Для оказания любой финансовой услуги он-лайн, предоставляющая ее организация должна однозначно идентифицировать клиента. Добиться этого можно разными способами. Если финансовое учреждение останавливается на использовании электронно-цифровой подписи, то такая практика регулируется соответствующим №1 Федеральным законом. Кроме ЭЦП существует также аналог собственноручной подписи (АСП), который не обязан удовлетворять этому закону. Рассмотрим типовые проблемы безопасной он-лайн авторизации клиентов и способы их решения.
Одноразовые пароли
О типовых проблемах безопасности при предоставлении финансовых услуг он-лайн нам рассказал Александр Хорошилов, первый заместитель генерального директора "Юникор финанс". Профиль этой компании -- разработка системы управления счетами, создание решения для моментального приема платежей, позволяющего дистанционно управлять банковским счетом или картой, осуществлять платежи за товары и услуги через мобильный телефон или Интернет. «Для авторизации возможна генерация одноразовых паролей и на телефоне – говорит Александр Хорошилов, -- Но в этом случае вместе с кражей телефона в чужие руки попадает и генератор. В своей системе ECASH мы руководствуемся правилами безопасности, используемыми в международных платежных системах и требующими наличия двух независимых каналов доставки логина и пароля. Генерацию одноразовых паролей на телефоне использовать можно, но для соблюдения упомянутого мной безопасности придется вводить ПИН. Такое решение применяется, например, Visa International, где в карточку интегрирован "токен" для генерации одноразовых паролей. Это решение более безопасно для использования карточки в Интернете, но в нашей стране оно пока не применяется. Для проведения операция можно использовать отдельный брелок eToken PASS».
Вкладчик получает брелок в своем банке, генерируемый им одноразовый пароль действует только в течение одного сеанса, что снижает потенциальные потери от перехвата пароля. Каждый раз для подтверждения оплаты, снятия денег со счета или проведения любой другой транзакции, пользователю необходимо ввести уникальный сгенерированный пароль. Эту схему защиты операции можно реализовать и без брелоков. Например, для оплаты он-лайн заказов с карточки Сбербанка я сейчас должен предварительно получить в банкомате чек с набором одноразовых паролей. Они могли бы быть действительными и дольше одной операции. Основное неудобство выдаваемых так паролей - необходимость похода в банк. Для банка эта операция не только приносит дополнительного дохода, но и ведет к дополнительным затратам: даже банкоматовский чек в моем случае не бесплатен, его нужно печатать, а в ряде банков вовсе выдают скретч-карту. Кроме брелока и похода в банк существует как минимум еще один способ генерации одноразовых паролей: в сети из своего личного кабинета. Клиент заходит на сайт, вводит логин-пароль и создает требуемое ему число одноразовых паролей. Эти пароли могут заменить генератор, а их владелец должен отслеживать, когда следует заказать новую партию, количество паролей определяет сам пользователь.
Аналог собственной подписи
Многие финансовые организации в части своей деятельности для авторизации клиентов пользуются аналогом собственной подписи. Альфа-Банк, УралСиб, МежТопЭнергоБанк, список можно продолжать. Например, через систему «Альфа-Клиент On-line» реализуется весь цикл работ с электронными документами клиентов Альфа-банка, включая подготовку, передачу, прием и обработку корреспонденции. Предоставляется информация о движении средств по счетам клиента, можно обмениваться сообщениями с банком и данными с бухгалтерскими системами. Безопасность системы основывается на электронном ключе eToken PRO. Это USB-устройство однозначно идентифицирует пользователя и служит для формирования аналога собственноручной подписи документов. Для АСП достаточно подтвердить целостность и неизменность подписанного электронного документа, обеспечить невозможность отказа от факта подписи и авторства. Аппаратная генерация АСП проходит после ввода пользователем PIN-кода. Пользователи подключаются к системе по защищенному каналу связи, цифровые сертификаты и секретные ключи хранятся в памяти устройства.
Электронно-цифровая подпись
Другие же ориентируются на электронно-цифровую подпись. В частности, в КМБ-БАНКЕ для самообслуживания клиентов через различные электронные каналы – Интернет, коммутируемые линии связи и телефон, развернута система «Электронный Банк». Раз руководство КМБ-БАНКа приняло такое решение, то используются сертифицированные ФСБ России средства ЭЦП, а обмен электронными документами осуществляется в соответствии с соответствующим Федеральным законом. Носители ключевой информации в этом случае -- USB-ключи eToken. Клиент КМБ-БАНКа проходит процедуру подтверждения подлинности предъявляемых реквизитов, при успешном завершении которой он становится полноправным участником информационного обмена электронными документами, имеет возможность зашифровывать документ, подтвердить его достоверность своей ЭЦП, а также расшифровывать направленную ему корреспонденцию. Электронный документ, созданный в системе «Электронный Банк» имеет юридическую силу и позволяет проводить расчётные операции, предусмотренные договором банковского счёта с использованием электронных расчетных платёжных документов, а также обмен служебно-информационными документами между клиентом и банком.
Различия ЭЦП и АСП
Если вы работаете с государственными организациями, то для вас приемлема только ЭЦП. При ее использовании необходим удостоверяющий центр, подписывающий своим ключом открытый ключ владельца, в результате чего появляется сертификат. Таким центром может быть как организация, не связанная с контрагентами, так и один из участников договора, но здесь у вас возникнет ряд проблем. В полученном сертификате может содержаться информация о материальной ответственности по сделкам, подписанным этим ключом. Применять в этом случае можно только ПО, сертифицированное ФСБ. Плюс ЭЦП – даже если договаривающиеся стороны прежде не имели никаких соглашений между собой, все равно подписанные ей документы будут юридически значимыми. Существует проблема из-за требования доказуемости времени подписания, но некоторые удостоверяющие центры проводят синхронизацию с сервером в момент подписания. Очевидные недостатки ЭЦП -- сравнительно высокая стоимость сертифицированного ПО, его закрытость и проблемы при заключении международных договоров. Для установки экземпляра у зарубежного контрагента также нужна лицензия ФСБ.
Если выбираете АСП, то можете использовать не сертифицированное ПО. Использование АСП вместо закона об ЭЦП регулируется 160 статьей ГК и предварительным соглашением сторон. Бумажным договором, желательно заверенным нотариусом, если у вас нетиповые уникальные договора. АСП обычно используют без сертификатов центров, проверка личности владельца ключа происходит в процессе заключения предварительного соглашения, тогда же указываются открытые ключи. Отличие от ЭЦП слабо уловимо, что теоретически может привести к конфликтам сторон. С неэлектронной АСП были прецеденты, когда налоговые органы отказывались признавать юридическую значимость документов с факсимильной подписью, в результате чего нельзя было получить вычет по НДС.