Украли ключи ЭЦП? Пусть платит банк!

Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссия с разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента — сам клиент, банк или разработчик системы ДБО.

Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привел интересную статью из ГК, согласно которой исполнитель (в нашем случае — банк) услуги (в нашем случае — ДБО) покрывает ущерб потребителю, если последний понес его вследствие недостоверной или недостаточной информации об  услуге (в нашем случае из-за отсутствия информации о возможных случаях несанкционированного перевода средств из-за проблем с ИБ). Статья — 1095 ГК РФ.

Вот теперь и думай — молчать о проблемах ИБ или оповещать о них клиентов. Ведь последние становятся все подкованнее в юридических вопросах…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. andy

    Каждый банк на своем сайте и в договоре инфорирует о необходимости хренения ключей, паролей и т.п. в секрете. Клиент проинформирован.

    Вот если бы у банка слили бы тем или иным образом логины, они бы об этом умолчали, и это было бы доказано — вот тут ссылка на ГК РФ имела бы место.

    Ответить
  2. Алексей Лукацкий

    А у вас ключи и не крадут. У вас уязвимость другая — через нее и лезут. Банк не уведомил клиента. Клиент понес ущерб. Чем не статья? 😉

    Ответить
  3. pushkinist

    а в заголовке поста написано что украли

    Ответить
  4. Анонимный

    не понятно, какая другая уязвимость? если уязвимость условно в ОС, то почему банк должен отвечать? вот если уязвимость в банковском софте — тогда всё как бы тривиально должно быть.

    Ответить
  5. pushkinist

    например такая
    http://dom.bankir.ru/showpost.php?p=2704692&postcount=1

    Ответить
  6. malotavr

    Смотря как банк информирует об услуге.

    Если вот так вот (ничего личного, просто первым в поиске вылез)
    http://www.uralprombank.ru/?id=52

    при вот таком договоре
    http://www.uralprombank.ru/download/dogovor_inet_bank.doc

    то да, есть шанс нарваться на статью 1095 ГК РФ.

    Но большинство банков вменяет клиенту в обязанность защиту нго рабочего места, так что тут ссылка на "меня не проинформировали" не катит.

    Ответить
  7. toxa

    Простите мое невежество, но эти многочисленные треды про токены напоминают принятие таблеток, когда все уже посинело и засохло.
    И потом, почему, внедряя токены, все ограничиваются полумерами вместо того, чтобы сделать все по максимуму? Хотя бы OTP на том же токене для каждой транзакции. Понятно, что теоретически все еще можно подменить платежку "на лету", но количество условий в данном случае резко увеличивается: компьютер не просто должен быть под контролем злоумышленника, токен не просто должен быть воткнут, но пользователь еще должен и работать с системой в данный момент и совершать платеж.

    Ответить
  8. pushkinist

    полумерами это чтоб потом продать "новый улучшенный" продукт, что тут непонятного-то ))

    Ответить
  9. Unknown

    А тем временем приняли поправки Резника… Правда, в первом чтении.
    Мы снова идем в сторону правового вакуума…

    Ответить
  10. rnesterov

    Коллеги,

    У нас в стране и так правовой вакуум, если говорить на чистоту.
    Касательно обсуждаемой ситуации, не потрудитесь прочитать тренд на форуме. Там детально все описано.
    Касательно ситуации, речь идет не сколько об уязвимости АБС, сколько об уязвимости бизнес процесса..

    Ответить