- Advertisement -
     

    Клик - и готово

    Новости 22.01.2024 12:43



    Пилотный проект “Обмен информацией о текущих счетах клиента”, запущенный в ноябре прошлого года, признан успешным и будет масштабирован на всю страну. Но насколько безопасен открытый банкинг?

    Игры в песочнице

    На сегодняшний день порядка 100 стран либо уже внедрили Open banking, либо он находится на различных стадиях инициации или внедрения. А объём операций в мире в рамках такого открытого банкинга оценивается в 57 млрд долларов. Ожидается, что к 2027 году этот объём вырастет до 330 млрд долларов, а количество операций увеличится с 102 млрд до 508 млрд.

    Суть Open banking в том, что он позволяет банкам предоставлять доступ к данным своих клиентов третьим сторонам с условием согласия самих клиентов, в результате повышаются скорость обслуживания и сам банковский сервис.

    В Казахстане в ходе пилотного проекта банки-участники были подключены к платформе Open API (протокол обмена информацией), что позволило им подключиться к протоколам других банков-участников. Таким образом, участники проекта (128 клиентов банков второго уровня) получили возможность через мобильное приложение своего основного банка (условно назовем его так) просматривать информацию о своих счетах в других банках-участниках, а также управлять своими согласиями на предоставление данных. Проще говоря, если у вас, к примеру, зарплата поступает на счёт или карту Halyk Bank, вы можете через приложение Homebank управлять всеми своими счетами не только в этом банке, но и в других БВУ. То есть вам уже не нужно устанавливать приложение каждого “вашего” банка, достаточно только одного.

    В результате создается, как говорят специалисты, технологическая песочница Open API, то есть платформа, предоставляющая участникам рынка доступ к открытым программным интерфейсам, благодаря которой участники смогут тестировать и совершенствовать свои идеи, способствуя созданию новаторских решений в сфере финансовых технологий.

    На златом крыльце сидели...

    В тестировании пилотного проекта приняли участие пять БВУ — Bank RBK, Altyn Bank, Home Credit Bank, Банк ЦентрКредит (БЦК) и Отбасы банк. Любопытно, что в списке отсутствуют крупнейшие игроки банковского сектора — Halyk Bank и Kaspi. Причём второй из них, как всем известно, является и лидером в сфере цифровых продуктов. Поэтому его неучастие в пилотном проекте нам показалось несколько странным, вызывающим сомнения в надежности тестируемой системы.

    Однако в Kaspi развеяли наши опасения.

    “Первый пилотный проект предполагал только обмен информацией по текущим счетам клиента в разных банках. Но наш анализ рынка показал, что у клиентов есть потребность не только видеть информацию по своим счетам в разных банках, но и осуществлять платежи и переводы. И поскольку предлагаемые нами услуги всегда исходят из потребности наших клиентов, было решено подключиться к Open API и Open banking на следующих этапах реализации проекта.

    Считаем, что развитие Open API и Open banking в стране предоставит новые возможности для клиентов. Также ожидаем, что развитие Open API поспособствует появлению на рынке новых банковских продуктов и услуг в связи с развитием здоровой конкуренции на финансовом рынке, что, на наш взгляд, также может положительно сказаться на клиентском опыте”, — сообщили в Kaspi в ответ на наш запрос.

    Почему другие банки (в Казах­стане работает 21 БВУ) не приняли участие в пилотном проекте, выяснить не удалось. Один из разработчиков — Агентство по регулированию и развитию финансового рынка (АРРФР) — нашу просьбу рассказать подробнее о пилоте проигнорировал.

    О безопасности...

    Цифровизация банковских услуг в Казахстане находится на достаточно высоком уровне и справедливо вызывает зависть у граждан других стран. Однако высок и уровень мошенничества в банковском секторе. Соответственно, получение доступа к персональным счетам БВУ через приложение одного из банков вызывает вопросы. К примеру, насколько безопасен протокол подключения Open API и насколько он устойчив к взломам? Или такой вопрос: если мошенник получит доступ к банковскому приложению, к которому через Open API подключены счета в других банках, сможет ли он их обчистить?

    Согласно полученным результатам пилота, главными сложностями были обеспечение стабильности сетевых соединений и достаточно длительное время обработки запросов. Но эти проблемы были устранены.

    А что касается вопросов безопасности, то, как следует из итогового отчета, доступ к данным клиента осуществляется с использованием двухфакторной аутентификации личности, включающей в себя биометрическую верификацию и SMS-проверку по одноразовому коду, и, как я уже отметил выше, исключительно с его согласия.

    - С помощью Open API банк даёт возможность клиенту получить доступ к его данным в других БВУ, но при этом сам банк к этой информации доступа не имеет, поскольку закон о банковской тайне никто не отменял и никакой банк не заинтересован в разглашении данных своих клиентов, — разъяс­нил “Времени” тонкости технологии президент Интернет-ассоциации Казахстана Шавкат САБИРОВ.

    - Что касается самого проекта, то он создан для удобства. Сейчас, к примеру, чтобы оплатить что-то в Каспи банке, вам приходится открывать приложение другого банка, где у вас есть деньги, чтобы перевести их на счёт в Каспи, затем открыть приложение Каспи банка и уже потом оплатить покупку. А с помощью Open API вы можете выполнить все эти операции из одного приложения.

    Сабиров уверен, что за безопас­ность можно не переживать, поскольку Open API, вероятнее всего, будет размещен на серверах центра межбанковских расчетов Национального банка.

    - Open API даёт разрешение не на полный доступ, а только на какие-то конкретные операции, одобренные клиентом, — говорит Сабиров. — Если клиент разрешил приложению на своём мобильном телефоне, гаджете только лишь просмотр своих счетов в других БВУ, то, к примеру, получить кредит в другом банке или осуществить перевод с этих счетов через это приложение будет невозможно.

    ...и не только

    Следовательно, возможности взлома извне практически нет, но есть риск, что пользователь сам ненароком предоставит доступ мошенникам.

    - Это реальная проблема, — согласен Сабиров, — потому что наши граждане скачивают и устанавливают приложения, не разбираясь, какие права дают этим приложениям. А ведь там зачастую не только запросы на доступ к видеофотокамере или микрофону, но и к паролям! Вспомните тот же “Ашык” времен ковида — он просил доступ ко всему, что есть в телефоне.

    Кроме того, есть риск того, что верифицированное мобильное устройство, тот же телефон, может быть утеряно или украдено.

    - Если, к примеру, мошенники получат доступ к вашему кабинету в Халык Банке, это не означает, что они получат и доступ ко всем подключенным счетам. Но если у них окажется ваше верифицированное устройство, то — да, означает, — пояснил “Времени” независимый эксперт в области кибербезопасности, IT и коммуникаций Евгений ПИТОЛИН.

    Но это, судя по его словам, пожалуй, единственный большой риск. В любом случае нужно следить за своими жизненно важными вещами, беречь и стеречь их.

    - Если говорить про информационную безопасность в рамках проекта, то при разработке платформы были применены все основные принципы безопасной разработки, что лично я считаю максимально важным в страновом масштабе: сканирование на наличие уязвимостей исходного кода, проверка на закладки программной и аппаратной инфраструктуры, тестирование на проникновение исследователями безопасности, а также комплекс­ное тестирование функциональности, включая нагрузочное и стресс-тестирование, — сообщил Питолин. — Эти меры позволяют предположить, что текущий подход к интернет-банкингу в рамках концепции Open banking даёт защиту платформенного масштаба на уровне лучших мировых прак­тик, в том числе комплексное сквозное логирование (полный контроль и учёт действий любых сотрудников в системах), сетевая защита (противодействие атакам через каналы телекоммуникаций), использование систем обнаружения вторжений (защита от сложных кибератак на серверы и рабочие места сотрудников).

    В то же время, обращает внимание эксперт, не стоит забывать, что любые сформированные на момент разработки проекта модели угроз и модели нарушителя будут очень быстро устаревать:

    - Поэтому необходим постоянный контроль и обновлений прак­тик со стороны управляющей команды. Кроме того, нельзя снимать со счетов вопросы обеспечения стабильности сетевых соединений, отсутствие которого может приводить к непредсказуемому поведению сервисов, то есть я рекомендовал бы особо уделять внимание аспектам сетевой инфраструктуры. И, учитывая, что сценарии развития открытого банкинга ждут активного масштабирования, важно продолжать работу над созданием и внедрением совместной защищенной платформы, предоставляющей участникам рынка доступ к открытым программным интерфейсам.

    А ТЕМ ВРЕМЕНЕМ

    Уже и надеяться забыли...

    Оплачивать товары или услуги с помощью QR-кода “своего” банка через терминалы приёма платежей других банков казахстанцы смогут уже к концу нынешнего года, обещает Национальный банк.

    Напомним, возможность оплаты по QR-коду сегодня предоставляют в нескольких казахстанских банках. Однако воспользоваться QR-кодом одного банка через POS-терминал другого банка пока что не представляется возможным.

    “Запуск сервиса межбанковских платежей по QR-коду запланирован в конце 2024 года. После внедрения новой системы у граждан появится возможность QR-оплаты с приложения одного банка через приложение/устройство другого банка”, — сообщили информагентству Tengrinews в Нацбанке.

    К слову, ещё в 2021 году Министерство торговли и интеграции заявило, что приступило к работе по стандартизации QR-кодов с тем, чтобы казахстанцы могли оплачивать покупки через терминалы, которые будут работать со всеми казахстанскими банками.

    - Неважно, чей ты клиент — Halyk Bank, Kaspi, Jusan. Есть QR — любой банк должен читать друг друга. Не надо иметь 10 POS-терминалов, не надо бизнесу платить за каждый терминал, пусть будет один терминал, который может работать со всеми участниками рынка. К этому мы должны стремиться, — заявляла по этому поводу вице-министр торговли и интеграции Асель Жанасова в сентябре 2022 года, выражая надежду, что казахстанские банки наладят свои платежные системы в самое ближайшее время.

    Однако ни в 2022-м, ни в 2023 году осуществить это не удалось. Посмотрим, как получится на этот раз.

    Руслан БАХТИГАРЕЕВ, Алматы



    Следующая статья