Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссия с разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента — сам клиент, банк или разработчик системы ДБО.
Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привел интересную статью из ГК, согласно которой исполнитель (в нашем случае — банк) услуги (в нашем случае — ДБО) покрывает ущерб потребителю, если последний понес его вследствие недостоверной или недостаточной информации об услуге (в нашем случае из-за отсутствия информации о возможных случаях несанкционированного перевода средств из-за проблем с ИБ). Статья — 1095 ГК РФ.
Вот теперь и думай — молчать о проблемах ИБ или оповещать о них клиентов. Ведь последние становятся все подкованнее в юридических вопросах…
Каждый банк на своем сайте и в договоре инфорирует о необходимости хренения ключей, паролей и т.п. в секрете. Клиент проинформирован.
Вот если бы у банка слили бы тем или иным образом логины, они бы об этом умолчали, и это было бы доказано — вот тут ссылка на ГК РФ имела бы место.
А у вас ключи и не крадут. У вас уязвимость другая — через нее и лезут. Банк не уведомил клиента. Клиент понес ущерб. Чем не статья? 😉
а в заголовке поста написано что украли
не понятно, какая другая уязвимость? если уязвимость условно в ОС, то почему банк должен отвечать? вот если уязвимость в банковском софте — тогда всё как бы тривиально должно быть.
например такая
http://dom.bankir.ru/showpost.php?p=2704692&postcount=1
Смотря как банк информирует об услуге.
Если вот так вот (ничего личного, просто первым в поиске вылез)
http://www.uralprombank.ru/?id=52
при вот таком договоре
http://www.uralprombank.ru/download/dogovor_inet_bank.doc
то да, есть шанс нарваться на статью 1095 ГК РФ.
Но большинство банков вменяет клиенту в обязанность защиту нго рабочего места, так что тут ссылка на "меня не проинформировали" не катит.
Простите мое невежество, но эти многочисленные треды про токены напоминают принятие таблеток, когда все уже посинело и засохло.
И потом, почему, внедряя токены, все ограничиваются полумерами вместо того, чтобы сделать все по максимуму? Хотя бы OTP на том же токене для каждой транзакции. Понятно, что теоретически все еще можно подменить платежку "на лету", но количество условий в данном случае резко увеличивается: компьютер не просто должен быть под контролем злоумышленника, токен не просто должен быть воткнут, но пользователь еще должен и работать с системой в данный момент и совершать платеж.
полумерами это чтоб потом продать "новый улучшенный" продукт, что тут непонятного-то ))
А тем временем приняли поправки Резника… Правда, в первом чтении.
Мы снова идем в сторону правового вакуума…
Коллеги,
У нас в стране и так правовой вакуум, если говорить на чистоту.
Касательно обсуждаемой ситуации, не потрудитесь прочитать тренд на форуме. Там детально все описано.
Касательно ситуации, речь идет не сколько об уязвимости АБС, сколько об уязвимости бизнес процесса..