Обзор Стандарта Банка России от 01.03.2023 № ОД-335 «СТО БР БФБО-1.7-2023»

Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств

Деятельность финансовых организаций подвержена множеству информационных угроз и требует защиты во избежание различного рода инцидентов, приводящим к потерям финансовых организаций и их клиентов. Это значит, что всё больше увеличивается потребность в эффективном выполнении мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.

Данный стандарт рекомендован для применения кредитными и некредитными финансовыми организациями.

В документе раскрывается общее описание технологии цифрового отпечатка и основные ограничения в использовании технологии цифрового отпечатка.

Например:

• Различия в операционных системах;
• Сложности извлечения параметров из устройств пользователя;
• Вероятность подделки параметров при формировании цифрового отпечатка.

Содержание СТО БР БФБО-1.7-2023

1. Основная часть стандарта описывает алгоритм формирования и применения цифрового отпечатка. Главное, что можно выделить, Организация проводит сбор данных с устройства на предмет общих, особых, уникальных параметров и настроек. После чего сохраняет в «строку с исходными параметрами» для последующего вычисления функции хэширования в соответствии с ГОСТ Р 34.11-2018. Результат хэширования и будет применяться в качестве цифрового отпечатка устройства.
2. В виде таблиц, приведены рекомендованные параметры для использования, причем они отличаются для браузеров и мобильных приложений. В том числе разделены для разных операционных систем.
3. Представлены также рекомендации по сбору и хранению цифрового отпечатка и ведении базы таких отпечатков. Так как один пользователь может использовать несколько устройств для доступа сервисам, позволительна привязка нескольких отпечатков к одной клиентской записи. Отдельно кредитным организациям, некредитным финансовым организациям рекомендовано вести базы цифровых отпечатков устройств, замеченных в мошеннических активностях.
4. В разделе «Применение цифрового отпечатка» прямо cказано об условиях подтверждения операций после сверки цифрового отпечатка и анализе, в случае несовпадения устройства. При проведении сверки, совпадением будет считаться результат, при котором различие составляет не более 15% параметров. При этом организации могут устанавливать иные значения для качественной и количественной оценки, идентификации операционного риска, классификации операционных рисков и потерь от их реализации, в том числе согласно Положению Банка России от 08.04.2020 № 716-П.

Кредитным организациям, некредитным финансовым организациям рекомендуется:

• Выявлять компьютерные атаки, направленные на устройства пользователей, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без согласия клиента, операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, путем сравнения направляемых цифровых отпечатков с эталонными и выявления подозрительных аномалий, которые могут быть похожи на компьютерные атаки;
• Осуществлять сбор технических данных, описывающих компьютерные атаки, направленные на устройства пользователей, в целях сбора данных об аномальных отклонениях в цифровых отпечатках для повышения эффективности реагирования на компьютерные атаки.»

Для субъектов КИИ цифровой отпечаток рекомендуется использовать в рамках выполнения требований о безопасности критической информационной инфраструктуры (187-ФЗ).

Рекомендуется включать информацию о цифровом отпечатке в состав уведомлений, направляемых в ФинЦЕРТ Банка России, для выявления цепочек операций по переводу денежных средств, выполненных в разных кредитных организациях, а также если такой отпечаток был задействован при реализации компьютерных атак/инцидентов.

Можно обозначить несколько основных проблем, которые ждут организации в этом направлении:

• Во-первых, задача идентификации и отслеживания достаточна объёмна и требует большого количества ресурсов — кадровых, временных, финансовых, технологических.
• Во-вторых, большая часть таких процессов в организациях не регламентирована, и для создания технологии потребуется разработка большого количества документации.

Выводы

При соблюдении рекомендаций данного стандарта кредитным организациям, некредитным финансовым организациям для пользователей можно отметить как плюсы, так и минусы. Например, положительном является снижение вероятности совершения мошеннических действий в отношении клиентов. В то же время, пока система отслеживания цифровых отпечатков не будет полностью отлажена, возможны неправомерные отказы в операциях пользователей, что приведет к снижению лояльности клиентов к организациям.