|
|
Судя по отзывам на профильных форумах, тема безопасности интернет-банкинга волнует банковских клиентов едва ли меньше, чем кризисные явления в экономике. Большинство обсуждающих произошедшие инциденты считают, что в пропаже денежных средств со счета виноват банк, не обеспечивший должный уровень безопасности дистанционного сервиса. Это вынуждает банки уходить от прецедентного реагирования на ситуацию – они постепенно понимают, что уровень безопасности, удовлетворявший требованиям ИБ ранее, сегодня недостаточен.
Что делать пользователю, со счета которого внезапно пропали все деньги, которые он доверил банку? Раньше он писал заявления на имя председателя банка, жаловался в милицию и т.д. В большинстве случаев банки возвращали клиенту средства, чтобы нивелировать возможные репутационные риски.
Времена изменились. Сегодня первое, что делает пользователь, обнаруживший пропажу денег со своего счета, – открывает окно интернет-форума. Нет лучшего «рычага давления» на любую коммерческую организацию, чем гласность. Максимально усилить давление на этот «рычаг» позволяют широкие коммуникативные возможности социальных сетей, «живых журналов», сетевых сообществ. Заявление в банк, конечно, никто не отменял, но параллельно с ним информация выкладывается в интернет, и общественность начинает с интересом следить, чем же закончится дело. О возросшем статусе проблемы можно судить и по тому, что к освещению данной темы подключилась не только «тематическая» (ИТ и ИБ ) пресса, но и центральные издания, а также телевидение.
Читая форумы банковских клиентов, можно сделать вывод о том, что тема безопасности интернет-банкинга волнует их даже больше, чем кризисные явления в нашей многострадальной экономике. Количество отзывов на статьи с описанием инцидентов хищения растёт с каждым днём. При этом большинство обсуждающих считают, что во всем виноват банк, который не дал возможности клиенту обеспечить безопасность своего счета.
С другой стороны, перекладывать ответственность на пользователя, не являющегося специалистом в области информационной безопасности, по меньшей мере, неразумно. Конечно, встречаются «продвинутые» уникумы, которые для работы со своим счетом используют специально выделенную виртуальную машину, на которой установлены целые бастионы защиты. Но, во-первых, это очень неудобно, а во-вторых, хоть и снижает риски, но не дает 100%-ной гарантии безопасности. Сложно предположить, что банки надеются на увеличении процента таких уникумов.
Не менее сложно поверить в то, что банковские специалисты не осознают проблемы слабой защищенности пользовательских данных. Но, невзирая на это, они по-прежнему предпочитают прецедентный тип реагирования, необъяснимый ничем, кроме русского «авось»: пусть «соседи» по рынку несут прямые убытки от действий злоумышленников, нас это не касается. Как правило, повлиять на изменения этой позиции может только собственный пример, неизменно выливающийся в оперативное внедрение системы защиты, адекватной возросшим угрозам, денежную компенсацию каждому вкладчику и уведомление остальных клиентов о произошедшей атаке. А дальше вновь подключаются пользователи банковских форумов: предупреждения активно обсуждаются, новости о взломах усердно коллекционируются и анализируются как сетевыми блогерами, так и редакциями сайтов. Все это сказывается на мнении широкой общественности: если банк «угодил» в новостные ленты в негативном контексте не единожды – это серьёзный повод задуматься о выборе конкурирующего предложения.
Ещё два года назад, описываемая проблема не была массовой в нашей стране, мошенники только «набивали руку» и отрабатывали схемы хищений. Тогда многие банки не придавали особого значения редким случаям воровства, так как эти убытки были ничтожно малы по сравнению с огромными прибылями. На предложения со стороны специалистов по информационной безопасности повысить уровень защиты сервисов при помощи дополнительных технических мер обычным ответом было: «спасибо, пока не актуально».
Сегодня можно с уверенностью говорить о том, что ситуация изменилась. При описании количества инцидентов, связанных с хищениями, от сотрудников банков все чаще звучит слово «лавина фишинг-спама», а если проанализировать последние тендеры, которые объявлялись банками, внедряющими новую систему дистанционного обслуживания, то можно заметить, что практически везде стоят достаточно жесткие требования к системам безопасности. Однако процесс внедрения таких технологий занимает не менее полугода, а риски реализации угроз растут постоянно.
Понимая это, банки пускают в ход «промежуточные» меры. Например, ВТБ 24 недавно ввел обязательное условие в своей системе «Телебанк»: помимо электронно-цифровой подписи, платежный документ обязательно должен заверяться одноразовым паролем. Некоторые банки пытаются отслеживать IP-адреса, с которых совершаются операции, блокируя подозрительные действия со счетами клиентов. «Райффайзенбанк» публикует на своем сайте информацию о вирусах, которые могут скомпрометировать конфиденциальные данные. Практически все банки, предлагающие сервисы удаленного обслуживания, размещают предупреждения о том, что официальные представители банка никогда не просят у клиентов реквизиты, необходимые для использования электронных услуг. «Если у вас возникли подозрения о какой-либо сделке, электронном письме или звонке, всегда связывайтесь со своим банком, чтобы убедиться, не стали ли вы жертвой мошенников» - предупреждает своих клиентов уже упоминавшийся Swedbank.
Постепенно банки приходят к пониманию того, что уровень безопасности, удовлетворявший требованиям ИБ ранее, сегодня недостаточен. Однако метод работы «по старинке», а именно – использование дискет, флэш-дисков и прочих «бытовых» носителей для сохранения ключевой пользовательской информации – по-прежнему находит своих сторонников. Это происходит, прежде всего, в силу экономических причин. Но то, что дешево редко бывает надёжно, и в случае с защитой реквизитов доступа это более чем справедливое утверждение.
Денис Калемберг, Ника Комарова