Вопросы обеспечения безопасности и надежности функционирования банковских систем на мобильных устройствах решаются отдельно в рамках каждого проекта — пока для этого нет стандартных рекомендаций. Участники обходятся коммерческими программами шифрования, встроенными возможностями протоколов передачи данных. Этими средствами они пытаются решить три глобальные задачи.
Первая — обеспечение конфиденциальности. Большинство технологических решений в этой области полагается на механизм строгой многофакторной взаимной аутентификации. Транзакция в системах “мобильного кошелька” может быть завершена только тогда, когда система убедится, что запрос от абонента подлинный, что он не был изменен в процессе передачи по глобальной сети и что у абонента достаточно средств для осуществления платежа, а банк готов принять платеж с данными параметрами. Обычно для входа в систему используются логин и пароль, а для подтверждения транзакции — одноразовый пароль или ПИН-код, который может и не передаваться по сети: специальный аплет, установленный в мобильном устройстве пользователя (Java-banking или STK-banking) самостоятельно проверяет его правильность по встроенному алгоритму и дает центральной системе ответ, что операция подтверждена клиентом. Информация, используемая аплетом для выполнения шифрования и формирования подписи, расположена в специальном защищенном хранилище на SIM-карте или в карте памяти устройства, что исключает возможность получения данных о ключах пользователя. Загрузка и хранение аплета и ключей выполняются в соответствии со спецификацией Security Domain, и, таким образом, злоумышленнику не удастся выкрасть ключевую информацию путем сканирования памяти устройства во время его функционирования.
Вторая задача — защита данных. Вся информация, пересылаемая при помощи SMS-сообщений (пока это основной транспорт всех подобных систем), шифруется с применением банковского ключа, записанного в безопасное хранилище в мобильном телефоне, и недоступна ни одному человеку, кроме получателя, — в том числе и сотрудникам оператора сотовой связи. Конечно, при наличии определенного ПО такую информацию можно и “расколоть”, но для этого надо заполучить в свое распоряжение SIM-карту со всей информацией, которая на ней присутствует, что само по себе непросто. Также надо учесть, что все сообщения в рамках платежных транзакций содержат цифровую подпись, что обеспечивает аутентификацию отправителя и целостность сообщения.
И наконец, третья задача — защита информации от действий самого абонента. Нередки случаи, когда сотовые телефоны лежат на рабочем месте пользователя без присмотра, и когда их оставляют в самолетах, поездах, на кораблях и в такси, в тренажерных залах и ресторанах. Учитывая это, большинство банковских учреждений не могут допустить, чтобы конфиденциальная информация хранилась в памяти смартфонов или телефонов своих клиентов, а потому весь сеанс работы с системой должен проходить в режиме on-line. Когда пользователь прекращает связь с банком, основная часть информации из его мобильного телефона удаляется. Например, у него будет возможность доступа для просмотра и хранения последних 5 - 10 банковских операций, но никаких идентификационных данных, записанных в памяти пластиковых карт (полный номер, дата прекращения действия), там уже не будет. Для защиты от вирусов предусмотрен запрет на сохранение PIN-кодов в мобильном устройстве — сочетание цифр пользователю придется заучить наизусть.
В любом случае при внедрении такой инновационной услуги всегда существует угроза, что использование многочисленных функций безопасности, которыми наделен телефон, негативно отразится на использовании самой услуги. Если абоненту нужно будет в целях безопасности ввести 10 – 12-значный набор букв или цифр на телефоне, у которого на каждую кнопку приходится по три буквы, и к тому же необходимо заучивать комбинации с системными клавишами или работать с виртуальной клавиатурой, то очень многие абоненты просто перестанут следовать таким догматичным инструкциям, которые предложит им банк. Пользователя устроило бы простое выполнение операций при нажатии двух-трех кнопок.
Определенный слой клиентов банков, для которых интернет и мобильный телефон становятся все более привычными средствами общения с кредитными организациями, уже сформировался. Среди них нет очень старых и очень молодых людей, как правило, это люди от 20 до 50 лет, сформировавшие положительное мнение об удобстве и безопасности мобильной и интернет-связи для операций с финансами.  Клиенты старшего возраста это люди творческих профессий: адвокаты, художники, журналисты, то есть те, кто привык мыслить самостоятельно, а также люди, так или иначе связанные с ИТ-индустрией. Молодые же пользователи - студенты, «живущие» в интернете, в чатах и форумах. Это очень перспективный слой клиентов: хотя большой потребности в банковских услугах они пока не испытывают, так как оплачивают только мобильный телефон и интернет, но в будущем вырастут в профессионалов и станут пользоваться всем спектром банковских продуктов и услуг.

• 2009 Октябрь