Планируется создать систему, которая будет работать под юрисдикцией одного (пока не известно, какого именно) госоргана и отвечать за идентификацию и авторизацию клиентов в интернет-банкинге любого БВУ.
Копия письма, направленного местным банкам, «Казпочте» и платежным организациям, за подписью директора департамента платежных систем НБ РК Ерлана Ашыбекова имеется в распоряжении Forbes Kazakhstan. Финансистов попросили высказать свое мнение и внести предложения по данному вопросу.
В документе, в частности, говорится: «В рамках развития дистанционных банковских услуг одной из приоритетных задач выступает внедрение в финансовой системе механизма удаленной идентификации клиентов. Наличие подобного механизма значительно упростит доступ к электронным государственным и финансовым услугам для клиентов без дополнительных временных затрат на посещение банка или платежной организации. Внедрение данного сервиса позволит предложить клиентам финансовые услуги и сервисы на качественно новом уровне, а также сделать их более доступными в отдаленных регионах, что особенно актуально в Казахстане».
Опрошенные Forbes Kazakhstan эксперты прокомментировали плюсы и минусы разрабатываемых новых процедур. На их взгляд, позитивным моментом может стать то, что новому клиенту не нужно будет приходить в банк лично, если он уже был идентифицирован каким-либо другим банком и его данные были переданы системе. При соблюдении этого условия клиент может начать получать банковские услуги мгновенно. К тому же система проводит предварительную аутентификацию пользователя, что позволяет не делать это повторно в интернет-банкинге.
Был назван и ряд недостатков. Например, банкам нужно будет априори доверять данным, собранным их коллегами, либо проверять их, приглашая нового клиента в офис, что сводит на нет преимущества системы. Остаются вопросы по поводу аутентификации, которая передается третьей стороне, что ограничивает контроль банка над этим моментом, немаловажным с точки зрения информационной безопасности. Существуют риски, что клиент может легко начать пользоваться услугами других банков, так как это будет просто, быстро и удобно. Опять же не нужно посещать офис.
...
Специалисты в области информационной безопасности также сомневаются в необходимости инициативы НБ РК.
- Учитывая наши реалии, есть серьезные сомнения в том, что такая система необходима, – говорит технический директор Ak Kamal Security Павел Карабиди. – В России, да и во многих других странах, у граждан нет уникальных идентификаторов, которые можно использовать в интернете, поэтому им и приходится прибегать к таким мерам предварительной идентификации и аутентификации. У нас ситуация с идентификаторами гораздо лучше – есть ЭЦП, которые выданы государством, что позволяет любой организации, желающей взаимодействовать с пользователем онлайн, мгновенно проверить его личность и данные через государственные базы данных, а также через кредитное бюро.
Карабиди считает, что вместо внедрения новой системы было бы логично развивать уже действующую систему идентификации и аутентификации, применяемую в egov. Ведь она уже предоставляет функционал идентификации и аутентификации пользователей для сторонних систем и к ее возможностям прибегает, в частности, «Казпочта».
- Причем развитие данной системы должно быть направлено не только в сторону банковского сектора. Вполне логично было бы подключить к ней страховые компании, небанковские финансовые организации и многие другие, оказывающие услуги населению, – отмечает Карибиди. – Что касается безопасности потенциальной единой системы идентификации и аутентификации, то здесь есть на что обратить внимание. Данная система будет более интересна злоумышленникам, чем системы каждого отдельного банка, так как при удачной атаке может открыть гораздо больше возможностей для хищения средств и персональных данных.
...
Полностью прочесть материал вы можете на сайте forbes.kz.