24 января, 2012, BIS Journal №1(4)/2012

Клиент готов платить за безопасность


Калемберг Денис

Генеральный директор (ООО «СэйфТек»)

Информационная защита ДБО может не только требовать от банка затрат, но и приносить дополнительный доход

Практически любой современный банк в том или ином виде предлагает своим клиентам сервисы дистанционного обслуживания, которые, с одной стороны, позволяют не тратить время самого клиента на походы в офис финансовой организации, а с другой – снизить расходы банка на аренду помещений и зарплату менеджеров. Казалось бы, все должны быть довольны, однако на практике все получается несколько сложнее. В первую очередь, из-за вопросов безопасности удаленного доступа.

ТЕХНОЛОГИИ УДАЛЕННОГО ОБСЛУЖИВАНИЯ

Стандартный набор сервисов ДБО для современного розничного банка выглядит примерно следующим образом:

  • IVR;
  • банкоматная сеть;
  • интернет-банкинг для физических лиц;
  • мобильный банкинг;
  • интернет-банкинг для юридических лиц.

Рассмотрим эти типовые технологии, которые используются для удаленного обслуживания клиентов.

1. IVR

IVR(англ. InteractiveVoiceResponse) – система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра, пользуясь информацией, вводимой клиентом с помощью тонального набора.

Данный сервис также позволяет клиенту, не прибегая к помощи сотрудников банка, получить типовую информацию о продуктах и услугах, а также выполнить элементарные операции самообслуживания, например, заблокировать свою пластиковую карту. Это позволяет банку существенно снизить количество сотрудников в call-центре и сэкономить на их зарплате. С точки зрения безопасности данная категория систем дистанционного обслуживания не является критичной, так как реальные финансовые транзакции через нее не проводятся.

2. Банкоматная сеть

Современный терминал самообслуживания позволяет практически полностью заменить небольшой круглосуточный банковский офис.

В целом все банкоматы можно разделить на 2 группы – открытого доступа и закрытого доступа. Что касается последних, то они устанавливаются на закрытой территории предприятия как оборудование для зарплатного проекта. Если это не «политический» проект, то он запускается ради эффективности, т.е. доходы

от проекта (комиссия за перечисление средств на карты, остатки на карточных счетах и т.д.) оправдывают расходы на обслуживание банкомата.

Что касается банкоматов открытых, расположенных в общедоступных местах, то их следует рассматривать как инструмент продвижения, продаж и обслуживания розничных продуктов банка. Сейчас банкоматы выполняют следующие основные функции:

  • выдача наличных средств;
  • прием наличных средств;
  • переводы с карты на карту;
  • оплата платежей (в том числе коммунальных);
  • подключение услуг (например, SMS-информирование);
  • открытие вкладов;
  • отправка заявлений на изготовление кредитных карт.

В зависимости от технологичности процессинга конкретного банка функционал банкоматов может быть расширен. Что касается непосредственно его эффективности, то она рассчитывается как разница доходов (прямых и косвенных) и расходов (также прямых и косвенных).

Доходы (прямые):

  • комиссия за зачисление средств на зарплатные карты банка (в среднем на рынке размер комиссий сейчас снижается и составляет от 0% до 0,5% для средних и крупных предприятий в зависимости от количества выпускаемых карт и объема зачислений);
  • комиссия за снятие в банкома те наличных средств по карте стороннего эмитента;
  • комиссия за обналичивание средств с кредитных карт (около 3-4%);
  • комиссия за перевод средств с карты на карту;
  • комиссия за оплату услуг.

Доходы (косвенные):

  • остатки средств на зарплатных картах;
  • доходы от кредитования (в том числе и по кредитным картам) сотрудников организаций, находящихся на зарплатном проекте;
  • доходы от продажи других розничных продуктов сотрудникам организаций, находящихся на зарплатном проекте.

Расходы (прямые):

  • амортизация;
  • инкассация банкоматов (около 0,2% от инкассируемой суммы);
  • обслуживание каналов связи;
  • страхование банкоматов от ущерба.

Расход (косвенный):

  • зарплата обсуживающему персоналу (сотрудники IT-отделов).

Из этих статей и складывается эффективность.

Кроме того, каждый банкомат с функцией приема наличных и возможностью оплаты услуг однозначно снижает нагрузку на персонал, заменяет «живую» силу на автоматизированную. Полноценный банкомат-терминал, по нормативам крупных банков, заменяет одного сотрудника.

К недостаткам относится достаточно высокая стоимость каждого терминала, необходимость обеспечивать их физическую и информационную безопасность. Следует отметить, что в последнее время вновь участились случаи воровства денег с банковских карт при помощи скиммеров нового поколения, которые крайне сложно обнаружить. Соответственно, развитие банкоматной сети зачастую вопрос не столько прямой экономической выгоды, сколько привлечения новых клиентов под зарплатные проекты.

3. Интернет-банкинг для физических лиц

В последнее время рынок этих банковских сервисов развивается с огромной скоростью, превышающей 100% в год. Он максимально удобен для пользователя, потому что позволят управлять своим счетом, получать выписки, оплачивать коммунальные услуги и штрафы не выходя из дома. Уже можно говорить о том, что клиенты выбирают, в каком банке обслуживаться, не по количеству банкоматов или величине процентной ставки, а по удобству и набору возможностей системы интернет-банкинга.

Если говорить о финансовой эффективности внедрения системы интернет-банкинга для финансовой организации, то она рассчитывается как разница между доходами и расходами:

Доходы (прямые):

  • стоимость подключения клиента к системе интернет-банкинга (во многих банках отсутствует);
  • абонентская плата клиента за сопровождение счетов в системе интернет-банкинга (во многих банках отсутствует);
  • комиссия за оплату услуг клиентом;
  • комиссия за переводы средств на счета в сторонних банках.

Доходы (косвенные):

  • остатки средств на счетах клиента;
  • снижение нагрузки на филиалы банка;
  • продажи других банковских продуктов через систему интернет-банкинга.

Расходы (прямые):

  • стоимость закупки лицензий системы интернет-банкинга;
  • стоимость работ по внедрение системы;
  • зарплата сотрудников «горячей» линии (технической поддержки системы).

В конечном итоге, по отзывам нескольких розничных банков, данный вид дистанционного обслуживания окупается довольно быстро и является исключительно прибыльным.

Однако, как это обычно бывает, есть и другая сторона медали. Возможность получить доступ к чужому счету, не приходя в банк, заинтересовала компьютерных мошенников, вследствие чего банки столкнулись с волной хакерских атак на счета своих клиентов.

Итогом стало снижение доверия пользователей к системам интернет-банкинга и росту затрат банков на обеспечение информационной безопасности. Впоследствии мы рассмотрим основные решения, применяемые для снижения рисков клиентов.

4. Мобильный банкинг

Пока что не очень распространенное, но достаточно модное направление дистанционного банковского обслуживания. В связи с ростом популярности смартфонов, особенно среди обеспеченных слоев населения, многие финансовые организации заказали разработку приложений для iOS(iPad, iPhone), Android и т.д.

В целом, плюсы, минусы, затраты и доходы здесь схожи с обычными системами интернет-банкинга для физических лиц. Отличие – более привилегированная целевая группа клиентов. Также мобильный банкинг накладывает ряд жестких требований на используемые средства безопасности. Если в стандартном интернет-банкинге возможно применение дополнительных криптографических средств – токенов, смарт-карт и т.д., то для пользователя с телефоном такие варианты защиты не подходят. Соответственно, приходится применять решения, не привязанные к аппаратной и программной платформам.

5. Интернет-банкинг для юридических лиц

Если финансовая организация обслуживает не только розничных, но и корпоративных клиентов, то к вышеперечисленным сервисам дистанционного обслуживания обязательно добавится интернет-банкинг для юридических лиц, иногда дополняемый «оффлайновой» версией, так называемой системой клиент-банк. Данная разновидность систем дистанционного банкинга давно уже является стандартным средством взаимодействия между клиентом (юридическим лицом) и банком, практически полностью исключая необходимость лично отвозить платежные поручения, получать выписки и т.д.

Естественно, что набор и функциональность систем ДБО, используемых в конкретном банке, полностью определяются спецификой бизнеса самого банка. Например, финансовые организации, специализирующиеся на потребительском кредитовании, зачастую не уделяют большого внимания расширению банкоматной сети и системы интернет-банкинга, предпочитая использовать для приема кредитных платежей хорошо развитые терминальные сети партнеров.

Как интересный пример можно привести банк «Тинькофф Кредитные Системы», который полностью отказался от развития филиальной сети, предоставив

клиентам максимально широкий спектр каналов ДБО. Например, клиенту возвращается на карту комиссия, снятая за использование банкоматов сторонних банков, существует возможность все операции проводить дистанционно, даже для заключения договора курьер приезжает на дом. Такая концепция позволяет экономить средства на аренде офисов и зарплате клиентских менеджеров, параллельно привлекая активную и обеспеченную целевую аудиторию.

УГРОЗЫ, РИСКИ И МЕТОДЫ ЗАЩИТЫ СИСТЕМ ДБО

Несмотря на все экономические преимущества использования каналов дистанционного банковского обслуживания, некоторые из них несут в себе значительные финансовые риски для клиентов и репутационные – для банка. Дело в том, что получить доступ к счету пользователя системы ДБО для юридических или физических лиц может получить сторонний человек, «заразивший» компьютер клиента вредоносным программным обеспечением. Массовые атаки такого рода в России были зафиксированы в 2007 году, и с тех пор убытки от них растут колоссальными темпами, достигнув в 2010 году $ 1 млрд.

Корни проблемы – в невозможности обеспечить должный уровень безопасности на рабочих станциях клиентов, количество которых в разных банках колеблется от нескольких десятков до сотен тысяч. Стоит отметить также инерционность мышления многих кредитных организаций, которые очень долго не желали признавать наличие угроз и предпринимать меры для снижения рисков. Намного проще было включить в договор фразу

«клиент самостоятельно несет ответственность за сохранность ключей электронной подписи (ЭП) и признает легитимными все платежные документы, подписанные с использованием его ключей ЭП». При этом типовой клиент понятия не имеет, как обеспечить сохранность ключей электронной подписи.

Многие банки всё же отнеслись к проблеме достаточно серьезно, оперативно внедрив различные решения для повышения безопасности систем ДБО. Рассмотрим основные виды технических средств защиты, используемые в отечественных финансовых организациях. Отталкиваться можно от того, что все клиенты – юридические лица используют для подтверждения целостности платежных документов криптографические методы, а именно – электронную подпись. Основные отличия между применяемыми технологиями – это тип носителя ключа ЭП, а также дополнительные средства аутентификации и подтверждения транзакций.

1. Хранение ключей ЭП на незащищенных носителях

В наши дни уже, к счастью, редкость, но до сих пор встречается либо в небольших банках, либо в тех финансовых организациях, которые предпочли просто переложить всю ответственность за сохранность денег на клиентов. Атака на данную технологию защиты настолько элементарна, что не требует от мошенника ни каких-либо особых навыков, ни больших денежных вложений.

2. Хранение ключей ЭП на защищенных носителях (без аппаратно реализованной криптографии)

Метод, в свое время позволивший быстро «заткнуть дыру» в безопасности систем интернет-банкинга и снизить количество хищений средств со счетов клиентов. Однако в настоящее время данная технология уже не является надежной защитой, так как злоумышленники научились копировать ключи из защищенной области памяти токенов, а также использовать возможности удаленного подключения к компьютеру клиента. Количество атак такого рода будет расти еще какое-то время, так как, по оценкам экспертов, в период с 2007 по 2011 годы банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно, поле для деятельности хакеров крайне велико.

3. Использование аппаратных криптосредств (USB-токенов, смарт-карт последнего поколения)

В качестве противодействия атакам с хищением ключей ЭП из защищенной памяти были созданы токены и смарт-карты с криптографией «на борту». В случае их использования секретный ключ ЭП генерируется внутри микросхемы смарт-карты, а команда на его извлечение отсутствует. При подписи документа данные передаются в смарт-карту, там подписываются, а наружу выходит только результат (подпись). Это позволило сделать закрытые ключи ЭП неизвлекаемыми, то есть их хищение (копирование) стало невозможно принципиально.

Спустя некоторое время после появления данной технологии на рынке воцарилась эйфория, высказывались мысли о том, что найдена «панацея» против хищений, однако на деле все оказалось не так радужно. Несмотря на надежную защиту ключа ЭП от копирования, его оказалось не так легко защитить от несанкционированного использования. Практически сразу увеличилось количество атак с использованием средств удаленного управления компьютером клиента (класса TeamViewer), либо при помощи удаленного подключения к USB-порту (технология USB-over-IP). Несмотря на это, данная технология защиты на сегодняшний день остается на рынке преобладающей.

4. Сочетание аппаратного криптосредства с дополнительным подтверждением транзакции при помощи одноразового пароля (SMS, скретч-карта, генератор OTP)

В данном случае, злоумышленник, даже если получал удаленный доступ к компьютеру клиента, не мог отправить подписанный платежный документ, так как не знал одноразовый пароль для подтверждения транзакции. Такой метод защиты оказался не очень популярным в системах ДБО для юридических лиц, в силу того, что удобство работы пользователя значительно снизилось, а стоимость комплекта безопасности при этом повысилась.

Кроме того, в конце 2010 года появился новый тип атак, который легко преодолел все существующие на рынке средства защиты – «подмена платежного документа». Дело в том, что пользователь не видит, какой документ уходит на подпись после того, как он нажмет кнопку «отправить», что позволяет мошенникам подписывать произвольные платежи, подменяя информацию на экране монитора. Эта атака перевернула все существующие представления о безопасности интернет-банкинга, так как противодействовать ей на уровне операционной системы оказалось невозможно.

5. Использование считывателей смарт-карт с возможностью визуального контроля подписываемых данных

Эта технология позволяет заблокировать все известные типы удаленных атак на счета клиентов систем интернет-банкинга, так как:

  • невозможно похитить ключи ЭП, они хранятся на смарт-карте с аппаратно реализованными криптоалгоритмами;
  • невозможно подписать документ, удаленно подключившись к рабочей станции бухгалтера, так как необходимо физически нажать кнопку подтверждения операции подписи на считывателе смарт-карт;
  • невозможно незаметно подменить платежный документ, так как ключевые реквизиты отображаются на дисплее внешнего устройства, в доверенной среде, а подпись не происходит до момента нажатия кнопки подтверждения.

Такие считыватели смарт-карт появились на рынке совсем недавно, в середине 2011 года, сейчас идет их активное встраивание в системы дистанционного банкинга для юридических лиц. Первые проекты ожидаются в феврале-марте 2012 года.

Анализируя развитие технологий безопасности ДБО и эволюцию типов атак, можно сделать вывод о том, на сегодняшний день приобретение банками любых перечисленных средств защиты для клиентов, кроме средств визуального контроля подписываемого документа, – это выброс денег на ветер.

ЗАРАБАТЫВАТЬ НА БЕЗОПАСНОСТИ

Продолжая тему экономического обоснования проекта по повышению безопасности систем, можно отметить положительный опыт многих банков, которые смогли не только внедрить средства защиты для работы в системе интернет-банкинга, но и получить весьма существенную прибыль от их реализации. Все дело в том, что клиенты банков в кризисные годы стали более внимательными к финансовым рискам и готовыми платить за свою безопасность в ДБО. Наверняка сыграло свою роль большое количество информации в прессе и на специализированных форумах о хищениях средств с банковских счетов клиентов.

Таким образом, клиенты стали относиться к услугам безопасности, которые им предлагает оказать банк, не как к «продаже слонов», а как к его конкурентному преимуществу, за которое имеет смысл заплатить некоторое количество денег. Следовательно, банк имеет возможность зарабатывать на услугах по обеспечению безопасности в своей системе ДБО. Для этого ведущие кредитные организации уже предложили клиентам действительно необходимые и качественные услуги, а затраты на приобретение средств обеспечения безопасности пользователей в системах ДБО включили в стоимость обслуживания.

Перечислим наиболее удачные варианты такого включения:

  • взимание ежемесячной платы за обслуживание и поддержку подсистемы безопасности в конкретной системе дистанционного обслуживания. В этом случае комиссия взимается с одного счета клиента независимо от количества счетов в рублях или иностранной валюте, открытых в банке. В одном из банков такая комиссия составила около 2 000 рублей и была вполне по карману корпоративным клиентам ДБО, имеющим несколько счетов;
  • однократная оплата услуги предоставления пользователям ключей электронной цифровой подписи в комплекте с дополнительными средствами безопасности. Такой вариант подразумевает не банальную продажу средства защиты, а полноценный сервис, стоимость которого включает в себя как затраты на устройство, так и маржу банка. В настоящее время корпоративные и частные клиенты банков могут приобрести такую услугу по цене от 1 000 до 2 300 рублей, в зависимости от уровня защиты;
  • включение стоимости технических средств обеспечения безопасности в цену подключения к системе ДБО. Этот вариант разработан в большей степени для корпоративных клиентов, для которых затраты на подключение в 2 500 или 3 000 рублей вполне приемлемы. Как правило, в пакет включаются два комплекта средств безопасности – для руководителя компании-клиента и для главного бухгалтера;
  • взимание с клиента платы за повторную выдачу ему защищенного носителя ключа ЭП или за разблокировку устройства после набора неправильного PIN-кода. Статистика свидетельствует, что корпоративные клиенты и частные пользователи ДБО периодически забывают PIN-коды от своих устройств защиты, а иногда теряют или ломают их. Если это происходит, то банк осуществляет разблокировку или повторную выдачу устройства и взимает за это плату от 1 500 до 2 500 рублей.

Рассмотренные варианты, конечно же, не являются универсальными. Каждый банк разрабатывает схему распространения средств защиты с учетом «портрета» своего клиента. Пользователями системы ДБО могут быть частные лица, индивидуальные предприниматели, представители среднего и малого бизнеса, крупные компании. Для клиентов VIP-уровня банки могут предоставить необходимое оборудование бесплатно, а основную массу пользователей – заинтересовать удобными и нужными услугами. Неизменным остается только одно – при внимательном подходе к своим клиентам банки могут сделать информационную безопасность ДБО доходной.

 

Смотрите также

Токены на выбор

14 сентября, 2011
Подпишись на новости!
Подписаться