Изменения в положении ЦБ: работа мобильных банков на iPhone под вопросом

1 октября 2022 вступает в силу указание Банка России от 18.02.2022 №6071-У «О внесении изменений в Положение Банка России от 17 апреля 2019 года N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (Зарегистрировано в Минюсте России 20.06.2022 N 68919).

Основных новшеств, которые оно несет с собой, два: возможность установки денежных лимитов на операции и запрет на определённые виды операций. В целом, большинство нововведений вполне реализуемы, но не платформах Apple. В статье ниже Федор Музалевский, директор технического департамента RTM Group, подробно пояснит ключевые положения нового законодательного акта и то, какое влияние они окажут на пользователей iPhone.

Изменения к 683-П в части идентификации мобильного устройства клиента

В самом указании сказано следующее:

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций.

Изменение требует от банка идентификации используемого устройства. Это можно осуществить посредством получения от мобильного телефона характеристик, перечисленных в будущем СТО БР, но операционная система iOS таких данных не предоставляет.

Вопрос идентификации устройства вставал и раньше, однако, Apple не шла навстречу. Команды разработчиков еще в 2009 году получали следующий ответ:

По соображениям безопасности iPhone OS ограничивает приложение (включая его настройки и данные) уникальным местоположением в файловой системе. Это ограничение является частью функции безопасности, известной как «песочница» приложения. Изолированная среда — это набор мелкозернистых элементов управления, ограничивающих доступ приложения к файлам, настройкам, сетевым ресурсам, оборудованию и так далее. Поддержка четко на протяжении многих лет говорит об изоляции приложений в операционной системе, напоминая об особенностях устройства операционной системы.

Имеющиеся варианты сбора данных об устройстве Apple мобильным приложением, например, интернет-банкингом, не позволяют гарантированно отличить устройство клиента от устройства злоумышленника.

Изменения в части применения УКЭП и УНЭП

Еще одна цитата из указания ЦБ:

В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

Указание предписывает, что использование усиленной квалифицированной электронной подписи, а также усиленной неквалифицированной электронной подписи или СКЗИ не применяется в случае передачи электронных сообщений в выделенные контролируемые сегменты вычислительных сетей, доступ к которым нарушителем невозможен. Угрозы нарушения целостности электронных сообщений в таком случае определяются кредитными организациями как неактуальные. Обоснование этому должно быть отражено в модели угроз и нарушителей.

Однако, большинство клиентов банка находятся за его контуром, осуществляя платежи из дома, с рабочего места, из автобуса или кафе. А это означает, что все системы банкинга должны быть снабжены криптографией в законодательном понимании этого определения. При этом ГОСТовская криптография на устройствах Apple на данный момент не реализована и, по нашим сведениям, не значится в плане разработки. Проблема видится в ограничениях доступа к сетевым протоколам, которые используются в операционной системе. Данные требования выполнимы только в реальности одного приложения, которое и будет подписывать свои сообщения. Рассматривать УКЭП даже не стоит, USB порт не позволяет получить к нему доступ.

Вторая причина, по которой более защищенные смартфоны Apple могут просто не вписаться в требования ЦБ по защите информации, заключается в следующем. До сих пор нет вменяемого применения электронной подписи даже на мобильных устройствах Android. Попытки делали Рутокен и Госуслуги, но не очень продвинулись в этом плане. Однако если для устройств Android есть наработки, то для смартфонов Apple их нет.

Проект стандарта о формировании цифровых отпечатков

Чтобы разобраться с технической частью вопроса идентификации, стоит посмотреть на нормативный документ. Подкомитет 1 ТК № 122 опубликовал в закрытом доступе проект стандарта Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при использовании технологии цифровых отпечатков устройств». Начнем по порядку.

Из самих разделов можно вычленить следующие требования:

• отпечаток применяется исключительно для защиты информации, расследования инцидентов и связанные с ними события;
• проект определяет перечень собираемых параметров устройства и окружения для iOS.

Сразу скажем, что отпечаток получить не выйдет. Часть данных, которые требуются для создания фингерпринта, взять не удастся, ведь с 2018 года изменения в операционной системе урезали возможность ряда данных для его составления. Поговорим про изоляцию более конкретно.

Указанный стандарт прошёл стадию рабочей группы и подкомитета – существенных изменений в нём не стоит ожидать. Даже тот факт, что в документе для Apple существенно (по сравнению с Android) сокращен перечень признаков устройства, их сбор все равно будет затруднён даже на действующих версиях iPhone, а в перспективе проблема только усилится.

Закрытость приложений Apple

В чем же причина? Про проблему приложений экосистемы Apple можно рассуждать часами. На качество разработки это не влияет. Но вот пользователям не хватает альтернативных магазинов приложений и возможности поставить интересующую их программу самостоятельно. На это жалуются не только в нашей стране, но и на родине производителя.

На все это Apple не раз заявляла и продолжает говорить, что прежде всего заботится о конфиденциальности и безопасности пользователей. Именно поэтому ее специалисты создают надёжную среду для совместной работы потребителей и разработчиков. Что, конечно, неизбежно ведет к закрытости системы.

Но это только верхушка айсберга. Если углубиться в устройство iOS, то можно выделить так называемый Sandbox, в котором и запускаются все установленные приложения. Конечно, это повышает безопасность, но противоречит вышедшим указаниям обеспечения идентификации и хеширования. Вот максимум, что приложение может получить:

• доступ к файловой системе собственного каталога и домашнего каталога пользователя;
• доступ к каталогам Media и Library внутри домашнего каталога за исключением Media/DCIM/, Media/Photos/, Library/AddressBook/, Library/Keyboard/ и Library/Preferences/;
• использование только Cocoa API и других фреймворков.

Самое проблематичное заключается в том, что разработчики фирмы Apple не утруждают себя обратной совместимостью системных параметров. Как отметил один из ведущих аналитиков, директор ЭЛКОМСОФТ, Владимир Каталов: «Все решения по криминалистике для продуктов Apple приходится заново тестировать после выхода обновлений. Это существенная проблема, которая идёт вразрез с основным принципом построения безопасных систем: безопасность должна обеспечиваться механизмом, а не отсутствием у злоумышленника знания о механизме».

Невозможность реализации требований безопасности банкинга на iPhone

Несмотря на упомянутые сложности, с точки зрения обычного пользователя концепция и позиция компании правильная. Перед публикацией приложения она проверяет программный код продукта, программа изолируется от остальных утилит и т.д., хотя при этом изоляция ПО и не позволяет реализовать требования к мобильным приложениям. Конечно, мы можем обойти ограничение через применение специальных прошивок, но это лишь усугубит аспекты безопасности не только ДБО, но и устройства в целом.

Кстати, недавно из российского магазина App Store были удалены российские банковские приложения. Теперь на просторах Авито можно встретить объявления, предлагающие установить Сбербанк на iPhone. Сам процесс проходит у продавца дома: он, инсталлировав на свой компьютер среду разработчиков, может перенести на стороннее устройство последнюю актуальную копию приложения. В этом процессе практически отсутствуют подводные камни и с этим может справиться даже неквалифицированный специалист. Можно предположить, что также появятся мошенники, которые будут ставить модифицированную версию своим клиентам, а потом уже собирать урожай. Пока подобные случаи замечены не были, но это лишь вопрос времени. Таким образом, фирма Apple выстрелила себе в ногу, «обезопасив» пользователей от «приложений агрессора», и подвергнув пользователей опасности целого вектора атак злоумышленников.

Что же делать? Убежденные поклонники iPhone наверняка готовы рискнуть, и пользоваться небезопасным банкингом. Однако, если это будет запрещено технически (по причине отсутствия приложения банка для Apple), стоит все же оценить возможности WEB-версий клиента банка или, скрепя сердце, попробовать Android.