пятница, 1 мая 2015 г.

Параноидальная безопасность

ЧАСТЬ 1. Информационная безопасность.
Недавно обходя владения банкосферы, я обратил внимание на очередную бесплатную карту, сулящую 15% годовых на остаток. Привезли мне её не быстро, но потом, листая информационные бумажки, я наткнулся на фразу «Максимальное в РФ количество элементов безопасности». Значит, мимо я уже никак пройти не смог, пришлось самому взять посмотреть, как это выглядит на практике. Итак, поехали:
1. При входе в ИБ слева текст, что надо использовать безопасный режим браузера, что надо проверить URL и SSL, что нельзя никому показывать CVV. Трудности начинаются сразу. При вводе логина символы не отображаются даже на мгновение, поэтому, никогда не знаешь, что вводишь. Метод Copy/Paste не работает. Далее идет captcha, ну и рекомендация всё вводить с виртуальной клавиатуры.

2. Далее надо создать платежный пароль. Само понятие платежный пароль пошло от сервисов типа Яндекс.Деньги / Деньги@Mail.Ru, т.к. в них пароль на почту и пароль в ЭПС один и тот же. Трудность в том, что дважды вводить платежный пароль предлагается исключительно с виртуальной клавиатуры. Опять присутствует captcha.

3. Теперь ваш платежный пароль надо подписать. Для этого его нужно указать еще раз и ввести код из SMS. Конечно же, используя виртуальную клавиатуру.

4. Теперь вам cгенерируется виртуальная скретч-карта, которую предлагается, как угодно сохранить, чтобы в последствии подтверждать этими кодами свои платежи.

5. Разумеется, ведется логирование былых событий. А вот зачем передавать банку фотографии я понять не смог.

6. Можно забавно поиграться в химика, пока будете устанавливать связи между финансовыми сущностями.

7. В разделе безопасность есть много чего интересно, среди них подробная памятка о том, что такое хорошо и что такое плохо.

8.Там же можно включить и придумать суффикс для сгенерированного банком логина на вход.

9. Интерактивная Матрица безопасности. Напоминает она кому-нибудь модель угроз безопасности.

Продолжение этой матрицы. Тут вам уже геоблокировки, IP-блокировки, защита шаблонов платежей.

10. Ну, какой же банк без сейфа. Сейчас это модная тенденция, она появляется то тут, то там. Любые счета можно засунуть в сейф, которых тоже может быть несколько.

11. Можно сделать виртуальные карты для реальных платежей в рублях, долларах и евро. CVV-код приходит в SMS. Счета в Китайских юанях есть, а виртуалок почему-то нет.

12. А дальше начинаются поистине уникальные возможности. Я еще зимой ванговал, что хорошо бы, чтобы в ИБ можно было переводить деньги методом Drag&Drop как между счетами в пределах одного банка, так и между банками. Для этого, очевидно, все ИБ должны соответствовать общему стандарту. И вот первая реализация – стало возможно мышкой перетаскивать деньги со счета на счет в пределах этого банка! Подождем, когда подобное появится у других банков.

13. А вот если пройти вот этот Квест…,

то откроется возможность для выставления своих счетов на всеобщее обозрение. Можно транслировать свой виджет со счетом в Одноклассники или ВКонтакте, и пусть весь мир знает, какой вы крутой. Любой сможет смотреть баланс, а клиент даже делать выписку. Приватности и банковской тайне приходит конец.



Конечно, некоторую паранойю можно отключить, но осадок-то, как говорится, остался. Еще отдельными фразами:
·         Ежедневно в 00:00 клиента принудительно выкидывает из ИБ. Памятка говорит, что если кому надо, пусть зайдет еще раз.
·         За 2000 руб. клиенту выдается USB-Рутокен для еще более защищенной работы в ИБ.
Кстати, во славу отмены зарплатного рабства в комплекте идет уже напечатанное от имени клиента Заявление за перечисление зарплаты в этот банк.
Что бы еще добавить в ИБ, что б уж было наверняка? Может усложнить captcha?


Идем далее. На сайте банка заявлено, что у них есть сертификат PCI DSS. Так как банк использует процессинг Мультикарта, что входит в группу компаний ВТБ, собственный полноценный сертификат банк иметь не обязан. Редко какой банк в этом случае заморачивается вообще на этот счет, т.к. считает, что нет процессинга – нет проблемы. Однако банк пошел дальше, и получил положительный AVS-скан, что достаточно для торгово-сервисного предприятия (мерчанта). Если они это делают ежеквартально, то это только приветствуется.
Теперь общее замечание. Когда смотришь довольно сложный программный продукт, возникает вопрос, насколько безопасен исходный программный код. Делал ли банк анализ программного кода ИБ и заодно МБ? Хорошо бы получить на эти вопросы ответы. Если «да», то ответом могло бы быть заключение известного, независимого консалтера. Но так всё продается и всё покупается, общественность поверит только если показать:
·         договор на оказание услуг по анализу программного кода (должен быть автоматический и ручной анализ);
·         банковский перевод денег за оказание этих услуг (банк же сам придумал способ, как выставлять любые счета напоказ);
·         результирующую часть отчета о проверке исходного кода ИБ и МБ.

Вывод раз:
Лично моё мнение заключается в том, что такой показательно параноидальный уровень безопасности это явный перебор. Мне расхотелось пользоваться ИБ еще на этапе первичных регистраций, настроек и проверок.


ЧАСТЬ 2. Финансовая безопасность.
Теперь перехожу к финансовым особенностям тарифов, а говоря проще к недостаткам с точки зрения продвинутого клиента:
Казалось бы, как хорошо, что можно выбрать либо проценты на остаток, либо кешбек на покупки, либо и то и другое за 150 руб. в месяц, однако читаем внимательно условия и тарифы.
Проценты на остаток. Начисление процентов производится ежемесячно на сумму среднемесячного остатка по карточному счету при условии, что размер среднемесячного остатка, порядок расчета которого установлен ниже, составляет не менее 30000 рублей, а так же при условии осуществления нижеуказанных операций по Карточному счету. Для расчета среднемесячного остатка по Карточному счету остатки денежных средств каждый календарный день расчетного месяца суммируются и результат суммирования делится на количество календарных дней в расчетном месяце. При расчете среднемесячного остатка учитываются остатки денежных средств на Карточном счете не превышающие 300000 рублей. Проценты выплачиваются при наличии операций покупки в торгово-сервисных предприятиях на сумму не менее 10000 рублей за расчетный месяц.
Кешбек за покупки. CashBack по операциям покупки с использованием карты в сумме до 50000 рублей ежемесячно составляет 0,5% от суммы покупок. В сумме от 50000 до 100000 рублей ежемесячно - 1% от суммы покупок. В сумме более 100000 рублей ежемесячно  - 1,5% от суммы покупок.
Там много разных исключений, среди которых явно выделяется: Начисление CashBack не производится по операциям в супермаркетах Перекресток, Пятерочка, Атак, Ашан, Метро, Магнит, Карусель, Лента. (МСС 5411).  А почему про Дикси, Викторию, O’КЕЙ, Магнолию забыли?
И еще: При совершении более 2-х операций в одном ТСП в течение одного календарного дня, CashBack за третью и последующие операции, совершенные в течение этого же календарного дня в данном ТСП, не выплачивается.
Почти всё из процитированного выше написано в тарифах в виде сносок и микроскопическим шрифтом. Имхо стандартный расчет на невнимательных клиентов.
Ну и пару других замечаний:

  •  Межбанк через ИБ – 35 руб. за каждый платеж,
  • но есть прикольная услуга «Платеж по ФОТО» - 100 руб.
  • Валютный перевод 35 долларов или 35 евро за каждый платеж.
  • Снятие денег в банкоматах ВТБ24 0,5% (мин 50 руб.), в других банкоматах – 100 руб.

Вывод два:
Лично моё мнение заключается в том, что с точки зрения клиента данным банковским продуктом пользоваться абсолютно нецелесообразно. Теперь понимаешь, как смешно звучит фраза про эту карту из их Памятки «Бесплатная сейчас и навсегда, мы не берем с Вас деньги, мы платим Вам!».
PS1. Вчера 30 апреля 2015 г. ЦБ в третий раз за год снизил ключевую ставку на 1.5% - c 14% до 12.5% годовых. Это решение регулятор аргументировал ослаблением инфляционных рисков при сохранении рисков существенного охлаждения экономики.
PS2. Это решение уже дало о себе знать на финансовом рынке. Например, становившаяся популярной «Рыбка» стала не по 15, а по 14. Думаю, что другие банки после праздников будут поступать аналогичным образом один за другим. Также думаю, что ориентированный на клиентов процент по картам-копилкам сейчас находится в районе 14-16. Тем, кто считает, что это много, скажу, что профессиональный трейдер на финансовом рынке часто делает 5-10% в месяц.