6 августа, 2019, BIS Journal №3(34)/2019

Ожидается новая норма


Сударенко Артём

консультант (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ГУБиЗИ Банка России)

Банки обяжут регулярно актуализировать адреса электронной почты клиентов.

Проблема деактуализации адресов электронной почты клиентов финансовых организаций возникла в связи с тем, что на сегодняшний день этот канал связи является одним из основных инструментов взаимодействия банка и клиента. На почту могут приходить как рекламные акции продуктовой линейки кредитной организации, так и важная информация о состоянии счета (банковские выписки).

 

E-MAIL ПО-ПРЕЖНЕМУ ВАЖЕН

Зачастую клиенты банков без должного внимания относятся к присылаемой по электронной почте информации, направляемой банком, воспринимая рассылки исключительно как навязчивый маркетинг. Вследствие такого отношения бывает, что указывают в договоре обслуживания либо несуществующий адрес электронной почты, либо чужой. Таким образом, клиент сам повышает риск разглашения своей банковской тайны и персональных данных.

Недостоверный адрес электронной почты клиента финансовой организации может доставлять как технические неудобства (неполучение или несвоевременное получение полезной информации), так и приводить к существенному ущербу (репутационному, хищению денежных средств и т.п.). Клиент сам подвергает себя рискам некорректного управления состоянием своего счета, контроля за погашением кредита, разнообразных финансовых потерь. Но в таком случае есть и подводная часть айсберга: сведения о держателе счета могут собираться третьими лицами, в том числе злоумышленниками.

В настоящее время банки на должном уровне решили вопросы актуального подтверждения принадлежности конкретным пользователям средств дистанционного взаимодействия (SIM-карт, номеров и устройств мобильной связи и т.п.). Потому что эти устройства выступают как инструменты электронных платежей, т.е. с их помощью которых можно осуществить перевод денежных средств.

 

РИСКИ ДЕАКТУАЛИЗАЦИИ

Риски финансовых потерь здесь явные. Вряд ли кто-то пожелает без подтверждения привязывать к мобильному банкингу свой телефон, тем более, не станет использовать неизвестно чей. В вопросах, напрямую не связанных с переводами денежных средств, понимания необходимости актуализировать для банков свою персональную информацию, к сожалению, нет.

Используя собранные данные клиентов, злоумышленник в дальнейшем может использовать методы социальной инженерии, что в конечном счете также приведет к потере денег клиента банка. Деактуализированные адреса электронной почты клиентов делают их потенциальными мишенями спама, фишинга, рассылок вредоносного программного обеспечения, хищение конфиденциальной информации и т.п.

Кроме введения верификация банками адресов электронной почты клиентов, существуют и другие меры защиты дистанционных сервисов от злоумышленников: переход к «подтверждённым», «авторизованным» средствам телекоммуникаций (номерам и SIM-картам мобильной связи, IP- и MAC-адресам устройств, аккаунтах в социальных сетях и т.п.). Подтвержденные белые списки дают большую вероятность, что операция совершается самим клиентом, что информация от банка попадет именно к нему.

Банки собирают и анализируют информацию о технических средствах, которыми клиент пользуется для электронного банкинга. Законодательство другие нормативные документы предписывает банкам сбор такой технической информации для оценки профиля клиента, чтобы определить вероятность того, что операцию совершает легальный держателем счета, а не злоумышленник.

 

ЗНАЙ СВОЕГО КЛИЕНТА

В настоящее время Государственная Думой РФ работает над законопроектом, обосновывающим создание системы проверки банками и операторами платёжных систем сведений о владельцах SIM-карт, в марте 2019 года прошло первое чтение. Этот законопроект, как и требование банкам проверять и регулярно актуализировать адреса электронной почты клиентов, развивают нормативно-правовую базу выполнения принципа KYC (от англ. know your customer − знай своего клиента).

Существуют разные способы актуализации банками персональных данных клиентов, включая адрес электронной почты. Например, первичное подтверждение, что клиент имеет доступ к почтовому ящику или номер телефона путем направления на него ссылки или одноразового кода подтверждения. Альтернативой может являться размещение данных в личном кабинете и направление клиенту ссылки на соответствующий раздел. При этом для доступа по такой ссылке потребуется аутентификация в личном кабинете.

Все способы подтверждения позволяют снизить вероятность раскрытия защищаемых данных третьим лицам, однако они не предоставляют стопроцентной гарантии, что клиент ознакомится с нужной информацией вовремя. Это всецело на совести самого клиента. К проработке вопроса о верификации электронной почты привлечены крупные банки, работающие как с физическими, так и с юридическими лицами.

Нормативные документы Банка России устанавливают требования к порядку защиты информации без установления конкретных технологий. Однако мы можем направлять поднадзорным организациям методические рекомендации и информационные письма с целью доведения до них сведений о лучших практиках. Подобные документы являются общедоступными и публикуются на сайте Банка России, поэтому могут использоваться в других отраслях и сферах.

 

Смотрите также

Подпишись на новости!
Подписаться