Обзор Стандарта Банка России от 01.03.2023 № ОД-335 «СТО БР БФБО-1.7-2023»

Автор статьи:

Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств

Деятельность финансовых организаций подвержена множеству информационных угроз и требует защиты во избежание различного рода инцидентов, приводящим к потерям финансовых организаций и их клиентов. Это значит, что всё больше увеличивается потребность в эффективном выполнении мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.

С этой целью принят и введен в действие приказом Банка России от 01.03.2023 № ОД-335 «СТО БР БФБО-1.7-2023», который устанавливает рекомендации по контролю «цифровых отпечатков устройств». Простыми словами, цифровой отпечаток устройства – это совокупность параметров устройства пользователя, с которого он обращается в Организацию для получения услуги.

 

Данный стандарт рекомендован для применения кредитными и некредитными финансовыми организациями.

В документе раскрывается общее описание технологии цифрового отпечатка и основные ограничения в использовании технологии цифрового отпечатка.

Например:

  • Различия в операционных системах;
  • Сложности извлечения параметров из устройств пользователя;
  • Вероятность подделки параметров при формировании цифрового отпечатка.

Содержание СТО БР БФБО-1.7-2023

  1. Основная часть стандарта описывает алгоритм формирования и применения цифрового отпечатка. Главное, что можно выделить, Организация проводит сбор данных с устройства на предмет общих, особых, уникальных параметров и настроек. После чего сохраняет в «строку с исходными параметрами» для последующего вычисления функции хэширования в соответствии с ГОСТ Р 34.11-2018. Результат хэширования и будет применяться в качестве цифрового отпечатка устройства.
  2. В виде таблиц, приведены рекомендованные параметры для использования, причем они отличаются для браузеров и мобильных приложений. В том числе разделены для разных операционных систем.
  3. Представлены также рекомендации по сбору и хранению цифрового отпечатка и ведении базы таких отпечатков. Так как один пользователь может использовать несколько устройств для доступа сервисам, позволительна привязка нескольких отпечатков к одной клиентской записи. Отдельно кредитным организациям, некредитным финансовым организациям рекомендовано вести базы цифровых отпечатков устройств, замеченных в мошеннических активностях.
  4. В разделе «Применение цифрового отпечатка» прямо cказано об условиях подтверждения операций после сверки цифрового отпечатка и анализе, в случае несовпадения устройства. При проведении сверки, совпадением будет считаться результат, при котором различие составляет не более 15% параметров. При этом организации могут устанавливать иные значения для качественной и количественной оценки, идентификации операционного риска, классификации операционных рисков и потерь от их реализации, в том числе согласно Положению Банка России от 08.04.2020 № 716-П.

Кредитным организациям, некредитным финансовым организациям рекомендуется:

  • Выявлять компьютерные атаки, направленные на устройства пользователей, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без согласия клиента, операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, путем сравнения направляемых цифровых отпечатков с эталонными и выявления подозрительных аномалий, которые могут быть похожи на компьютерные атаки;
  • Осуществлять сбор технических данных, описывающих компьютерные атаки, направленные на устройства пользователей, в целях сбора данных об аномальных отклонениях в цифровых отпечатках для повышения эффективности реагирования на компьютерные атаки.»

Для субъектов КИИ цифровой отпечаток рекомендуется использовать в рамках выполнения требований о безопасности критической информационной инфраструктуры (187-ФЗ).

Рекомендуется включать информацию о цифровом отпечатке в состав уведомлений, направляемых в ФинЦЕРТ Банка России, для выявления цепочек операций по переводу денежных средств, выполненных в разных кредитных организациях, а также если такой отпечаток был задействован при реализации компьютерных атак/инцидентов.

Можно обозначить несколько основных проблем, которые ждут организации в этом направлении:

  • Во-первых, задача идентификации и отслеживания достаточна объёмна и требует большого количества ресурсов — кадровых, временных, финансовых, технологических.
  • Во-вторых, большая часть таких процессов в организациях не регламентирована, и для создания технологии потребуется разработка большого количества документации.

Выводы

При соблюдении рекомендаций данного стандарта кредитным организациям, некредитным финансовым организациям для пользователей можно отметить как плюсы, так и минусы. Например, положительном является снижение вероятности совершения мошеннических действий в отношении клиентов. В то же время, пока система отслеживания цифровых отпечатков не будет полностью отлажена, возможны неправомерные отказы в операциях пользователей, что приведет к снижению лояльности клиентов к организациям.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги