Эксперты говорят о том, что есть способы победить социальную инженерию технически. Для этого нужно собирать определенные поведенческие характеристики человека, определенные характеристики устройств, которыми он пользуется. И сразу встает вопрос: сбор информации о клиентских устройствах — это не есть ли вмешательство в частную жизнь?

 

Твари дрожащие или право имеют?

По словам заместителя начальника Службы информационной безопасности Банка «Возрождение» Василия Окулесского, этот вопрос намного шире, потому что тот же номер телефона, который в на сегодняшний день для СБП является однозначным идентификатором человека, вообще является абсолютными его персональными данными, которые связаны с его финансами, личностью и в конечном итоге жизнью. «И поэтому сбор и обработка этих персональных данных, сбор поведенческих характеристик клиента — это вмешательство в его частную жизнь или какой-то такой разрешенный процесс в силу объективных обстоятельств, который должен происходить?» — обратился он с экспертам, участвовавшим в Дискуссионной сессии 4 «Безопасность платежного бизнеса, влияние ИБ» в рамках XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».

«В своем роде банки несут ответственность за те услуги, которые предоставляют клиентам, в том числе по «Закону защите прав потребителей», то есть они обязаны и информировать клиентов о всех недостатках данных услуг, в том числе о возможных вариантах кейсов мошенничества. И если банки несут ответственность за предоставляемые финансовые услуги, то и способы и методы использования информации об устройства клиента, о его поведенческих характеристиках носят здесь целесообразный характер», — ответил первым на заданный вопрос руководитель направления Центра противодействия мошенничеству НИП «Информазищита» Алексей Лужнов.

По его словам, клиенты, когда заключают договора о дистанционном банковском обслуживании, подписывают договора, в которых четко есть обозначение о том, что банк будет на какой-то периодической основе осуществлять антивирусную проверку мобильного устройства либо веб-браузера на предмет каких-то вредоносных программ либо вредоносного кода, что банк в праве использовать информацию во время совершения платежа с мобильного устройства о самом устройстве. Клиент при этом, когда устанавливает мобильное приложение, соглашается и наделяет приложение правами, которые у него запрашиваются, будь то доступ к контактам, к смс-сообщениям либо к другой информации операционной системы. «Конечно, клиент в праве не предоставлять доступ к данной информации. Но тут надо понимать, что тогда и степень защиты клиента от мошеннических действий будет значительно ниже, ведь банк не будет обладать полной информацией о самом девайсе. И тогда возможность осуществления мошеннической атаки на данного клиента значительно возрастает. Будут ли банки использовать данную информацию в каких-то своих дальнейших маркетинговых продуктах, возможно, таргетированной рекламе для конкретного клиента — тут уже зависит от желания самого банка. Насколько я знаю, пара банков уже открыто заявляют, что это входит в их планы на ближайшее будущее», — добавил Алексей Лужнов.

А вот по мнению начальника Управления противодействия мошенничеству в сфере ИБ Газпромбанка Николая Пятиизбянцева, для обработки персональных данных существует  в качестве основания не только согласие самого клиента и на самом деле банк может собирать эти данные без согласия клиента для определенных целей. А каких именно целей? Оказание в принципе услуги. То есть для того, чтобы оказать эту услугу банку нужны эти данные. «Почему я не могу без этих данных оказать услугу? Потому что 161-ФЗ («Закон о национальной платежной системе») заставляет меня выявлять признаки нетипичных операций клиентов. Вот я эти данные собираю для этих признаков. Я собираю данные на основании закона, мне не нужно согласие клиента», — высказал он свое мнение.

«Федеральное законодательство, в том числе 161-ФЗ, говорит о том, что банки обязаны это делать. И поэтому ссылаясь на федеральное законодательство формально грамотные юристы могут обосновать почему необходимо данные собирать», — поддержал Николая Пятиизбянцева директор по консалтингу АО «Диалог Наука» Антон Свинцицкий.

 

А есть ли предел?

Вместе с тем тут же встает вопрос о границах: до какой степени банки могут обосновать сбор данных? Например, Василий Окулесский отмечает, что при подписании согласия, в документе, как правило, одной из целей сбора персональных данных клиента указаны «иные цели». «То есть эта третья часть «иные способы» — это как раз можно до бесконечности собирать данные клиента для того, чтобы более точно оценить этот ли клиент на самом деле, а также определить особенности его поведения, что именно он по своей воле делает правильный платеж, а не под давлением снаружи», — пояснил он.

«Все, что ты вгрузишь в систему, анализирующую транзакцию клиента: сессионную составляющую клиента, любая информация об устройстве клиента, его места нахождении, какие-то биометрические данные, которые сейчас активно пытаются снять со всех нас — все это будет использовано не против нас, а для нас со стороны банков. И список ограничен, наверно, только существующими технологиями. Как только появятся новые технологии, новый функционал, что-то новое добавится в список тех параметров, которые необходимо анализировать для выявления в том числе каких-то мошеннических транзакций, мошеннических действий, нацеленных на клиента», — высказал свое экспертное мнение Алексей Лужнов.

 

BIS Journal — информационный партнер XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».

7 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных