безопасное использование небезопасного SMS-канала
Действительно, SMS-канал не является доверенным способом передачи данных – но он, собственно, им никогда и не был. И очень странно, что только сейчас, на закате технологии SMS-сообщений, общество задумалось о вопросах безопасности использования SMS в банковских сервисах. SMS-канал никогда не был защищен, причем не был защищен абсолютно. И прежде чем рассуждать про то, что SMS-ку можно похитить вирусом или методом социальной инженерии, надо вспомнить, что текст SMS-сообщения передается в эфире в открытом виде, а также сохраняется в БД и логах тысяч устройств на стороне оператора связи и других посредников между банком и клиентом. И если кто-то считал SMS доверенным каналом – он явно заблуждался.
Самостоятельная (полная) аутентификация пользователя на базе SMS не считается Сбербанком достаточно доверенным способом подтверждения полномочий клиента. Более того, Сбербанк считает SMS-канал публичным, т. к. специфика прохождения сообщения по сетям оператора сотовой связи и коммуникационным шлюзам абсолютно не обеспечивает конфиденциальность передаваемой информации, а также не позволяет достоверно гарантировать, что сообщение отправлено именно клиентом.
Сбербанк использует SMS-канал для проведения микротранзакций частных клиентов и как дополнительный фактор аутентификации клиентов и подтверждения операций при использовании удаленных каналов обслуживания. Но риски данного канала надо рассматривать только комплексно с другими мерами, предпринимаемыми банком для защиты своих клиентов.
Осознавая риски, связанные с несовершенством SMS-технологии, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удаленных каналах обслуживания (УКО) проходят тотальный контроль со стороны системы антифрода банка. При отправке разовых паролей (ОТР) банк с помощью операторов сотовой связи контролирует факты замены/подмены SMS-карты клиента по ее серийному номеру (IMSI). При этом банк не передает критичных и конфиденциальных данных клиентов по SMS-каналу.
Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое большое количество факторов принятия решения, что мы даже не можем назвать точную цифру. Естественно, что наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
Если говорить про наличие «Плана Б», упомянутого в статье Павла Есакова, то в Сбербанке он, конечно же, есть, причем далеко не один. Наша служба кибербезопасности не любит почивать на лаврах – это скучно. В момент внедрения новых продуктов и технологий мы четко осознаем предел прочности предлагаемых мер защиты и, как правило, имеем не только «План Б», но и «План В», и не единственный. Наши специалисты всегда работают на опережение, стараются заглянуть за горизонт, за угол, чтобы посмотреть, как модель угроз будет выглядеть через год, три, пять лет. Если сегодня мы выпускаем что-то новое и инновационное, то, смею вас заверить, у нас уже есть концепт, который придет на смену этой инновации. Придет тихо, незаметно, без революций и потрясений.
Как написано в статье П. Есакова, когда-то мы использовали нечиповые карты и чековые разовые пароли и считали это приемлемым… но, как известно, все течет, все меняется. Мы никогда не заблуждались насчет «вечности» данных решений. И как только появилось понимание, что работающее решение нас не устраивает по своим характеристикам, мы плавно, без аврала и спешки, начали мигрировать на следующее. Никто из наших клиентов и не заметил, как произошла миграция на чиповые карты, установку ПИН-кода через call-центр и самостоятельную регистрацию в интернет-банке. Не заметил, потому что эта бесшовность перехода была изначально заложена в продукт и реализовывалась в рамках его жизненного цикла.
Когда-нибудь и SMS-пароли будут окончательно скомпрометированы, и их применение станет непозволительной беспечностью. Но к этому моменту наши клиенты будут работать по другим канонам и использовать другие способы подтверждения. Кто-то выберет себе двусторонний PUSH, кто-то – on-device биоверификацию, а кто-то и облачную ЭП. Резервных планов много, и некоторые из них уже перестали быть резервными и постепенно становятся основными.