VNC
Пользователь
НЕ ПРОВЕРЕН
НЕ ПРОВЕРЕН
- Регистрация
- 26.02.26
- Сообщения
- 139
- Реакции
- 0
- Репутация
- 0
Минцифры предлагает прописать необходимость подтверждения значимых действий в интернете через смс-сообщения или мессенджер «Макс» в третьем пакете антифрод-мер. Подтверждение действий в интернете через смс-сообщения и «Макс» — не самые надежные способы, считают эксперты, добавляя, что бизнесу это грозит дополнительными расходами.
Минцифры предлагает в третьем пакете антимошеннических мер, который готовится к рассмотрению, установить на уровне федерального закона подтверждение «значимых действий» в интернете через смс-сообщения или мессенджер «Макс». Об этом Forbes рассказал источник в IT-отрасли и подтвердили еще один собеседник в IT-индустрии и источник в телекоммуникационной отрасли. По словам последнего, эта мера уже обсуждалась ранее, но она не вошла в финальную версию второго пакета антифрод-мер.
При подготовке второго антифрод-пакета государство приняло «конструктивное и взвешенное решение» отказаться от этой нормы и не лишать граждан возможности самостоятельного выбора оптимального способа подтверждения исходя из их технических возможностей, личных предпочтений и требований к уровню безопасности конкретной операции, говорит собеседник в IT-индустрии. Возврат к ограничению способов подтверждения, по его мнению, лишит компании возможности использовать свои надежные системы аутентификации, что приведет к ухудшению информационной безопасности, поскольку отечественные сервисы имеют собственные, более строгие системы аутентификации, в том числе push-уведомления и внутренние уведомления в приложении. «При разработке новых антифрод-мер необходимо руководствоваться подходом, при котором система сама определяет требуемый уровень подтверждения исходя из различных факторов — именно так работает антифрод сейчас», — заключает он.
К «значимым» действиям в интернете можно отнести огромное количество событий, поэтому не совсем ясно, что в Минцифры имеют в виду, рассуждает источник на IT-рынке. В случае принятия этой инициативы банки и платформы понесут дополнительные расходы на рассылку смс-сообщений и уведомлений в «Макс». При этом способы подтверждения — это «не самые надежные», добавил собеседник. По его словам, из второго пакета антифрод-мер эту инициативу исключили потому, что против нее выступил весь бизнес, кроме VK, чья «дочка» разрабатывает «Макс», и операторов связи.
В Минцифры, однако, сообщили, что «такая мера не рассматривается». «В настоящее время третий пакет мер по борьбе с кибермошенничеством согласовывается с заинтересованными ведомствами и отраслью. Необходимо отметить, что все инициативы разрабатываются с учетом баланса безопасности и прав пользователей. Они направлены на усиление защиты граждан от мошенников в интернет-среде», — подчеркнули там.
В тексте второго пакета антифрод-мер, принятого в первом чтении, содержались поправки в закон «Об информации», предполагающие совершение юридически значимых действий в интернете с помощью подтверждения через «Макс» и смс-сообщение. Мессенджер и смс-сообщения перечислялись через запятую, а у СМИ и экспертов были разночтения, как трактовать эту норму: надо ли подтверждать и тем и другим способом одновременно или можно одним из них. Какие именно юридически значимые действия имеются в виду, в тексте законопроекта не пояснялось. Оговаривалось только, что их перечень установит правительство. Однако при доработке текста законопроекта ко второму чтению эту поправку убрали.
Госдума приняла второй пакет мер борьбы с кибермошенничеством («Антифрод 2.0») сразу во втором и третьем чтениях 9 июня. При этом еще в апреле был анонсирован третий пакет мер для борьбы с телефонными и интернет-мошенниками. О том, что Минцифры обсуждает его с правоохранительными органами, банками и операторами связи, в конце мая говорил замглавы Минцифры Иван Лебедев.
«Не решает проблему»
Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов не поддерживает ограничение способов подтверждения значимых действий только отдельными каналами. «Даже если будет предусмотрена альтернатива — подтверждение через смс-сообщение или через «Макс», а не одновременно через оба канала — это все равно не решает проблему полностью», — считает он.
В группе РВБ, контролирующей Wildberries, также не поддерживают инициативу в предлагаемой конфигурации, считая ее для себя избыточной. «На платформах группы уже реализован комплекс современных механизмов для безопасности пользовательских аккаунтов и совершаемых операций. Это многоуровневая система проверки подозрительной активности, анализ рисков, дополнительные сценарии подтверждения действий при необходимости и прочее», — сообщили в компании. — Введение обязательного подтверждения всех значимых действий через смс-сообщения или мессенджер не приведет к пропорциональному повышению уровня безопасности, но существенно увеличит операционные издержки участников рынка. В итоге такие расходы будут учитываться при формировании стоимости товаров и услуг, что может отразиться на конечных пользователях».
Иные способы
Под понятие «значимые действия» при желании можно подвести что угодно, но, скорее всего, в первую очередь имеется в виду двухфакторная авторизация, говорит руководитель АНО «Информационная культура» Иван Бегтин. «Тогда это не самая лучшая инициатива, во многих банках уже давно имеется возможность получения подтверждения с помощью одноразовых ключей, с помощью e-mail и др. А это выглядит как очередная попытка заставить всех пользоваться «Макс», — считает он.
Существует открытый, то есть не привязанный к производителю или платформе, максимально распространенный и надежный мировой стандарт двухфакторной авторизации RFC 6238 TOTP, указывает эксперт по цифровой безопасности проекта «Сетевые свободы» Станислав Селезнев. Отказ от него в пользу частного решения должен быть серьезно обоснован, считает он. «Код «Макс» закрыт, как он работает и насколько надежно приложение, мы не знаем», — говорит он.
Минцифры предлагает в третьем пакете антимошеннических мер, который готовится к рассмотрению, установить на уровне федерального закона подтверждение «значимых действий» в интернете через смс-сообщения или мессенджер «Макс». Об этом Forbes рассказал источник в IT-отрасли и подтвердили еще один собеседник в IT-индустрии и источник в телекоммуникационной отрасли. По словам последнего, эта мера уже обсуждалась ранее, но она не вошла в финальную версию второго пакета антифрод-мер.
При подготовке второго антифрод-пакета государство приняло «конструктивное и взвешенное решение» отказаться от этой нормы и не лишать граждан возможности самостоятельного выбора оптимального способа подтверждения исходя из их технических возможностей, личных предпочтений и требований к уровню безопасности конкретной операции, говорит собеседник в IT-индустрии. Возврат к ограничению способов подтверждения, по его мнению, лишит компании возможности использовать свои надежные системы аутентификации, что приведет к ухудшению информационной безопасности, поскольку отечественные сервисы имеют собственные, более строгие системы аутентификации, в том числе push-уведомления и внутренние уведомления в приложении. «При разработке новых антифрод-мер необходимо руководствоваться подходом, при котором система сама определяет требуемый уровень подтверждения исходя из различных факторов — именно так работает антифрод сейчас», — заключает он.
К «значимым» действиям в интернете можно отнести огромное количество событий, поэтому не совсем ясно, что в Минцифры имеют в виду, рассуждает источник на IT-рынке. В случае принятия этой инициативы банки и платформы понесут дополнительные расходы на рассылку смс-сообщений и уведомлений в «Макс». При этом способы подтверждения — это «не самые надежные», добавил собеседник. По его словам, из второго пакета антифрод-мер эту инициативу исключили потому, что против нее выступил весь бизнес, кроме VK, чья «дочка» разрабатывает «Макс», и операторов связи.
В Минцифры, однако, сообщили, что «такая мера не рассматривается». «В настоящее время третий пакет мер по борьбе с кибермошенничеством согласовывается с заинтересованными ведомствами и отраслью. Необходимо отметить, что все инициативы разрабатываются с учетом баланса безопасности и прав пользователей. Они направлены на усиление защиты граждан от мошенников в интернет-среде», — подчеркнули там.
В тексте второго пакета антифрод-мер, принятого в первом чтении, содержались поправки в закон «Об информации», предполагающие совершение юридически значимых действий в интернете с помощью подтверждения через «Макс» и смс-сообщение. Мессенджер и смс-сообщения перечислялись через запятую, а у СМИ и экспертов были разночтения, как трактовать эту норму: надо ли подтверждать и тем и другим способом одновременно или можно одним из них. Какие именно юридически значимые действия имеются в виду, в тексте законопроекта не пояснялось. Оговаривалось только, что их перечень установит правительство. Однако при доработке текста законопроекта ко второму чтению эту поправку убрали.
Госдума приняла второй пакет мер борьбы с кибермошенничеством («Антифрод 2.0») сразу во втором и третьем чтениях 9 июня. При этом еще в апреле был анонсирован третий пакет мер для борьбы с телефонными и интернет-мошенниками. О том, что Минцифры обсуждает его с правоохранительными органами, банками и операторами связи, в конце мая говорил замглавы Минцифры Иван Лебедев.
«Не решает проблему»
Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов не поддерживает ограничение способов подтверждения значимых действий только отдельными каналами. «Даже если будет предусмотрена альтернатива — подтверждение через смс-сообщение или через «Макс», а не одновременно через оба канала — это все равно не решает проблему полностью», — считает он.
В группе РВБ, контролирующей Wildberries, также не поддерживают инициативу в предлагаемой конфигурации, считая ее для себя избыточной. «На платформах группы уже реализован комплекс современных механизмов для безопасности пользовательских аккаунтов и совершаемых операций. Это многоуровневая система проверки подозрительной активности, анализ рисков, дополнительные сценарии подтверждения действий при необходимости и прочее», — сообщили в компании. — Введение обязательного подтверждения всех значимых действий через смс-сообщения или мессенджер не приведет к пропорциональному повышению уровня безопасности, но существенно увеличит операционные издержки участников рынка. В итоге такие расходы будут учитываться при формировании стоимости товаров и услуг, что может отразиться на конечных пользователях».
Иные способы
Под понятие «значимые действия» при желании можно подвести что угодно, но, скорее всего, в первую очередь имеется в виду двухфакторная авторизация, говорит руководитель АНО «Информационная культура» Иван Бегтин. «Тогда это не самая лучшая инициатива, во многих банках уже давно имеется возможность получения подтверждения с помощью одноразовых ключей, с помощью e-mail и др. А это выглядит как очередная попытка заставить всех пользоваться «Макс», — считает он.
Существует открытый, то есть не привязанный к производителю или платформе, максимально распространенный и надежный мировой стандарт двухфакторной авторизации RFC 6238 TOTP, указывает эксперт по цифровой безопасности проекта «Сетевые свободы» Станислав Селезнев. Отказ от него в пользу частного решения должен быть серьезно обоснован, считает он. «Код «Макс» закрыт, как он работает и насколько надежно приложение, мы не знаем», — говорит он.
По словам Селезнева, есть и другие варианты — например, получение push-подтверждения в приложении. «Но для этого в приложении должен работать push-сервис, а «Макс» не получает push-уведомления на всех устройствах Apple», — заключил он.
Профиль пользователя НЕ ПРОВЕРЕН! Будьте внимательны при работе с ним!
Подробнее о снятии "НЕ ПРОВЕРЕН" >>>здесь<<<
Подробнее о снятии "НЕ ПРОВЕРЕН" >>>здесь<<<





