04.05.2010

Украли ключи ЭЦП? Пусть платит банк!

Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссия с разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента - сам клиент, банк или разработчик системы ДБО.

Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привел интересную статью из ГК, согласно которой исполнитель (в нашем случае - банк) услуги (в нашем случае - ДБО) покрывает ущерб потребителю, если последний понес его вследствие недостоверной или недостаточной информации об  услуге (в нашем случае из-за отсутствия информации о возможных случаях несанкционированного перевода средств из-за проблем с ИБ). Статья - 1095 ГК РФ.

Вот теперь и думай - молчать о проблемах ИБ или оповещать о них клиентов. Ведь последние становятся все подкованнее в юридических вопросах...

10 коммент.:

andy комментирует...

Каждый банк на своем сайте и в договоре инфорирует о необходимости хренения ключей, паролей и т.п. в секрете. Клиент проинформирован.

Вот если бы у банка слили бы тем или иным образом логины, они бы об этом умолчали, и это было бы доказано - вот тут ссылка на ГК РФ имела бы место.

Алексей Лукацкий комментирует...

А у вас ключи и не крадут. У вас уязвимость другая - через нее и лезут. Банк не уведомил клиента. Клиент понес ущерб. Чем не статья? ;-)

pushkinist комментирует...

а в заголовке поста написано что украли

e1am0 комментирует...

не понятно, какая другая уязвимость? если уязвимость условно в ОС, то почему банк должен отвечать? вот если уязвимость в банковском софте - тогда всё как бы тривиально должно быть.

pushkinist комментирует...

например такая
http://dom.bankir.ru/showpost.php?p=2704692&postcount=1

malotavr комментирует...

Смотря как банк информирует об услуге.

Если вот так вот (ничего личного, просто первым в поиске вылез)
http://www.uralprombank.ru/?id=52

при вот таком договоре
www.uralprombank.ru/download/dogovor_inet_bank.doc

то да, есть шанс нарваться на статью 1095 ГК РФ.

Но большинство банков вменяет клиенту в обязанность защиту нго рабочего места, так что тут ссылка на "меня не проинформировали" не катит.

toxa комментирует...

Простите мое невежество, но эти многочисленные треды про токены напоминают принятие таблеток, когда все уже посинело и засохло.
И потом, почему, внедряя токены, все ограничиваются полумерами вместо того, чтобы сделать все по максимуму? Хотя бы OTP на том же токене для каждой транзакции. Понятно, что теоретически все еще можно подменить платежку "на лету", но количество условий в данном случае резко увеличивается: компьютер не просто должен быть под контролем злоумышленника, токен не просто должен быть воткнут, но пользователь еще должен и работать с системой в данный момент и совершать платеж.

pushkinist комментирует...

полумерами это чтоб потом продать "новый улучшенный" продукт, что тут непонятного-то ))

Yuriy комментирует...

А тем временем приняли поправки Резника... Правда, в первом чтении.
Мы снова идем в сторону правового вакуума...

rnesterov комментирует...

Коллеги,

У нас в стране и так правовой вакуум, если говорить на чистоту.
Касательно обсуждаемой ситуации, не потрудитесь прочитать тренд на форуме. Там детально все описано.
Касательно ситуации, речь идет не сколько об уязвимости АБС, сколько об уязвимости бизнес процесса..