Хайтек на ладони

На IX международной конференции «Банковские карты: практика и трансформация» в Москве компания NovaCard продемонстрировала банковские карты с дополнительными степенями защиты. Портал Банки.ру разбирался, как работают карточные новинки и как банкиры оценивают их возможности.

Двое из ларца с инновациями

Эти необычные карты появились совсем недавно. Об их выпуске компании Zwipe (Норвегия) и NagraiD (Швейцария) сообщили лишь в октябре 2014 года, так что даже западные банки не успели как следует обкатать новые технологии. Однако теперь это могут сделать и российские банки, если захотят.

NagraiD DCVx представляет собой карту, на обороте которой размещен дисплей, отображающий код CVV, требующийся для проведения оплат в Интернете. Известно, что сам по себе CVV не относится к надежным средствам защиты, так как пишется прямо на карте, его легко подсмотреть и сфотографировать. Из-за этого некоторые особо осторожные держатели замазывают или соскребают его с карты, рискуя тем, что банк может счесть карту недействительной и заблокировать.

Характерная особенность карты DCVx состоит в том, что код, отображающийся на встроенном в карту дисплее, периодически меняется. Даже если злоумышленник сумеет его подглядеть, использовать этот код он, скорее всего, не успеет. Период смены кода устанавливается банком.

В DCVx применен дисплей на основе электронных чернил, имеющий крайне низкое энергопотребление, в основном благодаря тому, что нарисованное изображение остается видимым без подачи питания. Энергия тратится только на изменение картинки. Таким образом, встроенного элемента питания, по сведениям NovaCard, хватает на три – пять лет.

Смена кода производится автономно, без какой-либо связи с банком, по особому алгоритму. При этом торговое предприятие, принимающее эту карту к оплате (точнее, эквайер этого предприятия), рассматривает этот динамический CVV как самый обычный CVV-код. Дело в том, что при обработке платежа этот код проверяется на стороне эмитента, и уже в его процессинге для корректной работы таких карт должны быть внесены некоторые изменения. В инфраструктуру банка включается отдельный DCVx-сервер, просчитывающий актуальные CVV-коды для каждой выпущенной карты и сообщающий их по запросу авторизационного сервера банка.

Zwipe разработала карты, оснащенные биометрическим датчиком. Работает это очень просто: при выполнении трансакции по бесконтактному интерфейсу держатель карты прижимает большой палец к окошку датчика, и терминал уже не требует ввода ПИН-кода. Проверка соответствия отпечатка проводится внутри чипа карты, там же хранится и эталон отпечатка, загружаемый туда в банке при выдаче карты держателю. Эталон отпечатка пальца из чипа не передается ни при каком раскладе, что практически исключает риск его компрометации.

Что интересно, датчик отпечатка пальца Zwipe в батарее питания не нуждается – он питается от NFC-антенны карты. Согласно Zwipe, в будущем для этих карт появится возможность проверки отпечатка пальца и при контактной оплате по EMV-чипу. Правда, терминал все равно должен будет поддерживать бесконтактную оплату, так как питание должно подаваться именно через NFC-антенну.

Отметим, что, в отличие от DCVx, новинка от Zwipe ориентирована вовсе не на усиление безопасности. Безопасность в этом случае, по сути, страдает – при утере или краже этой карты на ней практически гарантированно будут отпечатки большого пальца держателя. Так что если она попадет в руки к умелым кардерам, то снять с нее все деньги не составит труда.

Правда, изготовление поддельного отпечатка пальца требует времени, за которое держатель вполне успеет заблокировать эту карту. Заметим также, что сменить отпечаток пальца значительно труднее, чем задать новый ПИН-код, что тоже можно отнести к недостаткам нового решения. С другой стороны, при подтверждении оплаты отпечатком пальца снижается риск компрометации ПИН-кода – его никто не сможет подсмотреть.

Сильная сторона Zwipe – удобство. Если не нужно вводить ПИН-код, то платеж выполняется гораздо быстрее и удобнее. ПИН-код, впрочем, забывать не стоит – его все равно нужно вводить при операциях с банкоматом или терминалом, а также при проведении контактной оплаты по EMV-чипу или магнитной полосе.

Новые карты не только высокотехнологичны, но и недешевы. «Эти карты являются самыми значимыми техническими новинками в карточном мире в 2014 году. Как и все новое, эти карты дороже массовых продуктов, – рассказал порталу Банки.ру руководитель отдела конвергентных проектов компании NovaСard Михаил Татаренков. – Мы готовы реализовать данные проекты в России на тех же условиях, на которых они реализуются в Европе, или, скажем, Южной Америке. Ценовая политика, как правило, состоит в том, что в рамках пилотного проекта данная карта будет примерно в десять раз дороже обычной чиповой. Если по результатам пилотного проекта банк готов прогнозировать реальные объемы закупок таких карт, то финансовые условия будут определяться с учетом потребностей банка. Индивидуальный подход помогает оптимизировать стоимость».

При этом внедрение новых карт не должно вылиться в значительные расходы. «Новинки разработаны совместно с экспертами платежной системы MasterCard. Это обеспечивает гарантию интеграции данной технологии в существующий бизнес банка. Какие именно мероприятия должны быть проведены, определится в ходе реализации конкретного проекта: в случае с dCVx-картой необходимо обеспечить синхронную смену на карте и хосте банка (используется OATH-алгоритм), а в случае с Zwipe изменений, по заверению разработчика решения, вообще не потребуется, так как удостоверяющим центром является сама карта», – объясняет Татаренков.

Мнение рынка: карты для продвинутых

Портал Банки.ру спросил экспертов в области безопасности и представителей нескольких банков о том, как они оценивают преимущества и недостатки новых карт.

Ведущий консультант по ИБ Центра информационной безопасности компании «Инфосистемы Джет» Алексей Куприянов отмечает большую защищенность карты DCVx по сравнению с Zwipe: «С точки зрения безопасности первая технология динамического CVV-кода более интересна. Такие карты не имеют критичных ограничений по суммам операций, и для совершения незаконного платежа злоумышленнику необходима сама карта, а не только ее данные.

Карты с датчиками отпечатка пальца злоумышленник может использовать не для бесконтактных платежей, а в обычном режиме. Операции будут проводиться и в случае «проката» магнитной полосы, и в случае ввода данных карты при онлайн-платежах, и так далее. Поэтому второй вариант, на мой взгляд, является наименее защищенным.

Обе технологии имеют ряд уязвимостей, свойственных обычным картам. Например, не позволяют защититься от атак с использованием скимминга. При этом карты с датчиком отпечатка пальца не имеют защиты и от мошеннических операций в сети Интернет».

Начальник управления пластиковых карт банка ВТБ 24 Александр Бородкин, отвечая на вопрос, есть ли практический смысл во внедрении этих карт, сказал, что они «обеспечивают более высокий уровень защиты средств на карте и могут найти свое место в сегменте, где на карточном счете хранятся крупные суммы средств и необходимо, с одной стороны, обеспечить доступ к крупным покупкам, а с другой – высокую степень защиты данных средств».

При этом Бородкин отметил, что внедрение новых карт, по сути, не укрепляет безопасность платежных инструментов: «Банковская карта является удобным инструментом расходования средств, а не идеальным инструментом хранения. Таким образом, политика безопасности выстраивается именно вокруг удобства, а не вокруг максимальной безопасности. Для хранения денежных средств гораздо проще использовать намного более безопасные инструменты – депозиты, доступ к которым предоставляется либо через безопасные соединения интернет-банка, либо в рамках идентификации по паспорту при личном присутствии. Кроме того, существует огромное множество альтернатив (начиная со страхования средств на карте и заканчивая одноразовой интернет-картой), которые способны закрыть потребность клиента в безопасной оплате».

Директор по процессингу Промсвязьбанка Александр Петров считает, что новые карты имеют смысл «исключительно для нишевых проектов с небольшой эмиссией». Также он отметил, что идея Zwipe действительно очень интересна. Если поставщику удастся снизить стоимость карты, то технология может быть востребована достаточно широко. Хотя случаев мошеннических считываний карты через бесконтактный интерфейс не зафиксировано.

По мнению Петрова, внедрение динамического CVV2 нельзя назвать правильным направлением, так как для защиты e-commerce трансакций общепринятой является технология 3D-Secure, и в дальнейшем укрепление защищенности пойдет скорее по пути развития 3D-Secure.

Со своей стороны заметим, что динамический CVV выгодно отличается от 3D-Secure отсутствием канала связи с банком. Способов перехвата СМС-сообщений известно множество, угадать динамический CVV – гораздо более сложная задача.

«Для банка «Авангард» это не новинка, по крайней мере что касается карт с динамическим CVV-кодом, – рассказал порталу Банки.ру начальник управления организации розничных услуг «Авангарда» Константин Гринглоз. – Мы уже с 2012 года предлагаем своим клиентам карты с дисплеем, которые работают по технологии генерации одноразовых паролей. Фактически это полноценная платежная карта с встроенным генератором одноразовых паролей, которые используются вместо традиционных паролей по СМС или скретч-карт. Синхронизация кода нашим картам с дисплеем не нужна, так как они работают по принципу Challenge – Response: хост генерирует запрос (Challenge), который вводится на клавиатуре карты. На дисплее появляется код (Response), который владелец карты использует как одноразовый пароль для подтверждения операции.

Это действительно более дорогие в производстве карты, но они позволяют экономить на другом. Для банка они заменяют скретч-карты с одноразовыми кодами, а у клиента отпадает необходимость носить в бумажнике две карты: платежную и карту с кодами.

Карты со встроенным датчиком отпечатка пальца также имеют высокую степень защиты, но пока нет достаточной практики для выводов о целесообразности их использования. Отпечаток пальца не всегда может сниматься корректно, это может зависеть от температуры и других погодных условий. С этой точки зрения карты с дисплеем более универсальны, так как от внешних условий никак не зависят».

Вице-президент, начальник управления пластиковых карт банка «Открытие» Юрий Божор считает, что «любое движение к повышению защищенности дистанционных каналов платежей приветствуется. Если удастся за разумную цену обеспечить качественную защиту трансакций по дистанционным каналам, это будет шагом в правильном направлении. Подобные карты – весьма интересное решение, и, думаю, оно займет определенный сегмент рынка средств аутентификации».

По мнению Божора, цена некритична. С ростом объемов превышение цены над ценой обычного пластика будет снижаться. Вопрос в том, для какой цели будет использоваться данная карта.

«Оба концепта могут быть востребованы только теми клиентами, которые очень активно расплачиваются картами – на уровне «выше среднего», – считает первый вице-президент Московского Кредитного Банка Юрий Григоренко. – На мой взгляд, в остальных случаях объяснить преимущества таких дорогостоящих продуктов будет сложно. Что касается лично меня, то вариант с авторизацией платежей по отпечатку пальца представляется мне наиболее перспективным. Полагаю, что популярность его может расти пропорционально распространению гаджетов с аналогичной системой доступа. Однако массовому потребителю еще предстоит привыкать к этой технологии. Я полностью поддерживаю развитие новых способов безопасных платежей, однако необходимо помнить, что первые шаги в технологиях, как правило, оказываются довольно дорогостоящими. Современные системы защиты данных — чип и 3D-Secure — обеспечивают достаточный уровень безопасности при интернет-платежах и в торговых точках. При этом они просты в реализации и относительно экономичны. Что касается стоимости выпуска и обслуживания карт с динамическим CVV или датчиком отпечатка пальца, то она сформирует дополнительные расходы, но в данный момент не окажет значимого влияния на возможные убытки от мошенничества. Отмечу также, что, несмотря на умеренную стоимость карт с чипом и 3D-Secure, рынку в данный момент необходимо время, чтобы окупить внедрение этих технологий. Тем не менее не исключаю, что в будущем такие инновации будут востребованы массовым потребителем. Если риски по действующим технологиям будут увеличиваться, то платежные системы и банки начнут искать более надежные варианты защиты безналичных платежей».

С учетом мнений участников рынка можно сделать вывод, что новые карты, по всей видимости, появятся в России, но массовым продуктом станут очень не скоро. Более того, высокотехнологичные особенности этих карт наиболее перспективны даже не для обеспечения повышенной безопасности и удобства использования, а прежде всего для привлечения клиентов в сегмент премиальных карт. Там их более высокая стоимость не будет иметь определяющего значения. Зато их отличия от более простых и дешевых карт лежат буквально на ладони.

Михаил ДЬЯКОВ, Banki.ru