Спецпроекты

Технология U2F становится новым международным трендом

Безопасность
Банковские и платежные сервисы стали по-настоящему массовым продуктом, а, значит, понадобились унифицированные средства ИБ для огромной аудитории. Поэтому мир платежных систем сделал очередной вираж, на этот раз в сторону информационной безопасности.

Были времена, когда технологии развивались столетиями. Но наше время настолько стремительно и насыщенно технологическими рывками, что между поколениями «отцов и детей» помещается еще парочка слоев. Яркий пример тому – история выставки CARTES, посвященной индустрии платежных карт, дебют которой состоялся в 1986 году в Париже.

Финансы остаются опорой «старой» экономики

Любопытно, что один из самых консервативных секторов «старой» экономики, а именно банковский, породил одну из самых динамично развивающихся индустрий бизнеса современности – платежную инфраструктуру. Это впоследствии дало толчок к развитию рынка платежных сервисов (WebMoney, PayPal, Qiwi, Яндекс.Деньги и др.), сервисов электронной коммерции (Apple Store, eBay, Amazon, Юлмарт, Ozon.ru, AliExpress, Alibaba и др.).

Конечные пользователи работают с этими сервисами с различных мобильных устройств, находясь в разных местах. У каждого современного человека уже есть одно или несколько девайсов, использующихся практически во всех жизненных ситуациях.

Вместе с этим усовершенствовали свои технологии злоумышленники всех мастей: от простых воров карточных данных до высокоуровневых мошенников в области фальшивых банковских авизо. Это побудило тех, кто увидел растущую угрозу со стороны криминала, объединяться вокруг банков, платежной индустрии, информационной безопасности и технологических компаний. Тему подхватили и CARTES, и CeBIT, и InfoSecurity, и многие другие международные профильные выставки и конференции. Некоторое время они развивались параллельно, но, похоже, пришло время более тесной интеграции.

Платежная индустрия пережила немало виражей

Основанная более 30 лет назад, CARTES долгое время была в первую очередь отраслевым мероприятием в индустрии пластиковых карт. Чуть позже она охватила рынок эквайринговых услуг и решений в области корпоративной информационной безопасности. «Якорными» участниками выступали Visa, MasterCard, крупные банки, а также лидирующие торговые предприятия из розничной сферы.

Ближе к началу нашего века в связи с развитием сетей связи на выставке появились новые темы для обсуждения, а в стане экспонентов все громче стал слышен голос телекоммуникационных компаний. В это время они совместно с производителями чипов для карт смогли произвести мини-революцию. Из элитарного продукта пластиковые карты стали атрибутом обычного человека: банкоматы и POS-терминалы (Point Of Sale — точка продажи) приучили к безналичным платежам.

Позже в связи с распространением мобильной телефонной связи началось проникновение телекоммуникаций в банковскую сферу. Многие миллионы клиентов сотовых операторов требовали персонального отношения к себе, и они получили его – в виде персонального кабинета, индивидуальных тарифов и возможности использовать свой телефонный счет если не в качестве банковского счета, то в виде электронного кошелька.

Планомерным развитием банковских продуктов стало предоставление населению услуг интернет-банкинга. Благодаря тому, что финансовые компании нашли возможность оказывать очень широкий спектр услуг дистанционно – через сайты или приложения «клиент-банк», – даже пошли разговоры о том, что банки стремительно превращаются в телекоммуникационные компании с банковской лицензией.

Что было дальше? А дальше был триумф корпорации Apple на рынке мобильных устройств, победное шествие Google со своим Android и т.д. Прошло лет пять, и огромное количество частных клиентов стало забывать, как выглядят банковские отделения. Электронные кошельки, виртуальные деньги и прочие электронные платежные средства стали настоящей занозой для классических банков и платежных систем.

FIDO Alliance сделал предложение, от которого трудно отказаться

Как уже отмечалось, «юность» CARTES прошла под звездой международных платежных систем. В то время ИБ была нацелена на обеспечение защиты процессинговых центров и других крупных узлов карточной инфраструктуры. 

Выросло поколение людей, которым смартфон и монитор компьютера заменили все прочие средства коммуникации в этом мире. Посредством различных интернет-сервисов и электронных денег миллионы и миллионы пользователей оплачивают покупки в магазинах, заказывают билеты на самолет, бронируют отели по всему миру и т.д. И Visa, и MasterCard существуют в этом новом мире уже не в качестве монополистов, а в роли одного из многих способов провести платеж.

В итоге, что мы видим? Миллионы пользователей ушли из розничных магазинов и кредитно-финансовых организаций в интернет, и порой, не осознавая все связанные с этим риски, ведут себя как в обычном офисе банка: беспечно, доверяя всем вокруг. Но за ними пристально следят мошенники. Об этом, в частности, говорит Сергей Груздев, генеральный директор компании «Аладдин Р.Д.»: «Тема безопасности, безусловно, является одной из ключевых для выставки CARTES на протяжении ряда последних лет. С ростом числа безналичных платежей, предполагающих возможность хищения как денежных средств, так и пользовательской конфиденциальной информации, растет и интерес к этой теме со стороны злоумышленников. Каждый год на этом форуме находится тема, которая интересна всем и становится настоящим хедлайнером. Не удивительно, что в 2015 году среди прочих традиционных для выставки тем звучат технологии UAF для проведения безопасных транзакций и U2F для многофактороной аутентификации, разработанные FIDO Alliance. О последней говорили очень много – ведь в ряде европейских стран она уже вошла, что называется, в тренд и претендует на позиции национального стандарта в области аутентификации».

Основная задача FIDO Alliance – предоставление онлайн-службам возможности проведения строгой аутентификации для снижения числа проблем, связанных с необходимостью запоминания большого количества учетных данных. В ее составе лидеры технологического рынка Google и Microsoft, крупные финансовые структуры и платежные системы PayPal, Bank of America, MasterCard и Visa, а также целый ряд глобальных интернет-магазинов, например, AliExpress. 

«Главное оружие против киберкриминала, нацеленного, прежде всего, на хищение пользовательских данных, - это технология многофакторной аутентификации на базе U2F-токенов. На мой взгляд, это может действительно стать той серебряной пулей, которая остановит ужасающий вал потерь миллионов пользователей сети интернет и связанных с ними платежных сервисов от так называемых «угонов аккаунтов», - продолжил Сергей Груздев.

В итоге CARTES 2015 несколько изменился, на нем впервые во весь голос заявили о себе компании, предлагающие на базе международного стандарта U2F решения для многофакторной аутентификации персонального назначения. Таких вендоров в этом году оказалось целых семь, в том числе, российский «Аладдин Р.Д.». По сравнению всего с двумя участниками в прошлом году это настоящий прогресс.

Банковские и платежные сервисы – массовый продукт, который требует использования унифицированных средств ИБ. Поэтому от участников FIDO Alliance ждут развития существующих стандартов и продуктов на их базе, а, возможно, и разработки и принятия новых регламентов.

Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка

Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития