Pages - Menu

Страницы

17.10.12

Об идентификации клиента Интернет-банка по IP и MAC-адресу

Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным.

Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством которых физическим лицом осуществляется доступ к банковскому счету.

Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.

Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три - изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
  • 0.0.0.0 для IPv4
  • ::/0 для IPv6.
Это формально позволит выполнить требования Банка России и Росфинмониторинга, но при этом не наложит никаких ограничений на работу клиентов. При этом регистрировать в логах будет именно тот IP-адрес, с которого будет осуществляться в конкретный момент времени. С MAC-адресом, к сожалению, ничего сделать не удастся - надо будет прописывать просто ближайший адрес маршрутизатора ибо просить клиента назвать его - это будет очень 

26 комментариев:

  1. mac адрес может попасть в логи системы ДБО, если его записать на стороне клиента и переслать серверу. Таким же образом можно записать и LAN IP клиента (другой вопрос, что эти данные дадут, если они элементарно меняются, и как помогут защититься от террористов? или есть статистические данные о корреляции между террористической активностью и выбором LAN сети?)

    ОтветитьУдалить
  2. LAN сети у всех одинаковые, для внутреннего пользования их не так много сделано.

    Алексей, мне, почему то показалось, что БР хотят именно заставить системы ДБО читать локальные сетевые параметры пользователей.

    Меня 3 года назад уже просили знакомые разработать простейшие схемы "как можно спрятаться" после 2-х статей о том что налоговая выявила афилированность лиц по используемым IP, там речь шла о внешнем IP видимом из Интернет. простейшие схемы придуманные тогда будут работать и сегодня.

    ОтветитьУдалить
  3. mac адрес не только может попасть, а он туда успешно и попадает - к примеру BSS для юриков

    ОтветитьУдалить
  4. А у меня одного проект не открывается? Хочу уточнить - речь идет про клиентов-физ.лиц, или организаций (пользователей СДБО)?

    ОтветитьУдалить
  5. По-моему речь идет о том, что надо собирать публичные IP с которых отправлена платежка, а ЦБ будет публиковать черные списки IP.

    Так как большая часть системы противодействия отмыванию доходов построена на черных списках (банков, счетов).

    PS: проект уже сняли с сайта.

    ОтветитьУдалить
  6. В проекте речь и о физиках, и о юриках

    ОтветитьУдалить
  7. Сергей, если "левая" платежка отправляется со скомпрометированного АРМ через легальную ДБО путем удаленного подключения злоумышленника к этому АРМ, то IP-адрес будет верный, а вот сама платежка будет нехорошей.
    Мне кажется, подобный подход с фиксированием адресов не решит проблему с мошенничествами в ДБО, а лишь усилит проблемы по ИТ-сервису.
    Проблему с мошенничествами надо решать на прикладном уровне.

    ОтветитьУдалить
  8. На адресации можно очень удачно фильтрануть эвенты... Но это пол-дела...

    ОтветитьУдалить
  9. Айдар: проект не направлен на борьбу с мошенничеством. Он с 115-ФЗ связан.

    vlad_gt: Но я-то писал ТОЛЬКО про физиков ;-)

    ОтветитьУдалить
  10. > С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается

    MAC-адрес уже давно фиксируется различными системами ДБО, включая BS-Client. Сбор таких адресов производится программой на стороне клиента, о чем в мануале к системе ДБО честно сказано.

    > бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы

    Вы путаете техническое понятие идентификации с тем, которое используется в законе. Идентификация в контексте обсуждаемого документа это не фильтрация, а сбор сведений ("мероприятия по установлению", ст. 3 ФЗ "О ПОД/ФТ", т. е. ведение логов, говоря техническим языком). Поэтому вся эта шумиха вокруг изменений есть не более чем раздувание из мухи слона.

    ОтветитьУдалить
  11. Мы говорим о физиках вообще-то ;-) У меня никакого BS Client нет - я через обычный браузер работаю. И IP у меня постоянно меняется ;-)

    ОтветитьУдалить
  12. Ну так и будут ставить Вам Java-апплет, который все это дело полностью собирает и передает :-)

    ОтветитьУдалить
  13. Выхода два:
    1. проблемы индейцев шерифа не волнуют;
    2. ведение только лога IP-адресов.

    ОтветитьУдалить
  14. Ну т.е. согласимся, что все-таки это проблема ;-) Уже хорошо! Дальше возникает вопрос. А в досье клиента что писать, если у меня IP меняется постоянно?

    ОтветитьУдалить
  15. Так и писать "у клиента IP меняется постоянно"

    ОтветитьУдалить
  16. > Ну т.е. согласимся, что все-таки это проблема ;-)

    Проблема частного случая, ведь подобные логи уже давно записываются по инициативе самих производителей.

    > А в досье клиента что писать, если у меня IP меняется постоянно?

    Кому писать? Вам ничего не надо писать, пусть банк конспектирует все, что будет иметь место ;-)

    ОтветитьУдалить
  17. В тексте есть фраза про ведение досье клиента, которые надо привести к требованиям 262-П в течение 30 дней с его выпуска

    ОтветитьУдалить
  18. Закон не запрещает и прямо разрешает банку собирать сведения из иных законных источников, в т. ч. и из сетевых пакетов.

    ОтветитьУдалить
  19. Еще раз. КАК ЗАРАНЕЕ получить информацию обо всех IP-адресах, с которых я буду пользоваться Интернет-банком?

    ОтветитьУдалить
  20. Алексей - конечно никак!
    Чегото мы уже того... Время убиваем и нервы...

    ОтветитьУдалить
  21. Что значит "заранее"? Какой НПА требует это "заранее"? Порядок идентификации физических и юридических лиц подробно описан в Положении ЦБ РФ №262-П (и в ФЗ "О ПОД/ФТ") и допускает сбор некоторых категорий сведений уже во время обслуживания клиента, в т. ч. и пункт 2.8.

    ОтветитьУдалить
  22. Обсуждаемый в посте проект требует занесения IP и MAC в досье клиента в течение 30 дней после принятия поправок в 262-П

    ОтветитьУдалить
  23. Ну и внесут их в течение одного-двух дней на основании данных из системы журналирования. А новых клиентов кошмарить анкетами не будут, просто на основании п. 2.8 262-П получение IP- и MAC-адресов будет организовано во время проведения ими операций.

    ОтветитьУдалить
  24. Я думаю, что ноги этих изменений растут из МВД. МВД любит запрашивать банки об IP адресации анализируемых лиц, а банки любят отвечать на такие запросы, что не обязаны вести такую информацию (т.к. зачастую отмазывают своих клиентов). Вот МВД видимо решила договориться с ЦБ чтобы обязать банки вести эту информацию. Тогда банки уже не отмажутся и обязаны будут предоставлять эту информацию на запросы МВД.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.