В ходе Дискуссионной сессии 4 «Безопасность платежного бизнеса, влияние ИБ» в рамках XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии» был поднят вопрос безопасной разработки и безопасности предлагаемых платежных сервисов.
Заместитель начальника Службы информационной безопасности Банка «Возрождение» Василий Окулесский выразил мнение, что «безопасная разработка не гарантирует нам, что мы будем пользоваться безопасными сервисами». С этим согласились и другие спикеры дискуссии.
«Безопасная разработка не гарантирует нам, что мы будем пользоваться безопасными сервисами. И история с разработкой безопасных сервисов требует абсолютно другого подхода к своей реализации», — отметил Василий Окулесский.
На это начальник Управления противодействия мошенничеству в сфере ИБ Газпромбанка Николай Пятиизбянцев добавил, что проблема еще состоит в том, что когда даже безопасность при разработке в самом начале говорит, что это делать небезопасно, бизнес с целью доступности услуги, упрощения, привлекательности говорит: да, это небезопасно, но я это принимаю. «Очень простой пример: ДБО для физических лиц. В качестве логина все знают, что использовать номер телефона небезопасно, надо какой-то случайный логин, иначе мошенник изначально знает логин и ему остается подобрать только пароль. Почти ни один банк не идет на то, чтобы пользователь выбирал свой логин. Почему? Потому что пользователь забывает свой логин, а номер телефона свой он не забывает никогда. И это осознанное решение игнорирования безопасности. И таких решений достаточно много в бизнесе», — привел он пример.
Также Николай Пятиизбянцев сказал, что банки — это коммерческие организации, которым в первую очередь надо зарабатывать деньги, и вопросы безопасности встают только тогда, когда они эти деньги теряют. И всегда это некие весы: с одной стороны, затраты, с другой — потенциальные потери. И если мы можем их как-то соотнести, мы можем принять решение, куда идти. При этом, добавил он, когда мы защищаем государственные тайны, мы не смотрим на затраты, но когда мы защищаем коммерческую тайну, мы всегда считаем затраты.
«Из этого вытекает совершенно неприятный вывод — безопасно никогда не будет. То есть мы живем в тот век, когда мы должны принять для себя риск того, что безопасность банковских сервисов, платежных сервисов — это миф», — отметил Василий Окулесский.
«Если учитывать еще социальную инженерию, я считаю, что безопасность — это всегда забота самих клиентов. Ни один банк не сделает абсолютно безопасный продукт, который еще будет учитывать, что человек сам будет способствовать мошенникам, чтобы они у него деньги украли», — добавил Николай Пятиизбянцев.
BIS Journal — информационный партнер XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».
.png)