Рубрикатор |
Статьи |
Катаржина ХОФФМАН-СЕЛИЦКА | 02 декабря 2016 |
Цифровой банкинг: акцент на безопасность и аутентификацию
Проблемы безопасности при использовании мобильного банкинга часто становятся основным барьером для внедрения данных технологий.
Банки все чаще обращают свой взгляд на инновации, чтобы повысить прибыльность, увеличить долю рынка и перейти к следующему этапу преобразования банковских услуг в цифровые сервисы, основанные на удобстве для пользователей. С помощью этих сервисов можно обеспечить интуитивно понятное взаимодействие с клиентами на уровне контекста предоставляемых услуг. Успех данного направления достигается за счет оптимизации интернет-сервисов под мобильные устройства и способности генерировать ценные аналитические данные, с помощью которых банки могут персонализировать свой подход при взаимодействии с клиентами.
Мобильные технологии также требуют более надежного подхода к аутентификации пользователей, поскольку клиенты ожидают, что банк будет обеспечивать их безопасность, даже если они сами ведут себя достаточно рискованно. Это задача нетривиальная, поскольку частота и мощность кибератак в течение последних нескольких лет увеличиваются практически в геометрической прогрессии и мошенники ежегодно крадут миллиарды долларов.
Чтобы соответствовать возрастающим требованиям клиентов и избежать их перехода к другому поставщику услуг, банки при трансформации должны учитывать три важных бизнес-стратегии: предлагать превосходный пользовательский интерфейс, вводить более инновационные услуги и предоставлять надежную аутентификацию.
Исследования показывают, что для банка взаимодействие через мобильные каналы в 43 раза дешевле, чем традиционная деятельность. Перевод клиентов на мобильный банкинг может повысить окупаемость инвестиций на 16%. Тем не менее проблемы с безопасностью клиентов при использовании мобильного банкинга часто считаются основным барьером для внедрения данных технологий.
Если банки хотят увеличить свой доход, соблюдать нормативные требования, а также повысить свою эксплуатационную эффективность, то они должны начать внедрение мобильных каналов и повысить удобство использования услуг наряду с обеспечением безопасности.
К счастью, эта непростая задача может быть решена путем внедрения многоуровневого подхода к защите мобильного и онлайн-банкинга, где производится аутентификация пользователя, устройства, канала, транзакции и конечного банковского приложения.
Подтверждение транзакции – крайне важный уровень, особенно для мобильного банкинга, но современные методы получения разрешения от клиентов на выполнение транзакции могут сбивать с толку и раздражать. Клиентам может быть сложно отличить от мошеннических легитимные веб-сайты, электронные письма и телефонные звонки, исходящие из их собственного банка. Поэтому выявить мошеннические сделки бывает непросто.
Применение паролей и метода «запрос – ответ» недостаточно надежно и непрактично для пользователей. Альтернативным методом была проверка подлинности транзакций по внешнему каналу (Out-Of-Band, или OOB) с использованием генератора одноразовых паролей (OTP), отправляемых через SMS на мобильное устройство клиента. Однако этот подход уязвим к атакам, организуемым посредством вредоносных программ для перехвата SMS. Такое вредоносное ПО направлено на воровство учетных данных и получение контроля над счетом пользователя для совершения несанкционированных транзакций.
Гораздо предпочтительнее отправка интерактивного уведомления на устройство клиента по защищенному каналу и облегчение процесса защищенной подписи мобильной транзакции таким образом, чтобы клиент мог одобрить или отклонить транзакцию в режиме реального времени. При таком подходе управление переходит в руки клиента, и ему предоставляется простой и быстрый способ подтверждения правомерности текущей операции. Это означает, что клиенты могут свободно управлять своими средствами, не испытывая неудобств от необходимости запоминать сложные пароли или носить с собой отдельные аппаратные токены безопасности.
Безопасная архитектура для отправки уведомлений требует наличия двух ключевых компонентов. Во-первых, должен быть реализован простой и удобный механизм (в идеале – поддерживающий подпись транзакции асимметричными ключами), который может быть интегрирован в мобильное банковское приложение и обеспечивает немедленную защиту от мошенничества. Во-вторых, процесс передачи всей конфиденциальной информации должен быть защищен сквозным шифрованием и подкреплен взаимной аутентификацией между мобильным устройством зарегистрированного клиента и конечным банковским приложением. Передача интерактивного уведомления и последующих ответов клиента в идеале должна осуществляться по двум независимым зашифрованным каналам для обеспечения дополнительной безопасности.
Идентичность пользователя и неотрекаемость от подтверждения им своей транзакции в этом случае будут основаны на криптооперациях с секретным ключом шифрования, который используется для подписи, генерируется за пределами серверной системы финансового учреждения и защищен от извлечения, клонирования или доступа к нему из другого приложения.
Этот новый тип подтверждения транзакций осуществляется в рамках многоуровневой концепции аутентификации как части целостной, интеллектуальной цифровой банковской стратегии, которая оптимизирует защиту на основе оценки рисков. Такой подход к верификации транзакций и аутентификации в рамках многоуровневой концепции в области безопасности позволит улучшить лояльность клиентов и привлечь новых пользователей. Одновременно будет снижаться недовольство клиентов за счет устранения неудобств при работе с паролями и системой «запрос -- ответ». Этот подход также обеспечит самую мощную и экономически эффективную защиту от онлайн- и мобильного мошенничества, взлома, кражи и других киберпреступлений.
Значительный интерес вызывают и методы, дополнительно повышающие удобство для пользователя за счет минимизации сценариев и случаев, в которых клиента просят предъявить какие-либо регистрационные учетные данные. По-настоящему надежная аутентификация работает путем внедрения прозрачной идентификации пользователя. Лучшие системы анализируют несколько источников данных, являющихся некоторым образом статистически независимыми. Источники данных могут включать в себя следующее:
• Биометрические данные: лицо, сетчатка глаза, голос, отпечаток пальца и т.д.
• Поведенческий анализ -- анализ того, как клиент ведет себя, например, когда печатает на клавиатуре, пишет с помощью стилуса или проводит пальцем по сенсорному экрану.
• Обнаружение угроз: идентификация вредоносных программ, которые могут существовать на устройстве клиента, выполняться между устройством и конечным приложением или даже повредить само банковское приложение на сервере. С помощью данного метода можно также обнаружить неавторизованные устройства, которые участвовали в мошеннических атаках или ботнетах.
• Прогнозная аналитика: использование данных прошедших периодов, особенно до подтверждения транзакций с целью составления профиля последовательности событий, которые выглядят нормальными (доверенными), а затем распознавания, являются ли будущие последовательности событий нормальными или подозрительными.
• Контекстный анализ: выявление обстоятельств конкретной совокупности событий. Например, сильные подозрения вызовет запрос большого количества денег от неизвестного устройства, расположенного в месте, в котором клиент прежде никогда не бывал.
• Анализ транзакций: рассмотрение данных по подтверждениям транзакций за прошедший период с целью определения, соответствует ли новая транзакция характеру легитимных операций, которые были подтверждены ранее.
Механизм оценки рисков может быть использован для корреляции данных из различных источников и применения соответствующих коэффициентов для определения общей степени риска. Эта степень риска может быть передана в инструментарий принятия решений, который в зависимости от контекста транзакции, правил и политики может подтвердить операцию, отклонить ее или запросить прохождение нового этапа – аутентификации, так что пользователь должен будет подтвердить действительность операции. В этом случае лучшим вариантом будет применение интерактивных уведомлений и подписи транзакций.
Непрерывная, эффективная, понятная аутентификация может способствовать внедрению современной, более целостной, универсальной, многоуровневой стратегии для защиты интернет-канала. Такая система предлагает ключевые компоненты для повышения удовлетворенности пользователей, уменьшения неудобств, делая безопасный онлайн- и мобильный банкинг более практичным для клиентов.
Катаржина Хоффман-Селицка, менеджер по продажам в Восточной Европе, HID Global