Забыли пароль?

Зарегистрироваться на сайте

Отменить

Принуждение к безопасности

Журнал D` (Д-штрих) №12 (72), 22 июня 2009 года

За безопасность следует платить, и не всегда добровольно. Бесплатно она обходится тем, кто не совершает финансовых операций через интернет

Как-то раз мне позвонили из Банка Москвы и сказали: «Если вы, уважаемый, не купите за 1100 руб. USB-токен (аналог флешки для хранения электронно-цифровой подписи — ЭЦП) для системы интернет-банк, то мы вашу систему заблокируем». Я пообещал приехать к ним к определенному сроку и разобраться, но сорвал дедлайн, и от системы меня отключили. Ну, думаю, отключили — и бог с ним. Я отчетливо помнил, что когда-то писал заявление в банк о том, что прошу обеспечить доступ к своему счету с любого IP-адреса и ответственность за все возможные последствия беру на себя. Что ж, напишу еще одно аналогичное заявление, так как деньги на этом счете я не храню.

Однако по приезде к банкирам выяснилось, что единственный возможный вариант для продолжения работы через систему интернет-банк — покупка токена. Иначе не разрешает начальство, а в твердых словах операционистки между строк просматривался текст мелким шрифтом: вас много, я одна, и вообще, велено покупать токен — покупайте токен, что у вас денег нет, жадины? К тому же мне все равно, я заранее звонила и предупреждала.

Позвольте, говорю, предупреждать-то мало, у нас с вами не телефонные отношения, вы мне оказываете оговоренные договором платные услуги. Поругался, поугрожал тем, что сменю банк на другой, и разозлился, считая, что банкиры делают на своих клиентах маленький бизнес, продавая за 1100 руб. то, чему цена 3 копейки. Если банк продаст 100 тыс. токенов, то выручка составит 100 млн руб.

Вообще, из-за чего сыр-бор: ЭЦП — это файл, который таким образом фиксирует состояние документа, например платежного поручения, что любое искажение этого документа сразу обнаруживается. Одновременно ЭЦП — это печать, подделать которую очень сложно. Сторона, которая получает документ (банк), всегда может однозначно определить, правильная стоит печать на электронном платежном поручении или фальшивая. ЭЦП и пароль к ней создает сам клиент банка после заключения договора о дистанционном обслуживании с помощью компьютерной программы.

В принципе этот файл может храниться где угодно: на дискете, флешке, жестком диске компьютера. Соответственно, его очень легко переписать на другой носитель информации. А для того чтобы хакер получил доступ к счету, ему необходим файл ЭЦП и пароль, который ее активирует.

Напомним историю годичной давности, произошедшую с системой интернет-трейдинга QUIK (см. «Хакеры додумались до биржи», D` №9 от 12 мая 2008 года). Вирус, который распространялся через баннерную сеть utro.ru и был замечен на gzt.ru и rbc.ru, перехватывал набираемый на клавиатуре пароль и отсылал его вместе с ключевым файлом (аналогом ЭЦП) хакеру. В результате у некоторых клиентов брокерских компаний было украдено со счетов более 2,5 млн руб. Таким образом, для того, чтобы подхватить вирус, не обязательно посещать порносайты, достаточно вести умеренную интернет-жизнь и: не обновлять Windows не иметь антивирусной программы с актуальными базами данных не защищать компьютер брэндмауэром (Firewall).

По данным разработчиков системы банк-клиент компании «Бифит», которую использует и Банк Москвы, и некоторые другие (Бинбанк, Абсолют банк и пр.), в июле прошлого года появились вирусы, крадущие ЭЦП и перехватывающие пароли доступа. А ранее «Бифит» предложил банкам следующее решение: записывать файлы ЭЦП на USB-токен, с которого цифровую подпись невозможно считать, переписать и украсть, а сертификат ФСБ подтверждает соответствие токена некоему ГОСТу. Таким образом, известия о деятельности хакеров к удовлетворению «Бифита» (можно не сомневаться) подтолкнули банкиров к покупке новых средств безопасности, основанных на токене, внутри которых, кстати, вместо флеш-памяти стоит SIM-карта.

По словам управляющего директора блока ИТ Банка Москвы Владимира Мишугина, сейчас риск владельца ЭЦП — потерять токен, на котором написан пароль фломастером.

На круги своя

На сайте разработчиков bifit.com обнаружилось, что цена продажи токенов для банков составляет 1180 руб. и оптовые скидки не предусмотрены. То есть гипотеза о маленьком гешефте большого банка выглядит необоснованной, если абстрагироваться от возможности сговора заинтересованных сторон. Что касается других, то Бинбанк продает токен за 1800 руб., а вот Абсолют банк любезно перевел клиентов-юрлиц на новую технологию бесплатно. Впрочем, открытие счета в «Абсолюте» стоит 1000 руб. В результате я остался в Банке Москвы, купив токен, так как этот вариант — меньшее из зол. Сидеть и ждать новых инициатив банкиров неприятно, но будет ли другой банк лучше — вопрос. Мне без разницы, идет ли речь о Гонконгско-Шанхайской банковской корпорации (HSBC), которая была создана для финансирования опиумного бизнеса в Юго-Восточной Азии в позапрошлом веке, или, к примеру, о Bank of America, который выдает кредиты по ставке 14% годовых коренному населению. Но переход неизбежно влечет денежные затраты и потерю времени. А платежи Банк Москвы, например, проводит быстрее некоторых других.

Примечательно, однако, то, что к физическим лицам, которые пользуются системой интернет-банк, Банк Москвы не предъявляет ультимативных требований по приобретению токена. То есть хочешь — переходи на новую технологию, хочешь — оставайся на старой. Это вполне справедливо, так как счастье по принуждению сублимируется в невроз, но сомневающимся в собственных силах по защите компьютера следует подумать о безопасности и либо отказаться от доступа к счету через интернет, либо потратиться на токен.


Мои портфели
Индикаторы
Индексы
MICEXINDEXCF2 047,42–0,4606.03
RTSI1 110,46+0,2006.03
Акции
GAZP134,60–0,1506.03
GMKN9 324–0,1306.03
LKOH3 079–0,2106.03
ROSN332,0–1,3406.03
SBER162,00–1,4606.03
VTBR0,06600,0006.03
Курсы валют
EUR77,92+0,5711.06
USD68,62–0,0611.06
EUR/USD1,09–0,5331.12
GBP/USD1,47–0,4331.12
USD/JPY120,17–0,2831.12
EURUSD_TOM1,060,0006.03
EUR_TODTOM0,02–0,0406.03
USD_TODTOM0,02–0,0306.03
Мировые рынки
Dow17 473,32–0,7431.12
FTSE6 242,32–0,5131.12
Nikkei 22519 033,71+0,2730.12
S&P 5002 049,94–0,6531.12
Золото1 059,98–0,1231.12
Нефть Brent37,6+3,1331.12