Безопасность NFC-решений

В России уже предпринимались попытки реализовать идею использования NFC-смартфона в качестве платежного средства, однако они не обеспечивали такой простоты для потребителя, имели существенные технические ограничения и организационные зависимости, которые не позволили обеспечить таким решениям настоящей популярности.

Во всех платежных решениях ключевым вопросом является обеспечение безопасности, которая для NFC-технологий во многом базируется на использовании динамических данных, формируемых в так называемом элементе безопасности (Secure Element). Этот элемент, как правило, размещается на платежном средстве.

Управляя элементом безопасности, управляешь платежным средством

Как следует из названия, элемент безопасности является доверенной средой или опорной точкой в обеспечении безопасности платежного средства, которая дает его эмитенту достаточно уверенности в надежности защиты.

Самым простым примером является микропроцессор, встроенный в бесконтактную карту. Он формирует уникальные криптограммы для каждой отдельной транзакции. Ключи для криптограмм хранятся в защищенной памяти микропроцессора, поэтому эту комбинацию нельзя подделать, не взломав чип или криптоалгоритм (что на практике является неоправданно сложной задачей).

Очевидно, что тот, кто управляет элементом безопасности, управляет платежным средством. В примере с бесконтактной картой – это эмитент, инициализировавший чип в момент выпуска карты.

Примечательно, что задача выбора и размещения элемента безопасности в телефоне оказалась определяющим фактором в развитии индустрии мобильных NFC-платежей.

Существует множество вариантов решения этой проблемы, включая SIM-карту мобильного оператора, SD-карту, отдельный чип (встроенный производителем) и даже стикеры – бесконтактные карты, которые приклеивались на обратную сторону телефона, никак с ним не взаимодействуя.

Все эти решения имеют свои недостатки, не позволившие им развиться в России за пределы пилотных проектов.

Так, например, применение SIM-карт при всей технической привлекательности создает существенные организационные препятствия, поскольку всем эмитентам таких решений придется договариваться с мобильным оператором, управляющим элементом безопасности. Это влечет неприемлемое усложнение процессов выпуска и обслуживания карт. Кроме того, такое решение будет доступно только для части клиентов банка (пользующихся услугами конкретного оператора) и оставляет открытыми вопросы контроля процессов в мобильном операторе и смены его клиентом.

Примером успешного использование встроенного элемента безопасности является решение Apple Pay, в котором производитель создал соответствующие условия для эффективного развития. Однако зависимость от вендора дает себя знать и в этом случае. Даже при желании российские банки не могут запустить такое решение, пока Apple не предоставит соответствующую инфраструктуру.

Важное отличие

Инфраструктура Visa CBP может принадлежать банку или специализированному процессору, что снимает дополнительные ограничения, позволяет эмитенту самостоятельно определять стратегию развития продуктов и существенно упрощает процессы обеспечения жизненного цикла платежных средств.

Решение Visa CBP базируется на технологии Host Card Emulation (HCE), которая предполагает виртуализацию элемента безопасности и его частичное размещение не в самом телефоне, а в облачном хранилище, обращение к которому осуществляется с пользовательского смартфона по доступному каналу связи (см. рисунок).

Такой подход предполагает использование среды смартфона для формирования криптограмм, подтверждающих транзакции, что требует дополнительных инструментов для управления рисками, поскольку вычислительная среда смартфона не может считаться абсолютно безопасной.

В рамках спецификации Visa CBP используется тот же многоуровневый подход к обеспечению безопасности платежей, что и во всех решениях Visa. То есть опора делается не на один элемент защиты, а выстраивается целый комплекс технических и организационных мер по защите платежей. Таким образом, даже если злоумышленникам удастся преодолеть один элемент защиты, им все равно не удастся осуществить мошеннические операции, при этом их деятельность будет обнаружена, и эмитент сможет принять соответствующие меры.

Обеспечение безопасности

Давайте более внимательно рассмотрим ряд мер обеспечения безопасности, заложенных в спецификацию Visa CBP.

Прежде всего, предполагается наличие мер по контролю безопасности среды смартфона. Они включают в себя требования по защищенному хранению информации, применению шифрования данных на устройстве, разделению сред приложений, контролю "рутованности" устройства, целостности приложения и многое другое. Даже в условиях, когда абсолютная безопасность платформы недостижима, не стоит пренебрегать элементарными требованиями безопасности и пускать все на самотек.

Кроме того, с учетом риска компрометации смартфона ко всем критичным данным, хранящимся в среде устройства, применяется принцип динамичности. То есть в отличие от стандартных чиповых и бесконтактных карт для вычисления криптограмм используются ключи ограниченного действия (Limited Use Key – LUK), которые периодически обновляются из защищенного облака. При этом смена ключей может происходить как по инициативе управляющего сервера, так и по инициативе приложения, в зависимости от параметров действия ключей (время, количество проведенных операций).

Очень важно сбалансированно подойти к определению параметров смены ключей, так как чрезмерно частая их смена может привести к зависимости платежного средства от доступа к телекоммуникациям, а чрезмерно длительный период действия увеличивает риск компрометации.

Дополнительным требованием является запрет на использование номера карты, загруженной в смартфон, в других каналах оплаты. То есть данные из устройства нельзя использовать для изготовления поддельной контактной карты или для оплаты покупок в Интернете, что существенно ограничивает потенциальные возможности злоумышленников по реализации мошеннических схем. Чтобы снизить риск, связанный с кражей или потерей телефона, спецификация предполагает необходимость разблокировки телефона или приложения для проведения транзакций. Эту же задачу может решить уже привычный нам PIN-код для чиповых карт. А при передаче PIN по независимому каналу это позволит существенно снизить возможности злоумышленников и при взломе телефона. PIN, известный только законному владельцу, не будет доступен мошенникам даже в случае компрометации данных. Таким образом, проведение транзакций на крупные суммы по украденным данным будет невозможно.

Еще один уровень защиты

Помимо перечисленных мер, специфичных для Visa CBP, дополнительный уровень защиты создает применение уже привычных нам интеллектуальных систем реального времени, выполняющих анализ риска и блокирование подозрительных транзакций.

Перечисленные контрольные инструменты позволяют обеспечить достойный уровень безопасности бесконтактных платежей. Но в управлении платежными рисками, как и в боевых видах спорта, важно не только быть неуязвимым для противника, но и уметь правильно падать, даже если вероятность падения очень мала. Так, компания Visa всегда стремится обеспечить максимальную безопасность своих решений, не забывая и о подстраховке. С целью противодействия злоумышленникам спецификации Visa CBP предусматривают наличие инструмента быстрого обнаружения таких фактов и мошеннической активности.

Логика работы этого инструмента заключается в ведении технических журналов авторизации транзакций параллельно в облачном хранилище и на устройстве клиента. Поскольку все транзакции, выполняемые с помощью смартфона, должны проходить обязательную авторизацию банком-эмитентом (офлайн-транзакции запрещены), проведение авторизации без участия клиентского телефона создаст разницу в записях журналов, что приводит к соответствующей реакции со стороны банка, в том числе блокировке и перевыпуску карты для телефона.

Помимо уже перечисленных дополнительных инструментов управления рисками ко всем транзакциям Visa применяется полный набор мер, проверенных временем, начиная с защищенной платежной технологии Visa payWave для обработки NFC-платежей, технических стандартов безопасности инфраструктуры PCI DSS и заканчивая правилами Visa, позволяющими оспаривать мошеннические операции и возвращать средства клиентам.

Как видим, решение Visa CBP гармонично вписывается в ряд ответственных инноваций Visa, обеспечивая по-настоящему доступные для банков и потребителей бесконтактные платежи с помощью мобильных телефонов, позволяя сохранить надлежащий уровень безопасности.

В целом процесс поиска и поддержания идеального баланса между удобством, доступностью и безопасностью платежей подобен искусству. Здесь нет стопроцентных рецептов. Решения зависят от бизнес-кейсов, технических возможностей, целевой аудитории и внешней среды. С этой точки зрения очевидно, что работы по развитию решений мобильных бесконтактных платежей будут продолжаться, но можно с уверенностью утверждать, что спецификации Visa CBP представляют собой отменную палитру, позволяющую Visa совместно с партнерами создавать платежные шедевры.