Смартфон в банке: риски, уязвимости и возможности

20.09.2016

Источник: Bankir.ru

Банкиры, финансисты и разработчики мобильных устройств рассказали порталу Банкир.Ру о том, насколько современные смартфоны готовы для профессионального использования, как они уже сейчас снижают уровень внутреннего мошенничества и о важности предустановки банковских приложений на заводе.

Современный смартфон един во многих лицах. Это и рабочий инструмент, и универсальная машина для развлечений, и головная боль служб безопасности компаний, и платежное средство.

Информация, собираемая умным телефоном о своем владельце, крайне детальна, точна и надежно привязана ко времени. В памяти телефона и в привязанных к нему облачных сервисах формируется цифровой слепок личности пользователя. И доступ к нему открывает огромные просторы для манипуляций разного рода, от невинных розыгрышей до кражи денег или корпоративных данных.

Смартфон в банке — это вдвойне сложно, потому что он находится на минимальном расстоянии от денег и данных одновременно. Поначалу с ними пытались бороться, и все мы, наверное, помним приказы заклеивать камеры изолентой и запреты на подключение к Wi-Fi с личных устройств. Но по мере оцифровки процессов и продуктов банка стало понятно, что смартфон, мягко говоря, не единственный потенциальный канал утечек, и запрещать их нет смысла. Лучше посчитать и держать под контролем. В результате сегодня принести свой аппарат и использовать в корпоративной сети — обычное дело.

«Есть электронная форма заявки в системе внутреннего документооборота, ее надо заполнить, отправить на согласование, через 1,5–2 часа будет готов сертификат, который устанавливается на устройство,— рассказывает Максим Азрильян, главный технический архитектор Центра инноваций и технологий электронного бизнеса Альфа-банка.— Все происходит автоматизированно, ссылка для установки приходит в корпоративную почту сотрудника. Сначала такая автоматизация была доступна для устройств Apple, потом и для Android все стало быстро и просто. Пару лет назад была шутка, что Apple — корпоративный стандарт „Альфы”. Сейчас, конечно, смартфонов на Android стало больше, чем тогда».

«В настоящее время для управления мобильными девайсами используется система Citrix XenMobile (MDM), которая обеспечивает настройку политик безопасности мобильных устройств, управление мобильными приложениями, инвентаризацию мобильных устройств и поддержку личных и корпоративных устройств»,— уточняет Петр Кузнецов, начальник управления сопровождения персональной вычислительной техники Альфа-банка.

Банки крайне редко закупают смартфоны, если только речь не идет о нуждах IT-отделов, которым необходимо тестировать мобильные приложения и сервисы. Обычное дело использовать для таких задач собственные устройства сотрудников, однако зоопарк продуктов на Android настолько велик, что для гарантированной работы приложений на всем их разнообразии приходится покупать довольно экзотические модели. Впрочем, и линейка Apple сейчас довольно велика. Даже на прилавках магазинов стоит до семи моделей iPhone, а на руках населения их примерно вдвое больше. Поэтому и здесь без корпоративных закупок не обойтись.

Рядовые сотрудники, даже если смартфон их полноценный рабочий инструмент, обычно покупают аппарат за свои деньги. В ряде случаев им может быть предоставлен льготный кредит и (или) скидка на покупку. По мере роста возможностей смартфонов и их стандартизации (грубо говоря, когда они станут совсем уж одинаковыми), возможны и централизованные закупки, однако до этого пока очень далеко. Смартфоны остаются очень разными, являясь, по сути, подлинными персональными компьютерами XXI века.

Что может смартфон?

Современные мобильные устройства по вычислительным возможностям не уступают настольным ПК примерно семилетней давности, а лучшие образцы готовы соревноваться и с более свежими моделями. Внушительная производительность поддерживается мультимедийными функциями, и в первую очередь камерой. Даже очень средний телефон образца 2016 года снимает на уровне «мыльницы», выпущенной лет пять назад. А топовые модели Apple, Huawei, LG и Samsung уже всерьез конкурируют с беззеркальными камерами.

Сочетание мощного процессора и качественной камеры, конечно, не делает смартфон полноценной заменой офисного компьютера. Но при работе «в полях» открывает возможности, недоступные при использовании, например, ноутбука и большинства планшетов. Общеизвестно, что сотрудники Тинькофф банка для всех операций по оформлению новых клиентов, замене карт и т. д. отлично обходятся смартфонами. И зачастую не самыми дорогими и новыми моделями.

В компании «Домашние деньги» более 5 тысяч сотрудников используют смартфоны в основных бизнес-процессах — выдаче и оформлении займа, сборе платежей. «Для нашей сети агентов смартфон — основной и часто единственный инструмент его работы. Использование смартфонов позволило значительно ускорить основные процессы с одновременным повышением качества их выполнения,— рассказывает Андрей Бахвалов, главный исполнительный директор „Домашних денег”.— На сегодняшний день 100% займов выдается агентами при помощи мобильного приложения. Также внедрение технологии позволило снизить уровень внутреннего мошенничества и повысить качество портфеля с 28% до 23% дефолтных займов».

Видя тренд на популярность смартфона в роли рабочего инструмента, в корпорация Microsoft добавила в ОС Windows 10 Mobile функции Continuum. Последняя позволяет при наличии специальной док-станции подключить к смартфону монитор, клавиатуру и мышь, превратив его таким образом в почти настоящий ПК. К сожалению, весьма ограниченный список моделей смартфонов на этой версии ОС и ее смутные перспективы не позволили сделать Continuum массовым решением. Ведь кроме набора офисных приложений на обычном ПК используется немало других, а сторонние разработчики не очень рвались вкладываться в развитие непопулярной функции. Microsoft часто опережает время, как это было, например, с планшетами, придуманными задолго до iPad. И до того, как их можно было сделать действительно удобными. Нет сомнений, что в будущем одна из разновидностей Continuum станет стандартом.

Что предлагают вендоры?

Производители смартфонов пока редко видят отечественные банки в качестве покупателей. Скорее, они ориентируются на сотрудников банков и задачи, стоящие перед финансовыми организациями. Те, кто может себе это позволить, также учитывают требования к безопасности, предъявляемые государственными структурами.

«Наши смартфоны, планшеты и другие портативные устройства легко встраиваются в системы корпоративных политик безопасности банков и отвечают самым строгим требованиям,— говорит Александр Краснов, директор по развитию корпоративного бизнеса Samsung Electronics.— Наши современные устройства оснащены аппаратно-программным комплексом Knox, решающим целый спектр задач в области информационной безопасности и управления корпоративными устройствами. Так, с помощью Knox можно управлять устройствами сотрудников в удаленном режиме, а также использовать функцию разделения частного и служебного пространства в смартфоне. Сотрудник самостоятельно приобретает устройство, использует его для личных нужд без каких-либо ограничений, но вся служебная информация и приложения хранятся в защищенном виртуальном контейнере, которым управляют соответствующие службы предприятия и задают для него необходимые политики безопасности. Также у нас есть уникальное решение на базе операционной системы Tizen, которое сертифицировано ФСТЭК».

Защита информации — действительно крайне важный пункт. Известен случай, когда одна микрофинансовая организация разрешала своему приложению для сотрудников хранить фотографии документов клиентов на SD-карте в незашифрованном виде. И если доступ к самому смартфону был защищен пин-кодом и паролем, то информацию с карты можно было считать на любом компьютере с кардридером. Что однажды и произошло при утере аппарата. Защищенный контейнер есть далеко не во всех аппаратах, но шифрование всех персональных и корпоративных данных с, как минимум, двухуровневой авторизацией — суровая необходимость.

«В моделях смартфонов, вышедших в 2016 году, используется 3D-сканер отпечатков пальцев нового поколения, который обеспечивает быструю разблокировку смартфона в любом направлении, безошибочно считывая отпечаток пальца и измеряя высоту отпечатка пальца, повышая тем самым безопасность использования устройства»,— говорит Илья Тюрин, менеджер ключевых проектов Huawei Consumer Business Group в России.

«Сейчас для реализации бизнес-процессов взаимодействия с клиентом становится актуальным применение технологий биометрии, таких как сканирование отпечатка пальца или идентификация пользователя по сетчатке глаза,— добавляет Александр Краснов.— В сочетании с технологиями электронного оборота биометрия на устройствах Samsung позволяет банкам сократить бумажный документооборот, обеспечить удобство и скорость обслуживания, а также повышает безопасность операций».

У дополнительных средств идентификации есть слабое место — отсутствие поддержки на уровне операционной системы. Так, банки крайне редко использовали сканеры отпечатков пальцев в смартфонах на Android, пока начиная с версии 6.0 за работу с ними не начала отвечать сама платформа. Слишком велик был риск компрометации данных по дороге при помощи взлома стороннего драйвера. Очевидно, что до стандартизации работы с современной экзотикой, вроде сканера сетчатки, использовать ее в качестве доверенного инструмента идентификации будет проблематично.

Банк в кармане

Еще один тонкий момент — банковские приложения для смартфонов. С одной стороны, они находятся на пользовательской стороне, и банк не может полностью контролировать удобство использования и безопасность. С другой — для большинства клиентов приложение это и есть банк. И любые проблемы они связывают с кредитной организацией, а не с разработчиком смартфона или самого приложения.

Между тем, добиться идеальной работы на каждой модели смартфона практически невозможно. Например, популярная сейчас оплата на кассовых терминалах при помощи мобильного устройства работает далеко не всегда из-за аппаратных ограничений разномастных контроллеров. «Сейчас NFC используется в основном на транспорте, в системах контроля доступа и тому подобных сферах. Несмотря на то что NFC — стандартизированная технология, реализация зависит от поставщиков решений,— говорит Евгений Ладыгин, директор ZTE по продажам в России и СНГ.— Вполне возможно, что с развитием платежных систем и их дальнейшей интеграцией в цифровую жизнь, последует жесткая чистка текущего „зоопарка”. Ведь, например, и Visa, и Mastercard обяжут все розничные точки принимать бесконтактные платежи с 1 января 2020 года. Но до тех пор, пока наличие NFC не стало обязательным для совершения базовых ежедневных действий, мы будем наблюдать текущую картину».

Интересный пример — сотрудничество Сбербанка и Huawei, в рамках которого приложение Сбербанка устанавливается на многие модели смартфонов китайского производителя. При этом проводится двойное тестирование: силами самого Сбербанка и в лабораториях Huawei. С учетом того что Huawei активно использует компоненты собственной разработки, включая процессор и сенсоры, такое тестирование действительно весьма уместно и полезно для обеих сторон. Реклама смартфонов Huawei демонстрируется на банкоматах Сбербанка по всей стране, а также банк осуществляет эквайринг в российском официальном интернет-магазине компании.

Впрочем, не все производители считают предустановку банковских приложений важной задачей. «На территории РФ и СНГ ZTE не предустанавливает банковские и финансовые приложения на смартфоны. Есть предметный интерес со стороны нескольких банков, на текущий момент мы находимся в переговорном процессе,— говорит Евгений Ладыгин.— Откровенно говоря, большого смысла в предустановке банковских приложений мы не видим, потому что пользователи самостоятельно устанавливают необходимые им банк-клиенты с помощью Google Play».

Рановато для заключения

В специализированной прессе уже не первый год стоит вой, что изменения в смартфонах замедлились, и все они слишком похожи друг на друга. На самом деле, это совсем не так. Закончился внешний, понятным любому человеку взрывной рост. Мегабайты, мегапиксели, мегагерцы — здесь действительно наступило некоторое успокоение.

Но на самом деле изменения идут столь же бурно, просто изменился их вектор. Смартфоны начинают соответствовать корпоративным и государственным стандартам безопасности, они наращивают возможности надежной идентификации владельца, их камеры становятся пригодны для профессиональной работы с документами.

Все это не так эффектно, как раньше. Однако именно профессиональный рынок сейчас — главная надежда производителей премиальных марок. Потому что среднестатистическому пользователю вполне достаточно аппарата за 5–10 тысяч рублей, и предложение небольших брендов перебить трудно. Конкуренция на профессиональном рынке ниже, а маржа значительно выше.

Так что будет интересно. Просто не всем.
Возврат к списку новостей
Рекламодателю