Об идентификации клиента Интернет-банка по IP и MAC-адресу

Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным.

Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Все указание заключается в единственной поправке — заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством
которых физическим лицом осуществляется доступ к банковскому счету.

Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная — MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.

Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три — изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:

  • 0.0.0.0 для IPv4
  • ::/0 для IPv6.

Это формально позволит выполнить требования Банка России и Росфинмониторинга, но при этом не наложит никаких ограничений на работу клиентов. При этом регистрировать в логах будет именно тот IP-адрес, с которого будет осуществляться в конкретный момент времени. С MAC-адресом, к сожалению, ничего сделать не удастся — надо будет прописывать просто ближайший адрес маршрутизатора ибо просить клиента назвать его — это будет очень 

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Mikhail Sergeev

    mac адрес может попасть в логи системы ДБО, если его записать на стороне клиента и переслать серверу. Таким же образом можно записать и LAN IP клиента (другой вопрос, что эти данные дадут, если они элементарно меняются, и как помогут защититься от террористов? или есть статистические данные о корреляции между террористической активностью и выбором LAN сети?)

    Ответить
  2. Алексей

    LAN сети у всех одинаковые, для внутреннего пользования их не так много сделано.

    Алексей, мне, почему то показалось, что БР хотят именно заставить системы ДБО читать локальные сетевые параметры пользователей.

    Меня 3 года назад уже просили знакомые разработать простейшие схемы "как можно спрятаться" после 2-х статей о том что налоговая выявила афилированность лиц по используемым IP, там речь шла о внешнем IP видимом из Интернет. простейшие схемы придуманные тогда будут работать и сегодня.

    Ответить
  3. vlad_gt

    mac адрес не только может попасть, а он туда успешно и попадает — к примеру BSS для юриков

    Ответить
  4. Юрий

    А у меня одного проект не открывается? Хочу уточнить — речь идет про клиентов-физ.лиц, или организаций (пользователей СДБО)?

    Ответить
  5. Сергей Борисов

    По-моему речь идет о том, что надо собирать публичные IP с которых отправлена платежка, а ЦБ будет публиковать черные списки IP.

    Так как большая часть системы противодействия отмыванию доходов построена на черных списках (банков, счетов).

    PS: проект уже сняли с сайта.

    Ответить
  6. Алексей Лукацкий

    Vlad_gt: речь о физиках

    Ответить
  7. vlad_gt

    В проекте речь и о физиках, и о юриках

    Ответить
  8. Unknown

    Сергей, если "левая" платежка отправляется со скомпрометированного АРМ через легальную ДБО путем удаленного подключения злоумышленника к этому АРМ, то IP-адрес будет верный, а вот сама платежка будет нехорошей.
    Мне кажется, подобный подход с фиксированием адресов не решит проблему с мошенничествами в ДБО, а лишь усилит проблемы по ИТ-сервису.
    Проблему с мошенничествами надо решать на прикладном уровне.

    Ответить
  9. Анонимный

    На адресации можно очень удачно фильтрануть эвенты… Но это пол-дела…

    Ответить
  10. Алексей Лукацкий

    Айдар: проект не направлен на борьбу с мошенничеством. Он с 115-ФЗ связан.

    vlad_gt: Но я-то писал ТОЛЬКО про физиков 😉

    Ответить
  11. Анонимный

    > С MAC-адресом ситуация вообщения забавная — MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается

    MAC-адрес уже давно фиксируется различными системами ДБО, включая BS-Client. Сбор таких адресов производится программой на стороне клиента, о чем в мануале к системе ДБО честно сказано.

    > бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы

    Вы путаете техническое понятие идентификации с тем, которое используется в законе. Идентификация в контексте обсуждаемого документа это не фильтрация, а сбор сведений ("мероприятия по установлению", ст. 3 ФЗ "О ПОД/ФТ", т. е. ведение логов, говоря техническим языком). Поэтому вся эта шумиха вокруг изменений есть не более чем раздувание из мухи слона.

    Ответить
  12. Алексей Лукацкий

    Мы говорим о физиках вообще-то 😉 У меня никакого BS Client нет — я через обычный браузер работаю. И IP у меня постоянно меняется 😉

    Ответить
  13. Анонимный

    Ну так и будут ставить Вам Java-апплет, который все это дело полностью собирает и передает 🙂

    Ответить
  14. Алексей Лукацкий

    На iPhone?

    Ответить
  15. Анонимный

    Выхода два:
    1. проблемы индейцев шерифа не волнуют;
    2. ведение только лога IP-адресов.

    Ответить
  16. Алексей Лукацкий

    Ну т.е. согласимся, что все-таки это проблема 😉 Уже хорошо! Дальше возникает вопрос. А в досье клиента что писать, если у меня IP меняется постоянно?

    Ответить
  17. Анонимный

    Так и писать "у клиента IP меняется постоянно"

    Ответить
  18. Анонимный

    > Ну т.е. согласимся, что все-таки это проблема 😉

    Проблема частного случая, ведь подобные логи уже давно записываются по инициативе самих производителей.

    > А в досье клиента что писать, если у меня IP меняется постоянно?

    Кому писать? Вам ничего не надо писать, пусть банк конспектирует все, что будет иметь место 😉

    Ответить
  19. Алексей Лукацкий

    В тексте есть фраза про ведение досье клиента, которые надо привести к требованиям 262-П в течение 30 дней с его выпуска

    Ответить
  20. Анонимный

    Закон не запрещает и прямо разрешает банку собирать сведения из иных законных источников, в т. ч. и из сетевых пакетов.

    Ответить
  21. Алексей Лукацкий

    Еще раз. КАК ЗАРАНЕЕ получить информацию обо всех IP-адресах, с которых я буду пользоваться Интернет-банком?

    Ответить
  22. Анонимный

    Алексей — конечно никак!
    Чегото мы уже того… Время убиваем и нервы…

    Ответить
  23. Анонимный

    Что значит "заранее"? Какой НПА требует это "заранее"? Порядок идентификации физических и юридических лиц подробно описан в Положении ЦБ РФ №262-П (и в ФЗ "О ПОД/ФТ") и допускает сбор некоторых категорий сведений уже во время обслуживания клиента, в т. ч. и пункт 2.8.

    Ответить
  24. Алексей Лукацкий

    Обсуждаемый в посте проект требует занесения IP и MAC в досье клиента в течение 30 дней после принятия поправок в 262-П

    Ответить
  25. Анонимный

    Ну и внесут их в течение одного-двух дней на основании данных из системы журналирования. А новых клиентов кошмарить анкетами не будут, просто на основании п. 2.8 262-П получение IP- и MAC-адресов будет организовано во время проведения ими операций.

    Ответить
  26. Unknown

    Я думаю, что ноги этих изменений растут из МВД. МВД любит запрашивать банки об IP адресации анализируемых лиц, а банки любят отвечать на такие запросы, что не обязаны вести такую информацию (т.к. зачастую отмазывают своих клиентов). Вот МВД видимо решила договориться с ЦБ чтобы обязать банки вести эту информацию. Тогда банки уже не отмажутся и обязаны будут предоставлять эту информацию на запросы МВД.

    Ответить