Закодировать от злого умысла: как криптография защитит от мошенничества
По данным Банка России, в 2023 году было совершено более 1 млн мошеннических атак на клиентов банков — физлиц с хищением средств у них на сумму 15,8 млрд рублей. В ЦБ говорят о необходимости поиска новых подходов к борьбе с мошенничеством. Доктор физико-математических наук, заместитель генерального директора «КриптоПро» Станислав Смышляев в колонке для Forbes утверждает, что на самом деле решение проблемы уже есть, и оно содержится в нормативных документах ЦБ. Дело за малым — убедить банки выполнять требования регулятора.
«Нужно искать другие решения», — заявила глава ЦБ Эльвира Набиуллина во время недавнего выступления в Госдуме. Речь шла о борьбе с мошенничеством, где пока не удается достичь перелома, остается лишь «бить по хвостам». Парадокс ситуации заключается в том, что ЦБ решение нашел и даже прописал в своих нормативных документах. Так, эффективной мерой защиты банковских клиентов может стать криптография. И еще в начале 2022 года в положении ЦБ №683-П появилось требование по ее внедрению при денежных переводах. Однако некоторые формулировки документа позволяют банкам трактовать их в пользу сохранения существующих решений, в итоге результат — клиенты по-прежнему недостаточно защищены.
Скажу сразу: криптография, конечно же, не поможет, если ведомый социальными инженерами человек осознанно снимает средства со своих вкладов и собственноручно кладет их на счет мошенника. Однако в тех случаях, когда злоумышленники сами совершают действия за жертву, склоняя ее назвать код из SMS-сообщения, либо пользуются простыми техническими приемами для перехвата кода, правильно реализованная криптография защиту усилит. Другими словами, криптосредства эффективны, когда явно отделены нарушитель и легитимный пользователь — на профессиональном языке это называется адекватной моделью нарушителя.
Для защиты от упомянутых атак и были внесены поправки в 683-П, по которым для обеспечения целостности сообщений о подтверждении операции именно клиентом банка ввели требование об использовании криптографии. Регулятор в документе указал на необходимость обеспечить «реализацию мер по использованию усиленной квалифицированной электронной подписи (УКЭП), усиленной неквалифицированной электронной подписи или СКЗИ (средства криптографической защиты информации), реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения». Выполнение банком этого требования позволит человеку быть уверенным, что в кредитную организацию