Не смог не запостить еще и сюда ;-) Идет в LinkedIn дискуссия. Одна из многих. Местами жаркая. Обсуждаем, как водится, технический подход к ИБ и бизнес-подход. Доходит дело до отчета Digital Security о безопасности приложений для мобильного банкинга. И Илья Медведовский делает такое заявление: "Что касается мобилок, то в самих мобильных банкингах масса проблем и их актуальность на практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а деньги уходят Пети и всего делов - и никакой конопли не нужно :). И никакого тут FUDа впомине нет. Потому что мобильный банкинг набирает ход по полной и при этом пока абсолютно дырявый на практике. И надо помочь обратить на это внимание."
К технической стороне отчета у меня претензий нет; да и не может быть - я же бумажный безопасник. Но в дискуссии мы дисскутируем на тему, насколько бизнесу важны технические вопросы, уязвимости, демонстрации взломов и т.д. Я считаю, что в массе своей нафиг не нужны, а уж в отношении приложений для мобильного банкинга тем более. И поскольку мой тезис надо как-то обосновать, пришлось потратить 15 минут на подготовку аргументированного ответа. Не хочется его терять - поэтому и копирую сюда (чуть причесав).
Итак. Возможность сделать что-то, еще не означает, что это будут делать. Это проблема всех исследователей дыр. Наличие дыры не означает ее использование на практике. В ряде случаев ее вообще можно не закрывать, т.к. этот риск можно либо принять (технарям это бывает сложно понять), либо переложить на чужие плечи, например, застраховав. А может быть и такая ситуация, что хакерам вообще наплевать на найденную кем-то дыру. И происходить это может по разным причинам. Нафиг не надо, есть варианты проще, есть варианты выгоднее...
В случае с мобильными клиентами ДБО применимы все три случая. Попробую это показать в цифрах. Во-первых, надо развенчать мнение, что мобильный банкинг - это наше все и у него большое будущее. Как показало исследование рынка ДБО, проведенное AnalyticResearchGroup, мобильный банкинг в России встречается крайне редко. И то преимущественно в крупных городах. В регионах, по мнению специалистов АnalyticResearchGroup, даже кризис не подтолкнул жителей небольших городов к использованию дистанционных банковских услуг; обычных, не говоря уже о мобильных. При этом три четверти россиян не только не пользуются мобильным и интернет-банкингом, но даже не знают о существовании таких услуг. Об этом свидетельствуют результаты опроса, проведенного Фондом «Общественное мнение» (ФОМ). Постоянными пользователями услуг мобильного банкинга является всего 3% россиян. Но это же может быть именно те 3%, которым принадлежат все богатства страны?! Может. Поэтому посмотрим на распространенность мобильного банкинга применительно к объемам денежных средств, которые там циркулируют.
Работающие на российском рынке кредитные организации ориентированы, в большей степени, на корпоративный рынок. Только 30,4% из них используют системы дистанционного обслуживания физических лиц. Системы типа мобильный банк установлены только в 6,8% банков. Почему? Потому, что деньги в мобильном банкинге смешные. Всего 8.1 млрд. рублей в 2012-м году по данным J’son & Partners Consulting. Это все деньги. Из них доля денежных переводов составляет всего 30%. Т.е. на денежные переводы, о перехвате и подмене которых указывается в отчете, как основной угрозе, приходится всего 2.7 млрд.рублей. К слову, объем рынка электронных платежных систем в России в 2012-м году по оценкам J’son & Partners Consulting составляет 1811 млрд.рублей. Т.е. мобильные переводы денежных средств - это всего 0.14%. Ну если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%. Это в рамках статистической погрешности ;-) И не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов.
Я не смог быстро найти в открытом доступе объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 2012-й год. Нашел только за 1-е полугодие 2010 года. Это значение превысило 101 трлн руб. (из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга). Я не буду прикидывать, сколько этот объем составлял в 2012-м году. Допустим столько же (хотя по всем оценкам он должен быть больше). Но сделаем допущение, что столько же, т.е. 200 триллионов рублей в год. А дальше посмотрим, какова доля мобильного банкинга на фоне переводов денежных средств юрлицами через системы ДБО. 0.0013%!
Доля мобильного банкинга (а им пользуются только физики) в объеме рынка ДБО для юриков - 0.0013%! И после этого кто-то будет рассказывать о значительной угрозе мобильных приложений? Какой смысл ломать физика через мобильный телефон, когда ломая юрика можно получить на порядок-другой больше денег? Я не понимаю. Только гики будут ломать таким образом физиков со смартфонами, гоняясь за их копейками. "Нормальная" киберпреступность, входящая в состав оргпреступности, будут работать по-крупному - т.е. на рынке ДБО для юридических лиц. И эта тенденция еще долго не будет переломлена.
Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков. Но беря соотношение денег в обоих сегментах злоумышленнику по всем законам выгоднее ломать юридических лиц. Тем более, что если примут 9-ю статью ФЗ-161 в нынешней редакции и внесут поправки в ГК РФ, то мошенникам даже ломать ничего не надо - достаточно просто заявить в банк, что платеж проведен не по распоряжению клиента и банк должен будет вернуть деньги. И зачем при таком "узаконенном мошенничестве" заниматься поиском дыр и их использованием, получая дополнительные риски по ст.272 УК РФ? Никакого резона.
Вот и получается, что не умаляя технических достоинств отчета Digital Security, даже с точки зрения злоумышленников ломать приложения мобильного банкинга смысла нет. Разумеется в массовом порядке (если взломать конкретного человека, то ему будет очень неприятно). А если это угроза незначительная, то зачем вкладываться в ее нейтрализацию? Этого не будет делать разработчик ДБО (если ему на навяжут эти требования), этого не будет делать банк-покупатель таких решений (бизнес там копеечный и запускается, как правило, ради имиджа, а не заработка).
Резюмируя: с точки зрения технической тема интересная и с ней можно попробовать даже выступить на каком-нибудь Blackhat. С точки зрения бизнеса тема не стоит и выеденного яйца и в ближайшие годы ситуация не изменится. В этом и есть разница в подходах к ИБ с точки зрения технического и бизнес-взглядов.
К технической стороне отчета у меня претензий нет; да и не может быть - я же бумажный безопасник. Но в дискуссии мы дисскутируем на тему, насколько бизнесу важны технические вопросы, уязвимости, демонстрации взломов и т.д. Я считаю, что в массе своей нафиг не нужны, а уж в отношении приложений для мобильного банкинга тем более. И поскольку мой тезис надо как-то обосновать, пришлось потратить 15 минут на подготовку аргументированного ответа. Не хочется его терять - поэтому и копирую сюда (чуть причесав).
Итак. Возможность сделать что-то, еще не означает, что это будут делать. Это проблема всех исследователей дыр. Наличие дыры не означает ее использование на практике. В ряде случаев ее вообще можно не закрывать, т.к. этот риск можно либо принять (технарям это бывает сложно понять), либо переложить на чужие плечи, например, застраховав. А может быть и такая ситуация, что хакерам вообще наплевать на найденную кем-то дыру. И происходить это может по разным причинам. Нафиг не надо, есть варианты проще, есть варианты выгоднее...
В случае с мобильными клиентами ДБО применимы все три случая. Попробую это показать в цифрах. Во-первых, надо развенчать мнение, что мобильный банкинг - это наше все и у него большое будущее. Как показало исследование рынка ДБО, проведенное AnalyticResearchGroup, мобильный банкинг в России встречается крайне редко. И то преимущественно в крупных городах. В регионах, по мнению специалистов АnalyticResearchGroup, даже кризис не подтолкнул жителей небольших городов к использованию дистанционных банковских услуг; обычных, не говоря уже о мобильных. При этом три четверти россиян не только не пользуются мобильным и интернет-банкингом, но даже не знают о существовании таких услуг. Об этом свидетельствуют результаты опроса, проведенного Фондом «Общественное мнение» (ФОМ). Постоянными пользователями услуг мобильного банкинга является всего 3% россиян. Но это же может быть именно те 3%, которым принадлежат все богатства страны?! Может. Поэтому посмотрим на распространенность мобильного банкинга применительно к объемам денежных средств, которые там циркулируют.
Работающие на российском рынке кредитные организации ориентированы, в большей степени, на корпоративный рынок. Только 30,4% из них используют системы дистанционного обслуживания физических лиц. Системы типа мобильный банк установлены только в 6,8% банков. Почему? Потому, что деньги в мобильном банкинге смешные. Всего 8.1 млрд. рублей в 2012-м году по данным J’son & Partners Consulting. Это все деньги. Из них доля денежных переводов составляет всего 30%. Т.е. на денежные переводы, о перехвате и подмене которых указывается в отчете, как основной угрозе, приходится всего 2.7 млрд.рублей. К слову, объем рынка электронных платежных систем в России в 2012-м году по оценкам J’son & Partners Consulting составляет 1811 млрд.рублей. Т.е. мобильные переводы денежных средств - это всего 0.14%. Ну если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%. Это в рамках статистической погрешности ;-) И не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов.
Я не смог быстро найти в открытом доступе объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 2012-й год. Нашел только за 1-е полугодие 2010 года. Это значение превысило 101 трлн руб. (из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга). Я не буду прикидывать, сколько этот объем составлял в 2012-м году. Допустим столько же (хотя по всем оценкам он должен быть больше). Но сделаем допущение, что столько же, т.е. 200 триллионов рублей в год. А дальше посмотрим, какова доля мобильного банкинга на фоне переводов денежных средств юрлицами через системы ДБО. 0.0013%!
Доля мобильного банкинга (а им пользуются только физики) в объеме рынка ДБО для юриков - 0.0013%! И после этого кто-то будет рассказывать о значительной угрозе мобильных приложений? Какой смысл ломать физика через мобильный телефон, когда ломая юрика можно получить на порядок-другой больше денег? Я не понимаю. Только гики будут ломать таким образом физиков со смартфонами, гоняясь за их копейками. "Нормальная" киберпреступность, входящая в состав оргпреступности, будут работать по-крупному - т.е. на рынке ДБО для юридических лиц. И эта тенденция еще долго не будет переломлена.
Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков. Но беря соотношение денег в обоих сегментах злоумышленнику по всем законам выгоднее ломать юридических лиц. Тем более, что если примут 9-ю статью ФЗ-161 в нынешней редакции и внесут поправки в ГК РФ, то мошенникам даже ломать ничего не надо - достаточно просто заявить в банк, что платеж проведен не по распоряжению клиента и банк должен будет вернуть деньги. И зачем при таком "узаконенном мошенничестве" заниматься поиском дыр и их использованием, получая дополнительные риски по ст.272 УК РФ? Никакого резона.
Вот и получается, что не умаляя технических достоинств отчета Digital Security, даже с точки зрения злоумышленников ломать приложения мобильного банкинга смысла нет. Разумеется в массовом порядке (если взломать конкретного человека, то ему будет очень неприятно). А если это угроза незначительная, то зачем вкладываться в ее нейтрализацию? Этого не будет делать разработчик ДБО (если ему на навяжут эти требования), этого не будет делать банк-покупатель таких решений (бизнес там копеечный и запускается, как правило, ради имиджа, а не заработка).
Резюмируя: с точки зрения технической тема интересная и с ней можно попробовать даже выступить на каком-нибудь Blackhat. С точки зрения бизнеса тема не стоит и выеденного яйца и в ближайшие годы ситуация не изменится. В этом и есть разница в подходах к ИБ с точки зрения технического и бизнес-взглядов.
