fintraining (fintraining) wrote,
fintraining
fintraining

Category:

Про IP- и МАС-адреса для клиент-банков и интернет-банков

Вопрос: как хакеру взломать банкомат?
Ответ: берете топор, ноутбук, подходите к банкомату и взламываете его топором.
Вопрос: а зачем ноутбук?
Ответ: а какой вы хакер без ноутбука?!
Анекдот


cyberИнтернет шумит по поводу нового проекта ЦБ относительно регулирования использования клиент-банка и интернет-банка. ЦБ РФ намерен обязать банки, предоставляющие клиентам удаленное обслуживание, получать для их идентификации сведения об IP- и МАС-адресах. По законопроекту уже прошлись и Экслер, и Ейсков и другие.

Так вот, это тот редкий случай, когда я окажусь на стороне ЦБ. Просто потому, что я сам – бывший банкир, и поддерживаю дружеские отношения с большим количеством действующих банкиров. Поэтому о проблемах банков и их клиентов осведомлен. А проблемы таковы, что реальные потери от увода денег с клиентских счетов через клиент-банки и интернет-банки приобретают угрожающие масштабы. Причем реальный масштаб этих проблем банки очень стараются не афишировать чтобы избежать имиджевых потерь.

Я уже как-то писал, что у меня нет ни клиент-банка, ни интернет-банка. И в ближайшее время, надеюсь, не будет.

Нет, я вовсе не противник прогресса. Просто мне очевидно, что для того, чтобы клиент-банки и интернет-банки были безопасными, в идеале их пользователи должны соблюдать следующие меры безопасности:

1. Доступ в клиент-банк должен осуществляться только с одного компьютера
2. Этот компьютер должен стоять в отдельном запираемом помещении
3. Доступ в это помещение должно иметь только лицо, обладающее правом электронной подписи. Остальные (например, программисты, администраторы, уборщицы и т.п. – только под присмотром)
4. С этого компьютера должны быть удалены любые другие программы, причем в обязательном порядке любые средства выхода в интернет – браузеры, почтовые клиенты и т.п.


Только так.

Если не так, то вопрос о том, когда это вам аукнется – лишь вопрос времени.

Поскольку я себе такие условия обеспечить пока не могу, поэтому у меня нет, и в ближайшее время не будет клиент-банка и интернет-банка.

И, разумеется, никаких средств доступа к счету с мобильных устройств быть категорически не должно.

Ну, хорошо, чуть смягчу: все это теоретически может не применяться для платежей и счетов на заведомо мелкие суммы. Например, если у вас установлен лимит потерь где-то в $500-$1000, то при более мелких операциях можно эти правила игнорировать. Для тех сумм, которые вам не жалко потерять (например, для оплаты книжек и дисков в интернет-магазинах, платежах за телефоны, хостинг, коммуналку и т.п.) это все, возможно, не нужно. Если же на счете может находиться более $500-$1000, то обязательные меры см. выше. Если не ошибаюсь, сейчас для платежей установлен порог в 15.000 рублей, при превышении которого банк обязан идентифицировать клиента по паспорту (а при мелких платежах до 15.000 руб. паспорт не требуется). Вот и с клиент-банками должно быть также. Мелкие платежи и остатки – ради бога, делайте что хотите. Для крупных платежей и остатков должен быть контроль.

В свете вышеперечисленного, требование контроля IP-адресов MAC-адресов выглядит уже вполне логичным и естественным.

Я вам больше скажу. Большинство банков (особенно их службы безопасности) будут только рады принятию этих норм ЦБ. Наконец-то у них появится возможность заставлять клиентов соблюдать разумные требования безопасности, вместо того, чтобы потом тратить кучу времени на поимку киберворов и разбирательства с клиентами, которые не соблюдают меры безопасности, но потом обвиняют в потерях банки. К сожалению, вводить эти меры (необходимые!) в отдельно взятом банке чревато оттоком клиентов в силу конкурентной борьбы. А вот введение этих норм одновременно у всех можно только приветствовать.

Ну, а теперь расскажите мне про мою паранойю. :) А я посмеюсь.





Ближайшие мероприятия:
Вебинар Сергея Спирина «Инвестиционный консультант» - 22 - 25 октября
Вебинар Сергея Спирина «Фондовый рынок для разумного инвестора»:
• - 6 ноября - бесплатное ознакомительное занятие (Зарегистрироваться)
• - 12 - 15 ноября - основная программа вебинара (Зарегистрироваться)
Вебинар Алекса Сухова «Малобюджетное Продвижение Малого Бизнеса» - 13 - 16 и 20 - 23 ноября

ЖЖ-сообщество Личные финансы
TOP-100 блогов финансовой тематики
Tags: банки, софт
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 87 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →