Неманья Никитович, управляющий директор Optima Infosecurity (группа Optima)- Из заявления Центробанка следует, что ЦБ намерен отредактировать положение «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Основная суть претензий экспертов к этой декларации Центробанка?

- Большинство экспертов уже заявили о том, что пользование системами ДБО с мобильных устройств, через wi-fi доступ и прочими «публичными» способами будет слишком затруднено и, скорее всего, банкам попросту придется его заблокировать. Это значит, что количество онлайн-транзакций резко упадет. Представьте себе, что случится, если онлайн-доступа к своему счету лишатся люди, находящиеся в командировке или на отдыхе и пользующиеся интернет-доступом в отеле или ресторане с динамическим IP – как раз те люди, которым чаще всего нужно обращение к системе онлайн-банкинга.

Таким образом, пытаясь обезопасить банки и их клиентов от неожиданных транзакций, произведенных в бутике пятизвездочного отеля в Шанхае в 3 часа ночи, в то время как владелец счета мирно спал в московской квартире, Центробанк рискует лишить их удовольствия пользования своим счетом любым другим способом, кроме домашнего компьютера, чей IP и MAC-адрес известны ЦБ и не могут вызвать вопросов…

- А вообще реально, что и они не «вызовут вопросов»?

- Судите сами. База данных таких адресов должна быть составлена в месячный срок. Сегодня число пользователей интернет-банкинга в России равно 9,5 млн. человек, за 2011 год оно увеличилось на 3,4 млн. В способности банков собрать информацию по всем клиентам эксперты также сомневаются. Предложение Центробанка вызвало резкую реакцию банковского сообщества: как известно, Национальный платежный совет обратился в ЦБ с открытым письмом, в котором перечислил все риски принятия нового положения.

Но пока никаких новых комментариев от ЦБ не поступало. Попробуем понять, так ли уж катастрофично по своим последствиям обязательное указание IP и MAC-адреса, с которого клиент намерен входить в систему онлайн-банкинга.

В проекте указания ЦБ говорится, что необходимо указывать «сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых юридическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным юридическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг».

- На первый взгляд, в отношении юридических лиц предложение кажется более логичным…

- На первый – да. Однако, что прикажете делать, если ваша компания сменила провайдера и автоматически сменила IP-адрес? Обновлять информацию, имеющуюся у регулятора? Вероятно, именно так.

Законодательство и различные отраслевые стандарты обязывают, скажем, европейские банки в любой момент быть готовыми дать ответ, кто, откуда и когда совершил то или иное действие в системе онлайн-банкинга. Для того, чтобы заблокировать доступ в банковскую систему сомнительному пользователю, существуют существенно более продвинутые технологии, лежащие в области информационной безопасности. Совершенно нет смысла отрубать человеку голову, чтобы излечить его от головной боли.

Российским банкам нет смысла изобретать велосипед, потому что он уже изобретен в странах Запада. Российская банковская система может использовать европейский опыт и быть даже более успешна в этом, потому что у нее есть возможность учесть европейские ошибки. Конечно, при этом постаравшись не совершать своих собственных.

- А что подсказывает западный опыт в этой сфере?

- Возвращаясь к использованию IP и MAC-адресов, следует сказать, что в Европе они используются для нужд расследования незаконных списаний денег и всевозможных атак на системы онлайн-банкинга. Получив IP-адрес, власти получают возможность выяснить, кто использовал его в момент атаки и т.д. Также информация об IP и MAC-адресах оказывается полезной, так как мошенники действуют, подключаясь по сетям VPN или используя компьютер клиента как прокси-сервер.

Но ни в Европе, ни где-либо в цивилизованном мире IP и MAC-адреса не являются информацией, которую банк или любой проверяющий орган затребует заранее, чтобы сверяться с ней и в  зависимости от соответствия или несоответствия этой информации блокировать или нет конкретную транзакцию! Сходным образом можно запрещать клиентам банков совершать банковские операции  в офисе, если они пришли в этот офис не из дома, где они прописаны, а, скажем, из гостей. Им можно просто отказывать в идентификации.

Остается одно-единственное предположение: ЦБ намерен составить базу данных адресов, чтобы в дальнейшем облегчить возможные расследования по инцидентам. Транзакции, совершаемые с динамических или просто иных IP-адресов, блокироваться не должны. В противном случае система ДБО в России существенно пострадает, что станет не только технологическим, но и отраслевым откатом назад.

Трудно поверить, что перед Центробанком стоит именно такая цель. Скорее всего, российская банковская система продолжит свое поступательное развитие…