Почему французские банки сомневаются в безопасности бесконтактных платежей?
 |
По мнению французской банковской ассоциации Groupement des Cartes Bancaires, бесконтактные платежные технологии пока еще недостаточно безопасны для их массового использования. В последние несколько месяцев банковская ассоциация изучала возможности применения этой технологии на местном рынке и пришла к выводу, что бесконтактные карты не обеспечивают надлежащей защиты от возможных попыток хищения данных, хранящихся в памяти микропроцессора.
По словам главы Cartes Bancaires Рене Белтрандо (Rene Beltrando), бесконтактный интерфейс оставляет “открытую дверь” для мошенников, которые могут получить доступ к памяти чипа, а пользователь даже не будет подозревать о том, что его карта скомпрометирована. Такой тип мошенничества, продолжает Р. Белтрандо, может осуществляться при помощи простых устройств, снабженных радиочастотным интерфейсом.
Под сомнение ставится в первую очередь степень защищенности ключей криптографических алгоритмов, используемых в бесконтактных платежных технологиях, от кражи и последующего несанкционированного использования. Речь идет о методах использования так называемых побочных каналов для хищения информации о ключах, а затем, с ее помощью, получения доступа к защищаемым данным. Эта методика уже показала свою поразительно высокую эффективность применительно к бесконтактным картам, подтвержденную практическим опытом исследований в этой области за последние 5–7 лет. В частности, результаты такого рода исследований часто упоминались в трудах калифорнийских криптографов в конце 90-х годов прошлого столетия и в начале нынешнего века.
Следует отметить, что французские банки достаточно продвинуты в области безопасности карточных платежей. В конце прошлого века именно они приняли на себя удар колоссального увеличения активности карточных мошенников. В 1992 г. во Франции была эмитирована первая в мире платежная смарткарта, к тому же местные банки активно работают в области миграции на EMVпродукты.
По мнению специалистов Cartes Bancaires, для обеспечения необходимого уровня безопасности бесконтактная платежная карта и терминальное устройство должны осуществлять процедуру взаимной аутентификации перед сессией передачи транзакционных данных. Кроме того, в качестве дополнительного гаранта безопасности проведения операции банкам всего мира следует задуматься о подтверждении транзакции вводом ПИН-кода. Однако эта идеология не согласовывается с принципиальной позицией платежных систем Visa International и MasterCard International, отказавшихся ввести ПИН-аутентификацию для бесконтактных платежных операций на небольшие суммы, в связи с тем что такое нововведение сведет к нулю адаптированность технологии для микроплатежей.
Тем не менее на данный момент специалисты Cartes Bancaires никак не доказали свои замечания об уязвимости криптографических ключей, применяемых в бесконтактных платежных технологиях, и тем самым создали благоприятную почву для дальнейшей дискуссии на эту тему.
Так, специалисты MasterCard International считают, что Cartes Bancaires слишком большое внимание уделяют вопросу дополнительной безопасности технологии, которая уже доказала свою востребованность на рынке. По мнению вицепрезидента платежной системы Оливера Стили (Oliver Steeley), если предложить, например, ресторанам McDonald’s технологию, которая позволит сократить время проведения каждой транзакции в среднем на 20 сек., при существующем уровне безопасности бесконтактных транзакций, то проблема дополнительного риск-менеджмента, с точки зрения MasterCard, становится избыточной. В настоящий момент потери от карточного мошенничества составляют в среднем 7 центов с каждых 100 долл. США, потраченных владельцем банковской карты (или 7 базовых пунктов). В то же время банки теряют в сотни раз больше из-за просроченных кредитов по эмитированным картам. По словам О. Стили, MasterCard International не собирается обязывать банки эмитировать дорогие 2-долларовые карты для того, чтобы сохранить 7 центов.
Со своей стороны, специалисты Cartes Bancaires отмечают, что по степени защищенности бесконтактные операции, совершаемые в США в рамках первых “пилотных” проектов эмиссии бесконтактных карт, мало отличаются от POSопераций по картам с магнитной полосой. И, несмотря на дополнительные криптографические барьеры, которые предлагаются к использованию эмитентам бесконтактных карт в настоящий момент, уровень защищенности операций по ним еще далек от стандарта EMV. По словам генерального директора Cartes Bancaires Ивеса Рандокса (Yves Randoux), апробированные в условиях рынка США технологии с достаточно низкими показателями карточной безопасности вовсе не обязательно будут надлежащим образом работать в Европе.
В то же время, по мнению Р. Белтрандо, технология бесконтактных платежей имеет значительный бизнес-потенциал, прежде всего в силу своей скорости. Поэтому Cartes Bancaires выступила с предложением к производителям смарт-карт о доработке и развитии бесконтактных платежей и их адаптации к условиям местного рынка.
Таким образом, суть проблемы заключается именно в конкретных деталях – какая именно должна быть упомянутая генеральным директором Cartes Bancaires доработка и насколько дорогими окажутся “доработанные” карты и операции с ними.Вопрос массового внедрения бесконтактных платежей во Франции осложняется еще и неготовностью местных эквайеров и торгово-сервисных предприятий к применению новой технологии. Напомним, что некоторое время назад Cartes Bancaires обязала всех местных мерчантов обновить свои терминальные устройства для обслуживания смарт-карт с технологией DDA, что потребовало от них замены или адаптации тысяч устройств в достаточно сжатые сроки. По словам И. Рендокса, ассоциация не хотела бы просить торговые предприятия провести очередную замену устройств в преддверии перехода на бесконтактные карты. В любом случае, каких-либо подвижек в развитии бесконтактных платежных технологий во Франции следует ждать не раньше, чем в следующем году.
Следует отметить, что, комментируя причины возникновения нынешней дискуссии вокруг безопасности бесконтактных платежных технологий, ряд ведущих российских экспертов в области криптографии обращают внимание на аспекты, не имеющие, на первый взгляд, прямого отношения к технологической стороне проблемы. Так, по мнению Анатолия Лебедева, президента компании “ЛАН Крипто”, в данном случае наблюдается типичный “конфликт интересов” между требованиями к повышению уровня безопасности транзакций и требованиями к удобству для пользователей при массовом применении бесконтактных платежных технологий, а именно таковыми являются микроплатежи. Поэтому задача окончательной расстановки приоритетов в этом вопросе не может быть решена исключительно научными средствами, но только путем объективной оценки рисков, включая анализ статистических данных по реальному объему потерь от мошеннических атак при бесконтактных транзакциях, а также практическими мерами по его снижению. Кроме того, по словам А. Лебедева, позиции, занимаемые Cartes Bancaires по данному вопросу, во многом объясняются традиционной разницей в подходах к оценке рисков при использовании массовых платежных технологий американскими и европейскими специалистами. Дело в том, что в США высококвалифицированному специалисту всегда было гораздо проще заработать легальными способами, нежели использовать свой опыт в мошеннической деятельности, опасаясь при этом получить чрезвычайно суровое судебное наказание, предусматриваемое американским законодательством для преступлений в сфере высоких технологий.
В Европе же, при ее пестром спектре национальных законов и других регулирующих документов, относительно мягких наказаниях за IT-преступления и, соответственно, более широкой прослойке технически грамотных людей, готовых пойти на данные преступления, риски, связанные с потерями от карточного мошенничества, традиционно выше, чем в США. Эта особенность, в частности, и объясняет принципиальные различия в подходах американских и европейских экспертов к оценке ситуации в области безопасности бесконтактных платежных технологий.
Полный текст статьи читайте в журнале «ПЛАС» № 6 (106) ’2005 стр. 45
. Получайте свежую информацию
. Увеличьте лояльность своих читателей
