Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Все указание заключается в единственной поправке — заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством
которых физическим лицом осуществляется доступ к банковскому счету.
Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная — MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.
Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три — изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
- 0.0.0.0 для IPv4
- ::/0 для IPv6.
Это формально позволит выполнить требования Банка России и Росфинмониторинга, но при этом не наложит никаких ограничений на работу клиентов. При этом регистрировать в логах будет именно тот IP-адрес, с которого будет осуществляться в конкретный момент времени. С MAC-адресом, к сожалению, ничего сделать не удастся — надо будет прописывать просто ближайший адрес маршрутизатора ибо просить клиента назвать его — это будет очень
mac адрес может попасть в логи системы ДБО, если его записать на стороне клиента и переслать серверу. Таким же образом можно записать и LAN IP клиента (другой вопрос, что эти данные дадут, если они элементарно меняются, и как помогут защититься от террористов? или есть статистические данные о корреляции между террористической активностью и выбором LAN сети?)
LAN сети у всех одинаковые, для внутреннего пользования их не так много сделано.
Алексей, мне, почему то показалось, что БР хотят именно заставить системы ДБО читать локальные сетевые параметры пользователей.
Меня 3 года назад уже просили знакомые разработать простейшие схемы "как можно спрятаться" после 2-х статей о том что налоговая выявила афилированность лиц по используемым IP, там речь шла о внешнем IP видимом из Интернет. простейшие схемы придуманные тогда будут работать и сегодня.
mac адрес не только может попасть, а он туда успешно и попадает — к примеру BSS для юриков
А у меня одного проект не открывается? Хочу уточнить — речь идет про клиентов-физ.лиц, или организаций (пользователей СДБО)?
По-моему речь идет о том, что надо собирать публичные IP с которых отправлена платежка, а ЦБ будет публиковать черные списки IP.
Так как большая часть системы противодействия отмыванию доходов построена на черных списках (банков, счетов).
PS: проект уже сняли с сайта.
Vlad_gt: речь о физиках
В проекте речь и о физиках, и о юриках
Сергей, если "левая" платежка отправляется со скомпрометированного АРМ через легальную ДБО путем удаленного подключения злоумышленника к этому АРМ, то IP-адрес будет верный, а вот сама платежка будет нехорошей.
Мне кажется, подобный подход с фиксированием адресов не решит проблему с мошенничествами в ДБО, а лишь усилит проблемы по ИТ-сервису.
Проблему с мошенничествами надо решать на прикладном уровне.
На адресации можно очень удачно фильтрануть эвенты… Но это пол-дела…
Айдар: проект не направлен на борьбу с мошенничеством. Он с 115-ФЗ связан.
vlad_gt: Но я-то писал ТОЛЬКО про физиков 😉
> С MAC-адресом ситуация вообщения забавная — MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается
MAC-адрес уже давно фиксируется различными системами ДБО, включая BS-Client. Сбор таких адресов производится программой на стороне клиента, о чем в мануале к системе ДБО честно сказано.
> бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы
Вы путаете техническое понятие идентификации с тем, которое используется в законе. Идентификация в контексте обсуждаемого документа это не фильтрация, а сбор сведений ("мероприятия по установлению", ст. 3 ФЗ "О ПОД/ФТ", т. е. ведение логов, говоря техническим языком). Поэтому вся эта шумиха вокруг изменений есть не более чем раздувание из мухи слона.
Мы говорим о физиках вообще-то 😉 У меня никакого BS Client нет — я через обычный браузер работаю. И IP у меня постоянно меняется 😉
Ну так и будут ставить Вам Java-апплет, который все это дело полностью собирает и передает 🙂
На iPhone?
Выхода два:
1. проблемы индейцев шерифа не волнуют;
2. ведение только лога IP-адресов.
Ну т.е. согласимся, что все-таки это проблема 😉 Уже хорошо! Дальше возникает вопрос. А в досье клиента что писать, если у меня IP меняется постоянно?
Так и писать "у клиента IP меняется постоянно"
> Ну т.е. согласимся, что все-таки это проблема 😉
Проблема частного случая, ведь подобные логи уже давно записываются по инициативе самих производителей.
> А в досье клиента что писать, если у меня IP меняется постоянно?
Кому писать? Вам ничего не надо писать, пусть банк конспектирует все, что будет иметь место 😉
В тексте есть фраза про ведение досье клиента, которые надо привести к требованиям 262-П в течение 30 дней с его выпуска
Закон не запрещает и прямо разрешает банку собирать сведения из иных законных источников, в т. ч. и из сетевых пакетов.
Еще раз. КАК ЗАРАНЕЕ получить информацию обо всех IP-адресах, с которых я буду пользоваться Интернет-банком?
Алексей — конечно никак!
Чегото мы уже того… Время убиваем и нервы…
Что значит "заранее"? Какой НПА требует это "заранее"? Порядок идентификации физических и юридических лиц подробно описан в Положении ЦБ РФ №262-П (и в ФЗ "О ПОД/ФТ") и допускает сбор некоторых категорий сведений уже во время обслуживания клиента, в т. ч. и пункт 2.8.
Обсуждаемый в посте проект требует занесения IP и MAC в досье клиента в течение 30 дней после принятия поправок в 262-П
Ну и внесут их в течение одного-двух дней на основании данных из системы журналирования. А новых клиентов кошмарить анкетами не будут, просто на основании п. 2.8 262-П получение IP- и MAC-адресов будет организовано во время проведения ими операций.
Я думаю, что ноги этих изменений растут из МВД. МВД любит запрашивать банки об IP адресации анализируемых лиц, а банки любят отвечать на такие запросы, что не обязаны вести такую информацию (т.к. зачастую отмазывают своих клиентов). Вот МВД видимо решила договориться с ЦБ чтобы обязать банки вести эту информацию. Тогда банки уже не отмажутся и обязаны будут предоставлять эту информацию на запросы МВД.