Мобильные клиенты систем ДБО
Мобильные клиенты систем ДБО были одной из ключевых тем iFin-2014

Второй по популярности темой обсуждения стали системы мобильного банкинга, которые тем не менее часто оказываются связанными с первой — мобильные устройства выступают в качестве определенного гаранта безопасности при совершении удаленных транзакций. Мобильные устройства используют и для пересылки одноразовых паролей, и для визуализации реквизитов платежа, и для подтверждения с помощью голосовой связи параметров транзакций.

Внедрение в банках устройств для защиты банковских транзакций было начато еще в прошлом году. На прошлой выставке как раз появились инструменты для заверения платежных поручений посредством iPad с присоединенным к нему дополнительным считывателем смарт-карты, который предложила рынку компания «Аладдин Р.Д.» (см. «Заверено на планшете», Computerworld Россия, № 04, 2013). Сейчас этот инструмент интегрировали в свои ДБО-решения для планшетов практически все производители банковского ПО. Однако стало понятно, что подписать документ электронной подписью уже недостаточно, поскольку троянские программы просто видоизменяют платежное поручение перед его подписанием и отправляют его в банк на исполнение.

iFin-2014
Для защиты транзакций производители предлагают средства визуализации, позволяющие проверить реквизиты перед генерацией электронной подписи

Для борьбы с троянцами производители предложили банкам более сложную систему верификации — с помощью специального устройства с небольшим экраном, на котором показываются подробности транзакции. В прошлом году был продемонстрирован считыватель SafeTouch одноименной компании, а в этом свою разработку TrustScreen показали представители компании «Бифит». Предложенное ею устройство совмещает в себе визуализатор транзакций и процессор для изготовления электронной подписи.

Компания «Аладдин Р.Д.» ведет совместный проект с «МегаФоном» и Gemalto по разработке SIM-карты со встроенной российской электронной подписью. В этом случае транзакция формируется на сервере любым способом — с помощью мобильного клиента, планшета или компьютера. По ней генерируется выписка с основными параметрами транзакции и хэшем документа, который передается на мобильный телефон в виде SMS. Работающий в SIM-карте апплет собирает сообщение в единое целое, блокирует операционную систему общего пользования (Android или iOS) и показывает пользователю сообщение от банка на экране самостоятельно. Если пользователь подтверждает транзакцию с помощью специального кода, то сообщение подписывается в SIM-карте и отправляется на сервер банка для исполнения, и только после этого операционная система разблокируется.

Впрочем, клиенты все равно с недоверием относятся к мобильным банковским клиентам. Некоторые из-за того, что защита кажется им слишком слабой, а некоторые — из-за неудобства постоянного ввода паролей и PIN-кодов. Для решения этой психологической проблемы специалисты по эргономике из компании UsabilityLab рекомендуют дать пользователям выбор из нескольких средства защиты — пользователь должен сам определить, какие из них ему стоит использовать для текущей транзакции. Эксперты по безопасности рекомендуют также и банку ввести лимиты на разные суммы транзакций: минимальные подтверждать паролем или PIN-кодом, более крупные — при помощи дополнительных устройств, а наиболее объемные — не только с помощью устройств, но и дополнительным звонком клиенту для подтверждения реквизитов.