Минцифры предложило подтверждать «значимые действия» в интернете через MAX и SMS

Одна инициатива веселее другой

Минцифры предложило подтверждать «значимые действия» в интернете через MAX и SMS

Минцифры снова обсуждает идею, которая уже успела вызвать споры в отрасли: обязать подтверждать «значимые действия» в интернете через SMS или мессенджер MAX

По данным Forbes, речь идет о третьем пакете антифрод-мер против кибермошенничества.

Читают прямо сейчас:

Как устроена и зачем нужна двухфакторная аутентификация — почему SMS — самый слабый вариант второго фактора и чем его лучше заменить

Разбор: Google делает вход по ключу доступа основным способом аутентификации — какие более надёжные методы подтверждения уже существуют вместо кода из SMS

Что такое социальная инженерия и при чём тут кибербезопасность — почему единый обязательный канал подтверждения может стать удобной точкой входа для мошенников

Что хотят изменить

Суть предложения проста на бумаге, но сложна на практике.

Проблема в том, что само понятие «значимые действия» пока размыто. В обсуждениях фигурирует широкий диапазон сценариев — от финансовых операций до активности на маркетплейсах и в онлайн-сервисах. 

По сути, граница между «обычным действием» и «подтверждаемым» пока не определена.

Почему вокруг идеи снова спор

Реакция рынка предсказуемо прохладная. Главная претензия — к самим способам подтверждения.

SMS давно считают слабым звеном в безопасности: сообщения можно перехватывать, подменять и использовать в атаках. К мессенджеру MAX вопросов у экспертов еще больше — от непрозрачной архитектуры до отсутствия статуса универсального стандарта.

Есть и более приземленный аргумент: деньги. Банкам и сервисам придется перестраивать инфраструктуру подтверждений и оплачивать массовые отправки сообщений. В итоге эти расходы, как обычно, могут перекочевать в стоимость услуг для пользователей.

При этом многие компании уже используют более современные схемы защиты — push-уведомления, одноразовые коды, поведенческий анализ и риск-скоринг операций. 

И часть экспертов опасается, что новая модель может не усилить, а наоборот упростить атаку на пользователей, если ограничит выбор инструментов безопасности.

Почему тема вернулась

Интересно, что эта идея уже появлялась раньше — в рамках второго пакета антифрод-мер. Тогда от нее отказались после критики со стороны бизнеса.

Теперь она возвращается в обновленной версии — уже в составе третьего пакета. 

И, как отмечают участники рынка, баланс сил в обсуждении не изменился: большинство крупных компаний по-прежнему против, а поддержку инициативы ранее демонстрировали лишь отдельные заинтересованные стороны.

Что в сухом остатке

Формально речь идет о борьбе с мошенниками. Фактически — о том, кто будет контролировать «точку подтверждения» в цифровой жизни пользователя: сами сервисы с их системами безопасности или единый обязательный канал, навязанный сверху.

И именно в этом споре сейчас снова пытаются найти баланс. Пока без финального решения.

Соцсети: Юлия Зубарева
Вам может быть интересно
easy
[anycomment]
Exit mobile version