23 мая, 2013, BIS Journal №2(9)/2013

Конкуренция за доверие


Кирилин Сергей

Вице-президент (ОАО КБ «Стройкредит»)

Безопасность IT-сервисов ? дело, в первую очередь, самого банка, которое ни в коем случае нельзя перекладывать ни на государство, ни, тем более, на клиента

Все банковские сервисы на всех уровнях должны сопровождаться мерами обеспечения их безопасности, в том числе самые современные, информационные. Это – бесспорное конкурентное преимущество не только определённого вида сервиса, но и самого банка. Поэтому обеспечение безопасности – в первую очередь дело самого банка, которое ни в коем случае нельзя перекладывать ни на клиента, ни на государство.

 

ДОВЕРИЕ – ЯВЛЕНИЕ КОМПЛЕКСНОЕ

Доверие клиентов к современным высокотехнологичным банковским сервисам – явление комплексное. Во многом оно определяется общим отношением к банкам, кредитно-финансовым организациям и финансовой системе страны в целом. Дефолт 1998 года и финансовый кризис 2008 года в России мало способствовали повышению доверия населения. Равно как и период «финансовых пирамид» на рубеже веков, большинство которых были откровенным мошенничеством.

Безналичные электронные расчёты начали массово использоваться только в 1990-х годах, и процесс этот шёл нелинейно. Широкой популярностью стало пользоваться участие банков в «зарплатных» проектах – ради продвижения своих услуг, расширения клиентской базы. Мошенничества в сфере безналичных платежей росли бок о бок с их развитием.

Неудивительно, что у многих граждан доверие к наличным деньгам исторически сложилось большее, чем к электронным безналичным расчётам. Многие, получив заработную плату или социальные выплаты на карточный счёт, спешат снять наличные деньги в банкомате, а не расплачиваться посредством карты.

Не слишком рациональная любовь граждан к наличным деньгам объясняется не только недоверием к электронным платежам, но также неравномерным развитием их инфраструктуры. С одной стороны, в России не хватает оснащения торговых точек POS-терминалами, необходимыми для приема оплаты посредством пластиковых карт. По данным Банка России, в настоящее время на 1 000 граждан РФ приходится всего 3,7 устройства. Для сравнения, во Франции этот показатель значительно выше – 22 устройства.

С другой стороны, Россия – один из лидеров в Европе по количеству банкоматов, на 1 000 человек приходится 1,3 устройства. Аналогичный показатель во Франции составляет 0,87, в Италии – 0,76, в Германии – 0,71, а в Швеции, которая первой из европейских стран изъявила готовность полностью отказаться от наличных денег, – всего 0,38 банкоматов на 1 000 жителей. То есть в России сейчас созданы все условия, чтобы человек с пластиковой картой отправлялся к банкомату и обналичивал свои средства.

ХАКЕРЫ ЦЕЛЯТСЯ В РОССИЮ

Широкое внедрение автоматизированных систем дистанционного банковского обслуживания – неотъемлемый атрибут современного мира. Но вместе с ростом их популярности и повсеместным распространением возникла и стала разрастаться проблема кибермошенничества. Тем не менее, в странах, которые лидируют в сфере дистанционных банковских услуг, уровень защищенности от электронных мошенников, к сожалению, пока выше, чем в России. Весомую роль в международных преступных группировках, занимающихся кражами по всему миру, играют российские хакеры. Их постепенное переключение на отечественные банки и их клиентов вызывает рост негативной статистики инцидентов.

В России информации об уровне кибермошенничества в настоящее время недостаточно. По некоторым оценкам, за первый квартал 2012 года относительно уровня годом ранее объём мошеннических операций в сфере безналичных платежей вырос в 9 раз. В конце 2012 года этот рост замедлился, но, тем не менее, количество хищений, связанных с использованием банкоматов, выросло по сравнению с 2011 годом в 4 раза.

В нашей стране опасность киберугроз и мошенничеств в сфере безналичных платежей достаточно адекватно оценивается государством. На самом высоком уровне обсуждается стратегия борьбы с этим негативным явлением. Скорость и направление развития законодательства свидетельствуют, что законодательная и исполнительная власть всерьёз воспринимают тенденцию роста уровня киберугроз. Но в этой сфере видятся вполне определённые проблемы, которые нужно решать.

Передовой зарубежный опыт защиты банковских и платёжных IT-сервисов от злоумышленников приходится использовать в России с учётом особенностей отечественного рынка, прежде всего, сравнительной «молодости» безналичных платежей. В поиске эффективных решений нашим банкам многое приходится придумывать самостоятельно: по-своему, с учётом особенностей бизнес-процессов, внедрять средства и меры противодействия киберугрозам. Важна и консолидация межбанковских усилий, в том числе взаимный обмен опытом – вклад каждого банка в общее дело ценен в особенности.

ПОМОЧЬ ЗАКОНОДАТЕЛЯМ

Налицо стремление законодателей использовать новейшую правовую практику и учитывать новейшие ноу-хау для защиты интересов банковских клиентов, в особенности – рядовых граждан. Но, к сожалению, приходится отметить, что между принимаемыми законами и реальной банковской практикой есть разрыв, который нужно преодолевать.

Пример – ст. 9 федерального закона ФЗ-161 «О национальной платёжной системе», которая, до проведения разбирательства, декларирует «презумпцию невиновности» клиента, оспаривающего транзакцию. Со стороны банков эта статья вызвала много споров и критики, широко распространено мнение о необходимости её скорректировать, в этом направлении предпринимаются практические шаги.

Пока же, чтобы предотвращать возможные злоупотребления со стороны клиентов упомянутой нормой закона, банкам приходится документально регламентировать специальные внутренние процедуры оспаривания транзакций. Было бы продуктивнее заранее привлекать к законотворческой работе больше сотрудников банковских подразделений информационной безопасности и юристов. Более тесное сотрудничество разработчиков законов со специалистами-практиками пошло бы всем только на пользу.

Ситуацию осложняет тот факт, что ст. 9 ФЗ-161 всю ответственность за инциденты информационной безопасности возлагает в первую очередь на банки. Но ведь усилия хакеров в настоящее время направлены не столько на взлом собственно банковских информационных систем. Главная цель злоумышленников − клиент, который является самым слабым и незащищённым звеном дистанционного банковского обслуживания. Украв идентификационные данные клиента, мошенники от его имени осуществляют покупки и переводы денег.

ЗАЩИТА БАНКОМАТОВ

Среди самых распространённых банковских IT-сервисов – обслуживание клиентов через банкоматы. Россия бьёт многие рекорды по темпам увеличения количества банкоматов на душу населения. Но эти удобные устройства притягивают не только клиентов в день зарплаты, но и преступников. Методы хищений, связанные с использованием банкоматов, уже устоялись.

В первую очередь это скимминг – установка на банкоматы оборудования, которое считывает контрольную информацию с магнитной полосы банковской карты и PIN-код. Украв эти сведения, мошенники используют их для производства поддельных карт («белого пластика»), совершают на чужие деньги покупки через интернет или снимают наличные в банкоматах.

Преступная деятельность международных групп скиммеров, в которых участвуют квалифицированные специалисты по IT-технологиям, наносит немалый ущерб банкам и их клиентам. Хорошим подспорьем для банков являются методические рекомендации Банка России по противодействию кражам и мошенничеству в сфере банковских сервисов. Эти рекомендации, порой достаточно простые и очевидные, обобщают обширный опыт. Но, как часто бывает, напоминание прописных истин оказывается далеко не лишним.

В частности, рекомендуется устанавливать банкоматы в помещениях банков в зоне прямого наблюдения сотрудников безопасности, а в общественных местах – вдали от окон и витрин. Не приветствуется размещение банкоматов по соседству с отражающими стеклами и зеркалами. Таким образом, обеспечивается зона безопасности, снижается риск, что злоумышленники подсмотрят PIN-код, который клиент набирают на клавиатуре устройства для проведения операции.

Дополнительная мера безопасности, предлагаемая специалистами Банка России, – страховать банкоматы, оборудовать их сигнализацией с выводом на пульт охраны. Из новинок – оснащение банкоматов специальными устройствами, которые приводят купюры в негодность в случае взлома, например, заливают несмываемой краской.

ОБОРОНА ПЕРИМЕТРА

Забота банков о надёжной защите «внешних» элементов системы дистанционного обслуживания − банкоматов и терминалов самообслуживания − неразделима с обеспечением безопасности внутренних модулей. Речь идёт о серверной части, механизмах аутентификации и авторизации транзакций, а также об информировании клиентов о транзакциях по их счетам. Эти элементы должны быть наилучшим образом защищены от покушений злоумышленников.

Проверенные способы контроля ситуации в системах дистанционного банковского обслуживания – анализ и мониторинг транзакций. В число анализируемых параметров обязательно должна входить информация об используемом клиентом интернет-браузере, IP-адресе, с которого осуществлялась транзакция, наличие или отсутствие антивируса на компьютере, с которого осуществлён запрос на платёжную операцию, а также контрольные финансовые показатели – сумма, назначение платежа и информация о его получателе.

Следующий момент − подтверждение права клиента провести транзакцию посредством того или иного канала связи. Международная практика большинства банков показывает, что лучшим каналом связи для этого является информирование клиента о содержании транзакций и обеспечение её подтверждения посредством SMS-сообщений. Затраты на такую систему оповещения окупаются наибольшей уверенностью банков в том, что ту или иную транзакцию инициирует клиент, обладающий таким правом.

Электронным атакам злоумышленников подвергаются все системы ДБО, но для разных каналов связи применяются свои схемы мошенничества. Обеспечив безопасность одного из сервисов, например, выполнив все рекомендации Банка России по установке и оснащению банкоматов, нельзя успокаиваться. Преступники, встретив преграду в одном месте, начнут прощупывать другое направление.

Чтобы обеспечить безопасность всех сервисов ДБО, действующих и внедряемых, нужен комплексный подход. В частности, потому, что, учитывая высокую конкуренцию среди банков, нельзя предлагать клиенту ограничиваться наиболее безопасным каналом связи. Для клиента важнее всего удобство: в одном случае – перевести деньги через мобильный банкинг, в другом – оплатить через банкомат.

ПРОТИВ МОШЕННИКОВ ВНЕШНИХ И ВНУТРЕННИХ

В свою очередь банкам приходится защищаться от недобросовестных клиентов. Наиболее распространённым видом их злоупотреблений является мошенничество при выдаче кредитов. Более часто попытки такого типа мошенничества встречаются в розничном, чем в корпоративном кредитовании. Рост мошенничеств заёмщиков – физических лиц связан с тем, что некоторые банки слишком спешили расширять розничное кредитование, не заботясь о качестве проверки потенциальных заёмщиков.

Но банки всеми силами стараются защитить клиентов и от возможных проявлений недобросовестности со стороны собственных сотрудников. Главными угрозами мошенничества сотрудников банка по отношению к клиентам является соучастие в мошеннических схемах внешних злоумышленников и распространение конфиденциальной информации граждан, включая персональные данные. Списки VIP-клиентов банка, реквизиты и состояние их счетов – очень интересная информация для разного рода злоумышленников, в том числе и тех, кто стремится эти средства похитить.

Предупреждение такого потенциального «внутреннего» мошенничества осуществляется средствами информационной безопасности – разграничения и ограничения доступа к информации. Например, доступ одних сотрудников только к персональным данным клиентов, а других – только к информации об их счетах. Другая мера – ограничение возможностей передачи данных, то есть мониторинг электронной почты, отсутствие USB– портов на рабочих компьютерах сотрудников, иные средства обеспечения блокировки подключения внешних устройств – носителей информации.

НЕ ЗА СТРАХ, А ЗА СОВЕСТЬ

Повысить привлекательность сервисов ДБО, как показывает положительный зарубежный опыт, может страхование клиентских рисков информационной безопасности. Однако на российском рынке пока не представлено таких привлекательных страховых продуктов. Большинство их пока находятся на стадии даже не разработки, а обсуждения. В частности, страховые компании склонны предлагать продукты с франшизой, что непопулярно у клиентов, для которых потеря любой суммы со счёта критична, и означает потерю доверия к банку.

Данный вид страхования необходимо адаптировать к «национальным особенностям» России, использовав наработки крупных иностранных страховых компаний. Хорошо проработанный страховой продукт, привлекательный и для страховщиков, и для страхователей смог бы стать подходящим средством перевода рисков и отличным подспорьем в оптимизации затрат на возмещение убытков от инцидентов.

У банков и страховых компаний может быть своё различное видение определения страховых случаев. Взаимодействие специалистов страховых компаний с сотрудниками подразделений информационной безопасности и юристами банков было бы продуктивно для совместной выработки определения страховых случаев, формата и процедуры доказательства их наступления.

Пока существенная проблема констатирования наступления страхового случая – юридически значимые доказательства инцидента, анализ фактов нарушения требований безопасности при использовании электронных платёжных средств. В странах, где финансовые IT-сервисы развиваются давно и широко распространены, клиенты чувствуют себя более защищёнными, потому что знают: в случае инцидента надо обращаться в банк, там помогут. Все клиенты – и продвинутые в техническом плане, и новички.

ПРЕОДОЛЕТЬ ПРЕДРАССУДКИ

Постепенно и объём пластиковых карт, и интерес к ним, к электронным безналичным платежам у нас в стране выросли, что особенно стало заметно с 2010 года. Но до сих пор 51,5% населения, как свидетельствуют социологические исследования, проведенные по заказу Банка России, используют банковские карты преимущественно для снятия наличных денег. А у 37% карты вовсе отсутствуют. Лишь самые активные, 11,5% граждан, используют карты по назначению – для оплаты товаров и услуг. Утешает позитивная тенденция: если в 2011 году оплачивать покупки наличными деньгами предпочитало более 90% населения, то в 2012-м – 88,5%.

Отметим, что в массовом сознании присутствуют два полярных предрассудка относительно безопасности электронных платежей. Одни клиенты, сравнительно недавно начавшие активно использовать ДБО, делают это зачастую наобум. Считая, что государство и банки должны защитить их на все 100%, они не утруждают себя даже знакомством с правилами безопасности сервисов. Другие, напротив, испытывают излишние опасения, вызванные байками о «всемогуществе» хакеров, и предпочитают по старинке пользоваться наличными деньгами.

Надо признать, что противодействие мошенничеству со стороны государственных органов и банков активизировалось не столь давно. Эту деятельность надо широко пропагандировать, чтобы помочь гражданам преодолеть боязнь оплачивать покупки при помощи банковских карт. Помогут публикации в прессе информации о предотвращении попыток хищений в сфере ДБО, раскрытии преступлений и наказании IT-криминалитета.

Кроме того, общая задача и государства, и банков, особенно по мере активного распространения мобильного банкинга, – доходчиво информировать клиентов о правилах «информационной гигиены» при использовании новых сервисов. Инциденты легче предотвращать, чем потом расследовать.

Нужно ещё раз отметить: информирование клиентов по функционалу и особенностям проведения безналичных платежей является на данном этапе такой же важной задачей банков, как и собственно технические меры безопасности. В результате новые финансовые услуги станут всё более распространёнными, а также повысится уровень лояльности клиентов и готовность к переходу на новые технологии безопасности платежей, как показывает опыт продвинутых западных рынков.

 

Смотрите также

Щедрость по разуму

24 декабря, 2012

Учить или не учить?

4 декабря, 2012
Подпишись на новости!
Подписаться