Эксперты говорят о том, что есть способы победить социальную инженерию технически. Для этого нужно собирать определенные поведенческие характеристики человека, определенные характеристики устройств, которыми он пользуется. И сразу встает вопрос: сбор информации о клиентских устройствах — это не есть ли вмешательство в частную жизнь?
Твари дрожащие или право имеют?
По словам заместителя начальника Службы информационной безопасности Банка «Возрождение» Василия Окулесского, этот вопрос намного шире, потому что тот же номер телефона, который в на сегодняшний день для СБП является однозначным идентификатором человека, вообще является абсолютными его персональными данными, которые связаны с его финансами, личностью и в конечном итоге жизнью. «И поэтому сбор и обработка этих персональных данных, сбор поведенческих характеристик клиента — это вмешательство в его частную жизнь или какой-то такой разрешенный процесс в силу объективных обстоятельств, который должен происходить?» — обратился он с экспертам, участвовавшим в Дискуссионной сессии 4 «Безопасность платежного бизнеса, влияние ИБ» в рамках XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».
«В своем роде банки несут ответственность за те услуги, которые предоставляют клиентам, в том числе по «Закону защите прав потребителей», то есть они обязаны и информировать клиентов о всех недостатках данных услуг, в том числе о возможных вариантах кейсов мошенничества. И если банки несут ответственность за предоставляемые финансовые услуги, то и способы и методы использования информации об устройства клиента, о его поведенческих характеристиках носят здесь целесообразный характер», — ответил первым на заданный вопрос руководитель направления Центра противодействия мошенничеству НИП «Информазищита» Алексей Лужнов.
По его словам, клиенты, когда заключают договора о дистанционном банковском обслуживании, подписывают договора, в которых четко есть обозначение о том, что банк будет на какой-то периодической основе осуществлять антивирусную проверку мобильного устройства либо веб-браузера на предмет каких-то вредоносных программ либо вредоносного кода, что банк в праве использовать информацию во время совершения платежа с мобильного устройства о самом устройстве. Клиент при этом, когда устанавливает мобильное приложение, соглашается и наделяет приложение правами, которые у него запрашиваются, будь то доступ к контактам, к смс-сообщениям либо к другой информации операционной системы. «Конечно, клиент в праве не предоставлять доступ к данной информации. Но тут надо понимать, что тогда и степень защиты клиента от мошеннических действий будет значительно ниже, ведь банк не будет обладать полной информацией о самом девайсе. И тогда возможность осуществления мошеннической атаки на данного клиента значительно возрастает. Будут ли банки использовать данную информацию в каких-то своих дальнейших маркетинговых продуктах, возможно, таргетированной рекламе для конкретного клиента — тут уже зависит от желания самого банка. Насколько я знаю, пара банков уже открыто заявляют, что это входит в их планы на ближайшее будущее», — добавил Алексей Лужнов.
А вот по мнению начальника Управления противодействия мошенничеству в сфере ИБ Газпромбанка Николая Пятиизбянцева, для обработки персональных данных существует в качестве основания не только согласие самого клиента и на самом деле банк может собирать эти данные без согласия клиента для определенных целей. А каких именно целей? Оказание в принципе услуги. То есть для того, чтобы оказать эту услугу банку нужны эти данные. «Почему я не могу без этих данных оказать услугу? Потому что 161-ФЗ («Закон о национальной платежной системе») заставляет меня выявлять признаки нетипичных операций клиентов. Вот я эти данные собираю для этих признаков. Я собираю данные на основании закона, мне не нужно согласие клиента», — высказал он свое мнение.
«Федеральное законодательство, в том числе 161-ФЗ, говорит о том, что банки обязаны это делать. И поэтому ссылаясь на федеральное законодательство формально грамотные юристы могут обосновать почему необходимо данные собирать», — поддержал Николая Пятиизбянцева директор по консалтингу АО «Диалог Наука» Антон Свинцицкий.
А есть ли предел?
Вместе с тем тут же встает вопрос о границах: до какой степени банки могут обосновать сбор данных? Например, Василий Окулесский отмечает, что при подписании согласия, в документе, как правило, одной из целей сбора персональных данных клиента указаны «иные цели». «То есть эта третья часть «иные способы» — это как раз можно до бесконечности собирать данные клиента для того, чтобы более точно оценить этот ли клиент на самом деле, а также определить особенности его поведения, что именно он по своей воле делает правильный платеж, а не под давлением снаружи», — пояснил он.
«Все, что ты вгрузишь в систему, анализирующую транзакцию клиента: сессионную составляющую клиента, любая информация об устройстве клиента, его места нахождении, какие-то биометрические данные, которые сейчас активно пытаются снять со всех нас — все это будет использовано не против нас, а для нас со стороны банков. И список ограничен, наверно, только существующими технологиями. Как только появятся новые технологии, новый функционал, что-то новое добавится в список тех параметров, которые необходимо анализировать для выявления в том числе каких-то мошеннических транзакций, мошеннических действий, нацеленных на клиента», — высказал свое экспертное мнение Алексей Лужнов.
BIS Journal — информационный партнер XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».
