Эксперты говорят о том, что есть способы победить социальную инженерию технически. Для этого нужно собирать определенные поведенческие характеристики человека, определенные характеристики устройств, которыми он пользуется. И сразу встает вопрос: сбор информации о клиентских устройствах — это не есть ли вмешательство в частную жизнь?

 

Твари дрожащие или право имеют?

По словам заместителя начальника Службы информационной безопасности Банка «Возрождение» Василия Окулесского, этот вопрос намного шире, потому что тот же номер телефона, который в на сегодняшний день для СБП является однозначным идентификатором человека, вообще является абсолютными его персональными данными, которые связаны с его финансами, личностью и в конечном итоге жизнью. «И поэтому сбор и обработка этих персональных данных, сбор поведенческих характеристик клиента — это вмешательство в его частную жизнь или какой-то такой разрешенный процесс в силу объективных обстоятельств, который должен происходить?» — обратился он с экспертам, участвовавшим в Дискуссионной сессии 4 «Безопасность платежного бизнеса, влияние ИБ» в рамках XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».

«В своем роде банки несут ответственность за те услуги, которые предоставляют клиентам, в том числе по «Закону защите прав потребителей», то есть они обязаны и информировать клиентов о всех недостатках данных услуг, в том числе о возможных вариантах кейсов мошенничества. И если банки несут ответственность за предоставляемые финансовые услуги, то и способы и методы использования информации об устройства клиента, о его поведенческих характеристиках носят здесь целесообразный характер», — ответил первым на заданный вопрос руководитель направления Центра противодействия мошенничеству НИП «Информазищита» Алексей Лужнов.

По его словам, клиенты, когда заключают договора о дистанционном банковском обслуживании, подписывают договора, в которых четко есть обозначение о том, что банк будет на какой-то периодической основе осуществлять антивирусную проверку мобильного устройства либо веб-браузера на предмет каких-то вредоносных программ либо вредоносного кода, что банк в праве использовать информацию во время совершения платежа с мобильного устройства о самом устройстве. Клиент при этом, когда устанавливает мобильное приложение, соглашается и наделяет приложение правами, которые у него запрашиваются, будь то доступ к контактам, к смс-сообщениям либо к другой информации операционной системы. «Конечно, клиент в праве не предоставлять доступ к данной информации. Но тут надо понимать, что тогда и степень защиты клиента от мошеннических действий будет значительно ниже, ведь банк не будет обладать полной информацией о самом девайсе. И тогда возможность осуществления мошеннической атаки на данного клиента значительно возрастает. Будут ли банки использовать данную информацию в каких-то своих дальнейших маркетинговых продуктах, возможно, таргетированной рекламе для конкретного клиента — тут уже зависит от желания самого банка. Насколько я знаю, пара банков уже открыто заявляют, что это входит в их планы на ближайшее будущее», — добавил Алексей Лужнов.

А вот по мнению начальника Управления противодействия мошенничеству в сфере ИБ Газпромбанка Николая Пятиизбянцева, для обработки персональных данных существует  в качестве основания не только согласие самого клиента и на самом деле банк может собирать эти данные без согласия клиента для определенных целей. А каких именно целей? Оказание в принципе услуги. То есть для того, чтобы оказать эту услугу банку нужны эти данные. «Почему я не могу без этих данных оказать услугу? Потому что 161-ФЗ («Закон о национальной платежной системе») заставляет меня выявлять признаки нетипичных операций клиентов. Вот я эти данные собираю для этих признаков. Я собираю данные на основании закона, мне не нужно согласие клиента», — высказал он свое мнение.

«Федеральное законодательство, в том числе 161-ФЗ, говорит о том, что банки обязаны это делать. И поэтому ссылаясь на федеральное законодательство формально грамотные юристы могут обосновать почему необходимо данные собирать», — поддержал Николая Пятиизбянцева директор по консалтингу АО «Диалог Наука» Антон Свинцицкий.

 

А есть ли предел?

Вместе с тем тут же встает вопрос о границах: до какой степени банки могут обосновать сбор данных? Например, Василий Окулесский отмечает, что при подписании согласия, в документе, как правило, одной из целей сбора персональных данных клиента указаны «иные цели». «То есть эта третья часть «иные способы» — это как раз можно до бесконечности собирать данные клиента для того, чтобы более точно оценить этот ли клиент на самом деле, а также определить особенности его поведения, что именно он по своей воле делает правильный платеж, а не под давлением снаружи», — пояснил он.

«Все, что ты вгрузишь в систему, анализирующую транзакцию клиента: сессионную составляющую клиента, любая информация об устройстве клиента, его места нахождении, какие-то биометрические данные, которые сейчас активно пытаются снять со всех нас — все это будет использовано не против нас, а для нас со стороны банков. И список ограничен, наверно, только существующими технологиями. Как только появятся новые технологии, новый функционал, что-то новое добавится в список тех параметров, которые необходимо анализировать для выявления в том числе каких-то мошеннических транзакций, мошеннических действий, нацеленных на клиента», — высказал свое экспертное мнение Алексей Лужнов.

 

BIS Journal — информационный партнер XIV Международной онлайн-конференции «Платежная индустрия: практика и трансформация после пандемии».

7 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных