Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным.
Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством которых физическим лицом осуществляется доступ к банковскому счету.
Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.
Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три - изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством которых физическим лицом осуществляется доступ к банковскому счету.
Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.
Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три - изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
- 0.0.0.0 для IPv4
- ::/0 для IPv6.
26 коммент.:
mac адрес может попасть в логи системы ДБО, если его записать на стороне клиента и переслать серверу. Таким же образом можно записать и LAN IP клиента (другой вопрос, что эти данные дадут, если они элементарно меняются, и как помогут защититься от террористов? или есть статистические данные о корреляции между террористической активностью и выбором LAN сети?)
LAN сети у всех одинаковые, для внутреннего пользования их не так много сделано.
Алексей, мне, почему то показалось, что БР хотят именно заставить системы ДБО читать локальные сетевые параметры пользователей.
Меня 3 года назад уже просили знакомые разработать простейшие схемы "как можно спрятаться" после 2-х статей о том что налоговая выявила афилированность лиц по используемым IP, там речь шла о внешнем IP видимом из Интернет. простейшие схемы придуманные тогда будут работать и сегодня.
mac адрес не только может попасть, а он туда успешно и попадает - к примеру BSS для юриков
А у меня одного проект не открывается? Хочу уточнить - речь идет про клиентов-физ.лиц, или организаций (пользователей СДБО)?
По-моему речь идет о том, что надо собирать публичные IP с которых отправлена платежка, а ЦБ будет публиковать черные списки IP.
Так как большая часть системы противодействия отмыванию доходов построена на черных списках (банков, счетов).
PS: проект уже сняли с сайта.
Vlad_gt: речь о физиках
В проекте речь и о физиках, и о юриках
Сергей, если "левая" платежка отправляется со скомпрометированного АРМ через легальную ДБО путем удаленного подключения злоумышленника к этому АРМ, то IP-адрес будет верный, а вот сама платежка будет нехорошей.
Мне кажется, подобный подход с фиксированием адресов не решит проблему с мошенничествами в ДБО, а лишь усилит проблемы по ИТ-сервису.
Проблему с мошенничествами надо решать на прикладном уровне.
На адресации можно очень удачно фильтрануть эвенты... Но это пол-дела...
Айдар: проект не направлен на борьбу с мошенничеством. Он с 115-ФЗ связан.
vlad_gt: Но я-то писал ТОЛЬКО про физиков ;-)
> С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается
MAC-адрес уже давно фиксируется различными системами ДБО, включая BS-Client. Сбор таких адресов производится программой на стороне клиента, о чем в мануале к системе ДБО честно сказано.
> бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы
Вы путаете техническое понятие идентификации с тем, которое используется в законе. Идентификация в контексте обсуждаемого документа это не фильтрация, а сбор сведений ("мероприятия по установлению", ст. 3 ФЗ "О ПОД/ФТ", т. е. ведение логов, говоря техническим языком). Поэтому вся эта шумиха вокруг изменений есть не более чем раздувание из мухи слона.
Мы говорим о физиках вообще-то ;-) У меня никакого BS Client нет - я через обычный браузер работаю. И IP у меня постоянно меняется ;-)
Ну так и будут ставить Вам Java-апплет, который все это дело полностью собирает и передает :-)
На iPhone?
Выхода два:
1. проблемы индейцев шерифа не волнуют;
2. ведение только лога IP-адресов.
Ну т.е. согласимся, что все-таки это проблема ;-) Уже хорошо! Дальше возникает вопрос. А в досье клиента что писать, если у меня IP меняется постоянно?
Так и писать "у клиента IP меняется постоянно"
> Ну т.е. согласимся, что все-таки это проблема ;-)
Проблема частного случая, ведь подобные логи уже давно записываются по инициативе самих производителей.
> А в досье клиента что писать, если у меня IP меняется постоянно?
Кому писать? Вам ничего не надо писать, пусть банк конспектирует все, что будет иметь место ;-)
В тексте есть фраза про ведение досье клиента, которые надо привести к требованиям 262-П в течение 30 дней с его выпуска
Закон не запрещает и прямо разрешает банку собирать сведения из иных законных источников, в т. ч. и из сетевых пакетов.
Еще раз. КАК ЗАРАНЕЕ получить информацию обо всех IP-адресах, с которых я буду пользоваться Интернет-банком?
Алексей - конечно никак!
Чегото мы уже того... Время убиваем и нервы...
Что значит "заранее"? Какой НПА требует это "заранее"? Порядок идентификации физических и юридических лиц подробно описан в Положении ЦБ РФ №262-П (и в ФЗ "О ПОД/ФТ") и допускает сбор некоторых категорий сведений уже во время обслуживания клиента, в т. ч. и пункт 2.8.
Обсуждаемый в посте проект требует занесения IP и MAC в досье клиента в течение 30 дней после принятия поправок в 262-П
Ну и внесут их в течение одного-двух дней на основании данных из системы журналирования. А новых клиентов кошмарить анкетами не будут, просто на основании п. 2.8 262-П получение IP- и MAC-адресов будет организовано во время проведения ими операций.
Я думаю, что ноги этих изменений растут из МВД. МВД любит запрашивать банки об IP адресации анализируемых лиц, а банки любят отвечать на такие запросы, что не обязаны вести такую информацию (т.к. зачастую отмазывают своих клиентов). Вот МВД видимо решила договориться с ЦБ чтобы обязать банки вести эту информацию. Тогда банки уже не отмажутся и обязаны будут предоставлять эту информацию на запросы МВД.
Отправить комментарий