Данные клиентов банков собирают для тотальной идентификации

14198

Национальный банк рассматривает вариант создания единой базы хранения данных клиентов всех банков второго уровня, «Казпочты» и других платежных организаций

Фото: © Depositphotos.com/Irochka

Планируется создать систему, которая будет работать под юрисдикцией одного (пока не известно, какого именно) госоргана и отвечать за идентификацию и авторизацию клиентов в интернет-банкинге любого БВУ.

Копия письма, направленного местным банкам, «Казпочте» и платежным организациям, за подписью директора департамента платежных систем НБ РК Ерлана Ашыбекова имеется в распоряжении Forbes Kazakhstan. Финансистов попросили высказать свое мнение и внести предложения по данному вопросу.

В документе, в частности, говорится: «В рамках развития дистанционных банковских услуг одной из приоритетных задач выступает внедрение в финансовой системе механизма удаленной идентификации клиентов. Наличие подобного механизма значительно упростит доступ к электронным государственным и финансовым услугам для клиентов без дополнительных временных затрат на посещение банка или платежной организации. Внедрение данного сервиса позволит предложить клиентам финансовые услуги и сервисы на качественно новом уровне, а также сделать их более доступными в отдаленных регионах, что особенно актуально в Казахстане».

Опрошенные Forbes Kazakhstan эксперты прокомментировали плюсы и минусы разрабатываемых новых процедур. На их взгляд, позитивным моментом может стать то, что новому клиенту не нужно будет приходить в банк лично, если он уже был идентифицирован каким-либо другим банком и его данные были переданы системе. При соблюдении этого условия клиент может начать получать банковские услуги мгновенно. К тому же система проводит предварительную ­аутентификацию пользователя, что позволяет не делать это повторно в интернет-банкинге.

Был назван и ряд недостатков. Например, банкам нужно будет априори доверять данным, собранным их коллегами, либо проверять их, приглашая нового клиента в офис, что сводит на нет преимущества системы. Остаются вопросы по поводу аутентификации, которая передается третьей стороне, что ограничивает контроль банка над этим моментом, немаловажным с точки зрения информационной безопасности. Существуют риски, что клиент может легко начать пользоваться услугами других банков, так как это будет просто, быстро и удобно. Опять же не нужно посещать офис.

Сами банкиры с сомнением отнеслись к инициативе Нацбанка.

- Мы знакомы с этой идеей, которую между собой называем «Bank ID», – поясняет исполнительный директор, член правления АО «АТФБанк» Сергей Коваленко. – На наш взгляд, система, которая сложилась в Казахстане, – ИИН (как идентификатор) и Первое кредитное бюро (как независимый источник кредитных историй) – вполне достаточна. Ведь нужно учитывать трудности внедрения новых процедур, так как казахстанские банки находятся на разных уровнях развития IT-структуры и IT-безопасности.

Специалисты в области информационной безопасности также сомневаются в необходимости инициативы НБ РК.

- Учитывая наши реалии, есть серьезные сомнения в том, что такая система необходима, – говорит технический директор Ak Kamal Security Павел Карабиди. – В России, да и во многих других странах, у граждан нет уникальных идентификаторов, которые можно использовать в интернете, поэтому им и приходится прибегать к таким мерам предварительной идентификации и аутентификации. У нас ситуация с идентификаторами гораздо лучше – есть ЭЦП, которые выданы государством, что позволяет любой организации, желающей взаимодействовать с пользователем онлайн, мгновенно проверить его личность и данные через государственные базы данных, а также через кредитное бюро.

Карабиди считает, что вместо внедрения новой системы было бы логично развивать уже действующую систему идентификации и аутентификации, применяемую в egov. Ведь она уже предоставляет функционал идентификации и аутентификации пользователей для сторонних систем и к ее возможностям прибегает, в частности, «Казпочта».

- Причем развитие данной системы должно быть направлено не только в сторону банковского сектора. Вполне логично было бы подключить к ней страховые компании, небанковские финансовые организации и многие другие, оказывающие услуги населению, – отмечает Карибиди. – Что касается безопасности потенциальной единой системы идентификации и аутентификации, то здесь есть на что обратить внимание. Данная система будет более интересна злоумышленникам, чем системы каждого отдельного банка, так как при удачной атаке может открыть гораздо больше возможностей для хищения средств и персональных данных.

Между тем работы по удаленной идентификации клиентов финансовых организаций уже ведутся в коммерческом секторе независимой организацией.

- В части удаленной электронной идентификации, на мой взгляд, необходимы системные инструменты. И мы в ПКБ уже работаем над созданием интернет-паспорта, который будет представлять собой единое цифровое хранилище данных, защищенное системой статичных и динамических паролей. Внедрение подобного инструмента на всем финансовом рынке обеспечит достаточно быстрый переход экономически активного населения на электронную идентификацию, – утверждает генеральный директор Первого кредитного бюро Руслан Омаров.

У экспертов финансового рынка остается еще много вопросов, на которые они пока не получили ответов. К примеру: сколько банки будут платить за использование системы? на ком будет лежать ответственность за инциденты с похищением средства со счетов клиентов банков? какую ответственность будет нести владелец системы за сохранность персональных данных?

«Вызывает вопросы и сама реализация системы аутентификации. Без выдачи сертификатов на токенах она будет не очень хорошо защищена. Причем именно на токенах и с индивидуальными паролями, а не в файлах и со стандартным паролем, как это делается сейчас в ЦОНах. Предлагаемые варианты с отправкой одноразового пароля по СМС не обеспечивают должной безопасности – от реализации второго фактора аутентификации таким способом уже отказываются многие компании», – высказывают сомнения финансисты на условиях конфиденциальности.

   Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter

Орфографическая ошибка в тексте:

Отмена Отправить