Безопасность предполагает применение специальных мер, защищающих поставщика и потребителя услуг от мошенничества и ошибок персонала. Специфическими угрозами для Мобильного банка являются хищение средств со счета абонента под видом предоставленной услуги, получение услуги за счет другого абонента, бесплатное получение услуги, блокировка доступа к услуге (на уровне абонента или на уровне поставщика), лишение абонента возможности использовать оплаченную услугу (например, проездной билет).
Анализ таких угроз показал, что при использовании рассматриваемой схемы обмена значительная их часть может быть снята с помощью достаточно достоверной аутентификации отправителя каждого сообщения в проводимых транзакциях. Главная роль здесь отводится оператору СПС как субъекту, занимающему центральное положение в схеме взаимодействий. При этом никакая информация не передается прозрачно через оператора.
Основой такой аутентификации могут служить сетевые идентификаторы отправителя сообщения (ISIM, URI) в контексте с прикладной информацией. Сетевые идентификаторы, передаваемые в составе сетевых протоколов (на сетевом уровне), обладают определенной степенью защищенности в отношении рассматриваемых угроз.
Использование других факторов авторизации (PIN и т.п.) необязательно для подавляющего большинства услуг, так как необходимый уровень безопасности может быть обеспечен другими средствами, а единый PIN для множества услуг не создаст дополнительной защиты. Но он может потребоваться для проведения коммерческих транзакций с привлечением значительных денежных средств и отдельной регистрацией права доступа к такой услуге. У оператора должна быть возможность зафиксировать эти данные в профиле абонента и выполнить авторизацию.
В рассматриваемой схеме обмена на интерфейсах NFC и UNI при запросе услуги не передается какая-либо чувствительная информация, которая была бы ценна сама по себе, что позволяет существенно упростить реализацию услуг в мобильном терминале. Однако необходимо принять меры против мошенничества, заключающегося в установке ложных меток, способных направить вызов по пути, не соответствующему запросу пользователя.
В предложенной схеме обмена это решается довольно просто – оператор контролирует ответ поставщика. Информационная безопасность на участке сети между оператором СПС и поставщиками услуг обеспечивается общепринятыми сетевыми мерами, которых при грамотном их использовании вполне достаточно для защиты транзакций пользователей в рассматриваемой схеме мобильных платежей.
