Участники рынка предупреждают о новых расходах на рассылки и уведомления.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Минцифры предлагает вернуть в третий пакет антифрод-мер норму о подтверждении значимых действий в интернете через смс-сообщения или мессенджер «Макс», узнал Forbes. Источники издания в IT- и телеком-отраслях говорят, что похожая мера уже обсуждалась при подготовке второго пакета мер против кибермошенничества, но в финальный вариант законопроекта не вошла. В Минцифры заявили, что подобная инициатива сейчас не рассматривается.
По данным Forbes, ведомство предлагает закрепить на уровне федерального закона обязательное подтверждение «значимых действий» в интернете через смс-сообщения или «Макс». Один из собеседников издания напомнил, что при подготовке второго антифрод-пакета государство отказалось от нормы и сохранило за гражданами возможность выбирать подходящий способ подтверждения с учетом технических возможностей, личных предпочтений и уровня безопасности конкретной операции.
Возврат к ограниченному набору способов подтверждения, по словам собеседника Forbes в IT-индустрии, может ослабить защиту вместо усиления. Российские сервисы используют собственные системы аутентификации, включая push-уведомления, внутренние уведомления в приложениях, анализ рисков и дополнительные проверки подозрительной активности. При таком подходе антифрод-система сама определяет нужный уровень подтверждения по совокупности факторов.
Отдельные вопросы вызывает формулировка «значимые действия». Источник Forbes на IT-рынке отметил, что под такое определение можно подвести широкий круг операций, а конкретный перечень пока неясен. При принятии инициативы банки и онлайн-платформы понесут дополнительные расходы на смс-сообщения и уведомления через «Макс». Собеседник издания также назвал такие способы подтверждения не самыми надежными и заявил, что против похожей нормы во втором пакете выступал почти весь бизнес, кроме VK, чья дочерняя структура разрабатывает «Макс», и операторов связи.
В Минцифры сообщили Forbes, что мера о подтверждении действий через смс-сообщения или «Макс» не рассматривается. Ведомство уточнило, что третий пакет мер по борьбе с кибермошенничеством сейчас согласовывается с заинтересованными ведомствами и отраслью, а инициативы разрабатываются с учетом баланса безопасности и прав пользователей.
Во втором пакете антифрод-мер, принятом в первом чтении, уже были поправки к закону «Об информации» о подтверждении юридически значимых действий через «Макс» и смс-сообщение. Из-за формулировки у СМИ и экспертов возникли разночтения: требовалось ли использовать оба канала одновременно или достаточно одного. Перечень юридически значимых действий законопроект не раскрывал, правительство должно было определить список отдельно. Ко второму чтению поправку убрали, а 9 июня Госдума приняла «Антифрод 2.0» сразу во втором и третьем чтениях.
Третий пакет мер против телефонных и интернет-мошенников власти анонсировали еще в апреле. В конце мая замглавы Минцифры Иван Лебедев говорил, что ведомство обсуждает новые меры с правоохранительными органами, банками и операторами связи.
Бизнес также критикует ограничение способов подтверждения. В Ассоциации компаний интернет-торговли считают, что даже выбор между смс-сообщением и «Максом» не решает проблему полностью. В группе РВБ, контролирующей Wildberries, назвали инициативу избыточной: на платформах уже работают механизмы защиты аккаунтов, анализ рисков и дополнительные проверки при необходимости. Обязательное подтверждение всех значимых действий через смс или мессенджер, по оценке компании, увеличит операционные расходы участников рынка и может отразиться на стоимости товаров и услуг.
Эксперты обращают внимание на альтернативные способы двухфакторной авторизации. Помимо смс и push-подтверждений в приложениях, сервисы могут использовать одноразовые коды, электронную почту и открытый стандарт RFC 6238 TOTP, не привязанный к конкретному производителю или платформе. Отказ от таких решений в пользу частного сервиса требует отдельного обоснования, особенно с учетом закрытого кода «Макса» и проблем с push-уведомлениями на части устройств Apple.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Минцифры предлагает вернуть в третий пакет антифрод-мер норму о подтверждении значимых действий в интернете через смс-сообщения или мессенджер «Макс», узнал Forbes. Источники издания в IT- и телеком-отраслях говорят, что похожая мера уже обсуждалась при подготовке второго пакета мер против кибермошенничества, но в финальный вариант законопроекта не вошла. В Минцифры заявили, что подобная инициатива сейчас не рассматривается.
По данным Forbes, ведомство предлагает закрепить на уровне федерального закона обязательное подтверждение «значимых действий» в интернете через смс-сообщения или «Макс». Один из собеседников издания напомнил, что при подготовке второго антифрод-пакета государство отказалось от нормы и сохранило за гражданами возможность выбирать подходящий способ подтверждения с учетом технических возможностей, личных предпочтений и уровня безопасности конкретной операции.
Возврат к ограниченному набору способов подтверждения, по словам собеседника Forbes в IT-индустрии, может ослабить защиту вместо усиления. Российские сервисы используют собственные системы аутентификации, включая push-уведомления, внутренние уведомления в приложениях, анализ рисков и дополнительные проверки подозрительной активности. При таком подходе антифрод-система сама определяет нужный уровень подтверждения по совокупности факторов.
Отдельные вопросы вызывает формулировка «значимые действия». Источник Forbes на IT-рынке отметил, что под такое определение можно подвести широкий круг операций, а конкретный перечень пока неясен. При принятии инициативы банки и онлайн-платформы понесут дополнительные расходы на смс-сообщения и уведомления через «Макс». Собеседник издания также назвал такие способы подтверждения не самыми надежными и заявил, что против похожей нормы во втором пакете выступал почти весь бизнес, кроме VK, чья дочерняя структура разрабатывает «Макс», и операторов связи.
В Минцифры сообщили Forbes, что мера о подтверждении действий через смс-сообщения или «Макс» не рассматривается. Ведомство уточнило, что третий пакет мер по борьбе с кибермошенничеством сейчас согласовывается с заинтересованными ведомствами и отраслью, а инициативы разрабатываются с учетом баланса безопасности и прав пользователей.
Во втором пакете антифрод-мер, принятом в первом чтении, уже были поправки к закону «Об информации» о подтверждении юридически значимых действий через «Макс» и смс-сообщение. Из-за формулировки у СМИ и экспертов возникли разночтения: требовалось ли использовать оба канала одновременно или достаточно одного. Перечень юридически значимых действий законопроект не раскрывал, правительство должно было определить список отдельно. Ко второму чтению поправку убрали, а 9 июня Госдума приняла «Антифрод 2.0» сразу во втором и третьем чтениях.
Третий пакет мер против телефонных и интернет-мошенников власти анонсировали еще в апреле. В конце мая замглавы Минцифры Иван Лебедев говорил, что ведомство обсуждает новые меры с правоохранительными органами, банками и операторами связи.
Бизнес также критикует ограничение способов подтверждения. В Ассоциации компаний интернет-торговли считают, что даже выбор между смс-сообщением и «Максом» не решает проблему полностью. В группе РВБ, контролирующей Wildberries, назвали инициативу избыточной: на платформах уже работают механизмы защиты аккаунтов, анализ рисков и дополнительные проверки при необходимости. Обязательное подтверждение всех значимых действий через смс или мессенджер, по оценке компании, увеличит операционные расходы участников рынка и может отразиться на стоимости товаров и услуг.
Эксперты обращают внимание на альтернативные способы двухфакторной авторизации. Помимо смс и push-подтверждений в приложениях, сервисы могут использовать одноразовые коды, электронную почту и открытый стандарт RFC 6238 TOTP, не привязанный к конкретному производителю или платформе. Отказ от таких решений в пользу частного сервиса требует отдельного обоснования, особенно с учетом закрытого кода «Макса» и проблем с push-уведомлениями на части устройств Apple.
- Источник новости
- www.securitylab.ru