Клик - и готово

Пилотный проект “Обмен информацией о текущих счетах клиента”, запущенный в ноябре прошлого года, признан успешным и будет масштабирован на всю страну. Но насколько безопасен открытый банкинг?

Игры в песочнице

На сегодняшний день порядка 100 стран либо уже внедрили Open banking, либо он находится на различных стадиях инициации или внедрения. А объем операций в мире в рамках такого открытого банкинга оценивается в 57 млрд долларов. Ожидается, что к 2027 году этот объем вырастет до 330 млрд долларов, а количество операций увеличится с 102 млрд до 508 млрд.

Суть Open banking в том, что он позволяет банкам предоставлять доступ к данным своих клиентов третьим сторонам с условием согласия самих клиентов, в результате повышаются скорость обслуживания и сам банковский сервис.

В Казахстане в ходе пилотного проекта банки-участники были подключены к платформе Open API (протокол обмена информацией), что позволило им подключиться к протоколам других банков-участников. Таким образом, участники проекта (128 клиентов банков второго уровня) получили возможность через мобильное приложение своего основного банка (условно назовем его так) просматривать информацию о своих счетах в других банках-участниках, а также управлять своими согласиями на предоставление данных. Проще говоря, если у вас, к примеру, зарплата поступает на счет или карту Halyk Bank, вы можете через приложение Homebank управлять всеми своими счетами не только в этом банке, но и в других БВУ. То есть вам уже не нужно устанавливать приложение каждого “вашего” банка, достаточно только одного.

В результате создается, как говорят специалисты, технологическая песочница Open API, то есть платформа, предоставляющая участникам рынка доступ к открытым программным интерфейсам, благодаря которой участники смогут тестировать и совершенствовать свои идеи, способствуя созданию новаторских решений в сфере финансовых технологий.

На златом крыльце сидели...

В тестировании пилотного проекта приняли участие пять БВУ - Bank RBK, Altyn Bank, Home Credit Bank, Банк ЦентрКредит (БЦК) и Отбасы банк. Любопытно, что в списке отсутствуют крупнейшие игроки банковского сектора - Halyk Bank и Kaspi. Причем второй из них, как всем известно, является и лидером в сфере цифровых продуктов. Поэтому его неучастие в пилотном проекте нам показалось несколько странным, вызывающим сомнения в надежности тестируемой системы.

Однако в Kaspi развеяли наши опасения.

“Первый пилотный проект предполагал только обмен информацией по текущим счетам клиента в разных банках. Но наш анализ рынка показал, что у клиентов есть потребность не только видеть информацию по своим счетам в разных банках, но и осуществлять платежи и переводы. И поскольку предлагаемые нами услуги всегда исходят из потребности наших клиентов, было решено подключиться к Open API и Open banking на следующих этапах реализации проекта.

Считаем, что развитие Open API и Open banking в стране предоставит новые возможности для клиентов. Также ожидаем, что развитие Open API поспособствует появлению на рынке новых банковских продуктов и услуг в связи с развитием здоровой конкуренции на финансовом рынке, что, на наш взгляд, также может положительно сказаться на клиентском опыте”, - сообщили в Kaspi в ответ на наш запрос.

Почему другие банки (в Казах­стане работает 21 БВУ) не приняли участие в пилотном проекте, выяснить не удалось. Один из разработчиков - Агентство по регулированию и развитию финансового рынка (АРРФР) - нашу просьбу рассказать подробнее о пилоте проигнорировал.

О безопасности...

Цифровизация банковских услуг в Казахстане находится на достаточно высоком уровне и справедливо вызывает зависть у граждан других стран. Однако высок и уровень мошенничества в банковском секторе. Соответственно, получение доступа к персональным счетам БВУ через приложение одного из банков вызывает вопросы. К примеру, насколько безопасен протокол подключения Open API и насколько он устойчив к взломам? Или такой вопрос: если мошенник получит доступ к банковскому приложению, к которому через Open API подключены счета в других банках, сможет ли он их обчистить?

Согласно полученным результатам пилота, главными сложностями были обеспечение стабильности сетевых соединений и достаточно длительное время обработки запросов. Но эти проблемы были устранены.

А что касается вопросов безопасности, то, как следует из итогового отчета, доступ к данным клиента осуществляется с использованием двухфакторной аутентификации личности, включающей в себя биометрическую верификацию и SMS-проверку по одноразовому коду, и, как я уже отметил выше, исключительно с его согласия.

- С помощью Open API банк дает возможность клиенту получить доступ к его данным в других БВУ, но при этом сам банк к этой информации доступа не имеет, поскольку закон о банковской тайне никто не отменял и никакой банк не заинтересован в разглашении данных своих клиентов, - разъяс­нил “Времени” тонкости технологии президент Интернет-ассоциации Казахстана Шавкат САБИРОВ. 

- Что касается самого проекта, то он создан для удобства. Сейчас, к примеру, чтобы оплатить что-то в Каспи банке, вам приходится открывать приложение другого банка, где у вас есть деньги, чтобы перевести их на счет в Каспи, затем открыть приложение Каспи банка и уже потом оплатить покупку. А с помощью Open API вы можете выполнить все эти операции из одного приложения.

Сабиров уверен, что за безопас­ность можно не переживать, поскольку Open API, вероятнее всего, будет размещен на серверах центра межбанковских расчетов Национального банка.

- Open API дает разрешение не на полный доступ, а только на какие-то конкретные операции, одобренные клиентом, - говорит Сабиров. - Если клиент разрешил приложению на своем мобильном телефоне, гаджете только лишь просмотр своих счетов в других БВУ, то, к примеру, получить кредит в другом банке или осуществить перевод с этих счетов через это приложение будет невозможно.

...и не только

Следовательно, возможности взлома извне практически нет, но есть риск, что пользователь сам ненароком предоставит доступ мошенникам.

- Это реальная проблема, - согласен Сабиров, - потому что наши граждане скачивают и устанавливают приложения, не разбираясь, какие права дают этим приложениям. А ведь там зачастую не только запросы на доступ к видеофотокамере или микрофону, но и к паролям! Вспомните тот же “Ашык” времен ковида - он просил доступ ко всему, что есть в телефоне.

Кроме того, есть риск того, что верифицированное мобильное устройство, тот же телефон, может быть утеряно или украдено.

- Если, к примеру, мошенники получат доступ к вашему кабинету в Халык Банке, это не означает, что они получат и доступ ко всем подключенным счетам. Но если у них окажется ваше верифицированное устройство, то - да, означает, - пояснил “Времени” независимый эксперт в области кибербезопасности, IT и коммуникаций Евгений ПИТОЛИН.

Но это, судя по его словам, пожалуй, единственный большой риск. В любом случае нужно следить за своими жизненно важными вещами, беречь и стеречь их.

- Если говорить про информационную безопасность в рамках проекта, то при разработке платформы были применены все основные принципы безопасной разработки, что лично я считаю максимально важным в страновом масштабе: сканирование на наличие уязвимостей исходного кода, проверка на закладки программной и аппаратной инфраструктуры, тестирование на проникновение исследователями безопасности, а также комплекс­ное тестирование функциональности, включая нагрузочное и стресс-тестирование, - сообщил Питолин. - Эти меры позволяют предположить, что текущий подход к интернет-банкингу в рамках концепции Open banking дает защиту платформенного масштаба на уровне лучших мировых прак­тик, в том числе комплексное сквозное логирование (полный контроль и учет действий любых сотрудников в системах), сетевая защита (противодействие атакам через каналы телекоммуникаций), использование систем обнаружения вторжений (защита от сложных кибератак на серверы и рабочие места сотрудников).

В то же время, обращает внимание эксперт, не стоит забывать, что любые сформированные на момент разработки проекта модели угроз и модели нарушителя будут очень быстро устаревать:

- Поэтому необходим постоянный контроль и обновлений прак­тик со стороны управляющей команды. Кроме того, нельзя снимать со счетов вопросы обеспечения стабильности сетевых соединений, отсутствие которого может приводить к непредсказуемому поведению сервисов, то есть я рекомендовал бы особо уделять внимание аспектам сетевой инфраструктуры. И, учитывая, что сценарии развития открытого банкинга ждут активного масштабирования, важно продолжать работу над созданием и внедрением совместной защищенной платформы, предоставляющей участникам рынка доступ к открытым программным интерфейсам.

А ТЕМ ВРЕМЕНЕМ

Уже и надеяться забыли...

Оплачивать товары или услуги с помощью QR-кода “своего” банка через терминалы приема платежей других банков казахстанцы смогут уже к концу нынешнего года, обещает Национальный банк.

Напомним, возможность оплаты по QR-коду сегодня предоставляют в нескольких казахстанских банках. Однако воспользоваться QR-кодом одного банка через POS-терминал другого банка пока что не представляется возможным.

“Запуск сервиса межбанковских платежей по QR-коду запланирован в конце 2024 года. После внедрения новой системы у граждан появится возможность QR-оплаты с приложения одного банка через приложение/устройство другого банка”, - сообщили информагентству Tengrinews в Нацбанке.

К слову, еще в 2021 году Министерство торговли и интеграции заявило, что приступило к работе по стандартизации QR-кодов с тем, чтобы казахстанцы могли оплачивать покупки через терминалы, которые будут работать со всеми казахстанскими банками.

- Неважно, чей ты клиент - Halyk Bank, Kaspi, Jusan. Есть QR - любой банк должен читать друг друга. Не надо иметь 10 POS-терминалов, не надо бизнесу платить за каждый терминал, пусть будет один терминал, который может работать со всеми участниками рынка. К этому мы должны стремиться, - заявляла по этому поводу вице-министр торговли и интеграции Асель Жанасова в сентябре 2022 года, выражая надежду, что казахстанские банки наладят свои платежные системы в самое ближайшее время.

Однако ни в 2022-м, ни в 2023 году осуществить это не удалось. Посмотрим, как получится на этот раз.

Руслан БАХТИГАРЕЕВ, Алматы