Последний год второго тысячелетия ознаменовался всплеском интереса деловых кругов общества к системам Интернет-банкинга. В целом идея дистанционного банковского обслуживания пришлась по вкусу всем: банкирам новые системы существенно облегчили работу с удаленными клиентами, а клиентам обеспечили дешевизну и удобство предлагаемого сервиса. Не оспаривая преимуществ нового способа оказания банковских услуг, рассмотрим ряд связанных с ним проблем. (В дальнейшем для краткости будем называть программу для дистанционного обслуживания клиентов банка через Интернет системой Интернет-клиент.)
Наверняка вам знаком лозунг, под которым идет продвижение Интернет-банкинга, - “Доступ к своему банковскому счету в любое время дня и из любой точки земного шара!”. Можно ли обещать такой сервис сегодня или в ближайшем будущем? Каково реальное состояние дел, если рассматривать лишь техническую сторону вопроса, не касаясь сопутствующих юридических тонкостей.
Возможности декларированные и реальные
Одно дело - заявить, а совсем иное - обеспечить на практике возможность управления счетом из любой точки мира. За ажиотажем, возникшим в сфере электронных услуг, за оптимизмом прессы и разработчиков, за дискуссиями о степени “толщины” Интернет-клиента, безопасности информации и открытости технологий все об этом подзабыли. Редко задумываются и о том, что принцип “в любое время и из любой точки” надо рассматривать отдельно для банка и для клиента. Кредитному учреждению важно обслуживать множество клиентов, распределенных географически, а клиентам - свободно перемещаться, сохраняя постоянную связь с банком. Если система банковского обслуживания через Интернет такие возможности клиенту не обеспечивает, то она представляет собой не что иное, как облегченную версию обычного, так называемого “толстого” или традиционного приложения “клиент - банк”, и, конечно, очень далека от воплощения заявленного принципа.
Что же нужно клиенту, имеющему счет в российском банке, для полноценного обслуживания через Интернет?
Во-первых, ему необходим компьютер (хотя бы карманный) и средства связи (модем, телефонная линия, ЛВС, мобильный телефон) для доступа в Сеть. Во-вторых, потребуется специальное программное обеспечение: Интернет-браузер и средства для защиты информации и электронной цифровой подписи (ЭЦП). Все это вполне доступно, если связываться с банком из привычного, хорошо оборудованного места, например из дома или с работы. Но представим, что вам пришлось отправиться в другую точку планеты. Пусть даже не в глухую российскую глубинку, где телефоны-то могут быть редкостью, а в благополучную европейскую страну, где компьютеров чуть больше, чем линий связи. Вариант путешествия с ноутбуком или карманным ПК не всегда удобен, да и компьютер с подключением к Интернету (Интернет-кафе или инфокиоск) наверняка найдется в любом мало-мальски цивилизованном населенном пункте. С наличием браузера проблем тоже не должно возникнуть. Но будет ли работать Интернет-клиент вашего банка на произвольной аппаратно-программной платформе?
Вопрос первый: каких программ не хватает?
Для функционирования подавляющего большинства Интернет-клиентов одного языка HTML мало - они используют либо Active Content, либо внешние загружаемые компоненты в виде Java-аплетов или элементов управления ActiveX. При рассмотрении таких решений с точки зрения их универсальности выясняется следующее:
- программный код на VBScript не работает с Netscape Communicator. Зная это, многие разработчики используют JavaScript. С ним не то чтобы совсем нет проблем, просто они несколько глубже и незаметней;
- язык Java, являясь по сути интерпретируемым, требует для своей работы Java Virtual Machine. Для Microsoft Internet Explorer вплоть до версии 5.5 это всего лишь дополнительный компонент, который при выборе типичного состава инсталлируемых объектов даже не устанавливается на компьютер. Версия Internet Explorer 6.0 вообще не поддерживает языка Java: Microsoft в принципе отказалась от его поддержки. Наконец, широко распространенная Microsoft Virtual Machine тоже не идеальна: иной раз проблем с ее использованием не меньше, чем с самой операционной системой. И все же Java-решение по переносимости стоит на втором месте после выхолощенного HTML.
Трудности, связанные с наличием ActiveX-компонентов, сродни проблемам использования языка VBScript. Кроме того, для них характерно возникновение ряда весьма специфических “несчастий” при регистрации объектов операционной системой.
Вопрос второй: можно ли их загрузить?
Обнаружив, что на машине отсутствуют необходимые для работы программы, вы захотите как можно быстрее установить их, благо Сеть предоставляет такие возможности. Вводите адрес, нажимаете на кнопку “Download”... Стоп! Компьютер-то чужой. И вполне вероятно, что установленный на нем профиль безопасности вообще не позволяет что-либо инсталлировать, ведь рассчитывать на равнодушие местного администратора к обеспечению информационной безопасности вверенных ему систем не стоит.
Не менее чем в пятидесяти случаях из ста вам не удастся установить требуемое для Интернет-клиента ПО на общедоступном компьютере.
И наконец - как обеспечить защиту и электронно-цифровую подпись?
Аналогичная проблема возникает и при использовании внешних (т. е. не встроенных в ОС) средств защиты информации и ЭЦП.
По законам Российской Федерации все шифровальные средства должны соответствовать определенным ГОСТам. Однако большинство операционных систем и прочего системного ПО не имеет модулей, поддерживающих разрешенные в нашем Отечестве алгоритмы: кого за рубежом интересует соответствие программ нашим ГОСТам!
И это еще не все! Большинство систем шифрования и средств ЭЦП предполагают наличие секретного ключа для идентификации личности клиента. Ключ часто находится на носителе, для чтения которого требуется специальное устройство (чем “экзотичнее” носитель, тем меньше вероятность найти соответствующим образом оборудованный компьютер), да и нет никакой уверенности, что вам позволят работать с ним. Наконец, ряд клиентов использует в качестве носителя ключа системное хранилище самой операционной системы (разработчики подобных программ зачастую гордятся тем, что их детище не обращается напрямую к системным ресурсам компьютера и, следовательно, абсолютно безопасно). Однако вариант с записью секретного ключа доступа к вашему банковскому счету в хранилище чужого компьютера (пусть и с последующим удалением) кажется, мягко говоря, неприемлемым.
Каковы же выводы?
Следует отметить, что это весьма неполный перечень проблем, которые могут подстерегать клиентов банка, замысливших получить доступ к своему счету с любого компьютера в любой точке Земли. Иными словами, обычной будет ситуация, когда они обнаружат, что Интернет-клиент банка не работает на обычном, не подготовленном для этого специально компьютере.
Для большинства пользователей трудностей такого способа управлять своими деньгами окажется слишком много, а так как популярность любого сервиса зависит от легкости его использования, то многие скорее всего откажутся от подобного эксперимента.
Может показаться, что задача сочетания легкости и безопасности работы через Интернет относится к разряду неразрешимых. Однако мы рассмотрели лишь технический аспект реализации Интернет-клиента. Жизнь же показывает: если проблема технически трудноразрешима, то, возможно, с ней удастся справиться с помощью иных методов, например организационного характера. Вспомним опыт карточных систем, или приведем еще более наглядный пример - систему “Телебанк”, применяемую в ГУТА-Банке. Уже несколько лет благодаря ей по всему миру осуществляются платежи посредством обычного телефона, но при условии соблюдения некоторых организационных правил. Наконец, внимания заслуживает и привычный HTML-клиент с защитой трафика средствами протокола SSL (для этого рекомендуется применение 128-битной криптографии) и с аутентификацией банковской стороны по сертификату сервера, а клиента - по PIN-коду, алгоритм выработки которого может быть весьма сложным. Эти и другие методы использует созданная в компании R-Style Softlab (www.softlab.ru) система комплексной реализации электронных банковских услуг InterBank, ее функциональные возможности шире, чем у обычных приложений, предназначенных для удаленного обслуживания клиентов через Интернет. Отечественные системы Интернет-банкинга поставляют также компании “СтепАп”, BSS, РФК, “Бифит”, “Диасофт” и многие другие.
Отметим, что “привязка” Интернет-клиента к фиксированному компьютеру - это не беда Интернет-банкинга в целом, а всего лишь недостаток отдельных систем такого класса, технологические особенности которых сужают свободу перемещения клиента. Это свидетельствует о том, что отечественный Интернет-банкинг пока еще слаб как в технической части, так и в построении инфраструктуры, не проработана и юридическая поддержка. Без решения глобальных проблем стандартизации программных средств доступа в Интернет, разработки требований к аппаратной части Интернет-терминалов и т. д. состояние этой области не может существенно измениться.
Заключение
Что же касается автора этой статьи, то, собираясь в дорогу, он предпочитает брать с собой не ноутбук, а пластиковую карту. Ведь именно ей мы обязаны развитием электронного банкинга, частным проявлением которого является и Интернет-банкинг.
Расширить спектр изложенных проблем заинтересованный читатель сможет, поразмыслив над рядом юридических вопросов, предлагаемых и для самостоятельного исследования. Итак, у вас есть счет в банке и собственный ноутбук, на котором установлена российская система криптозащиты и ЭЦП. Какие из законов Российской Федерации вы нарушите, отправившись отдыхать, например, в Испанию и захватив с собой компьютер, дабы вовремя читать почту и контролировать счет в банке. Подумайте также, с кем и в какой стране вы будете судиться за компенсацию своих потерь, если в период пребывания за границей ваша система защиты была взломана и ваш счет опустел?
С автором статьи можно связаться по телефону: (095) 796-9310.
