ТЕХНОЛОГИИ УДАЛЕННОГО ОБСЛУЖИВАНИЯ
Стандартный набор сервисов ДБО для современного розничного банка выглядит примерно следующим образом:
Рассмотрим эти типовые технологии, которые используются для удаленного обслуживания клиентов.
1. IVR
IVR(англ. InteractiveVoiceResponse) – система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра, пользуясь информацией, вводимой клиентом с помощью тонального набора.
Данный сервис также позволяет клиенту, не прибегая к помощи сотрудников банка, получить типовую информацию о продуктах и услугах, а также выполнить элементарные операции самообслуживания, например, заблокировать свою пластиковую карту. Это позволяет банку существенно снизить количество сотрудников в call-центре и сэкономить на их зарплате. С точки зрения безопасности данная категория систем дистанционного обслуживания не является критичной, так как реальные финансовые транзакции через нее не проводятся.
2. Банкоматная сеть
Современный терминал самообслуживания позволяет практически полностью заменить небольшой круглосуточный банковский офис.
В целом все банкоматы можно разделить на 2 группы – открытого доступа и закрытого доступа. Что касается последних, то они устанавливаются на закрытой территории предприятия как оборудование для зарплатного проекта. Если это не «политический» проект, то он запускается ради эффективности, т.е. доходы
от проекта (комиссия за перечисление средств на карты, остатки на карточных счетах и т.д.) оправдывают расходы на обслуживание банкомата.
Что касается банкоматов открытых, расположенных в общедоступных местах, то их следует рассматривать как инструмент продвижения, продаж и обслуживания розничных продуктов банка. Сейчас банкоматы выполняют следующие основные функции:
В зависимости от технологичности процессинга конкретного банка функционал банкоматов может быть расширен. Что касается непосредственно его эффективности, то она рассчитывается как разница доходов (прямых и косвенных) и расходов (также прямых и косвенных).
Доходы (прямые):
Доходы (косвенные):
Расходы (прямые):
Расход (косвенный):
Из этих статей и складывается эффективность.
Кроме того, каждый банкомат с функцией приема наличных и возможностью оплаты услуг однозначно снижает нагрузку на персонал, заменяет «живую» силу на автоматизированную. Полноценный банкомат-терминал, по нормативам крупных банков, заменяет одного сотрудника.
К недостаткам относится достаточно высокая стоимость каждого терминала, необходимость обеспечивать их физическую и информационную безопасность. Следует отметить, что в последнее время вновь участились случаи воровства денег с банковских карт при помощи скиммеров нового поколения, которые крайне сложно обнаружить. Соответственно, развитие банкоматной сети зачастую вопрос не столько прямой экономической выгоды, сколько привлечения новых клиентов под зарплатные проекты.
3. Интернет-банкинг для физических лиц
В последнее время рынок этих банковских сервисов развивается с огромной скоростью, превышающей 100% в год. Он максимально удобен для пользователя, потому что позволят управлять своим счетом, получать выписки, оплачивать коммунальные услуги и штрафы не выходя из дома. Уже можно говорить о том, что клиенты выбирают, в каком банке обслуживаться, не по количеству банкоматов или величине процентной ставки, а по удобству и набору возможностей системы интернет-банкинга.
Если говорить о финансовой эффективности внедрения системы интернет-банкинга для финансовой организации, то она рассчитывается как разница между доходами и расходами:
Доходы (прямые):
Доходы (косвенные):
Расходы (прямые):
В конечном итоге, по отзывам нескольких розничных банков, данный вид дистанционного обслуживания окупается довольно быстро и является исключительно прибыльным.
Однако, как это обычно бывает, есть и другая сторона медали. Возможность получить доступ к чужому счету, не приходя в банк, заинтересовала компьютерных мошенников, вследствие чего банки столкнулись с волной хакерских атак на счета своих клиентов.
Итогом стало снижение доверия пользователей к системам интернет-банкинга и росту затрат банков на обеспечение информационной безопасности. Впоследствии мы рассмотрим основные решения, применяемые для снижения рисков клиентов.
4. Мобильный банкинг
Пока что не очень распространенное, но достаточно модное направление дистанционного банковского обслуживания. В связи с ростом популярности смартфонов, особенно среди обеспеченных слоев населения, многие финансовые организации заказали разработку приложений для iOS(iPad, iPhone), Android и т.д.
В целом, плюсы, минусы, затраты и доходы здесь схожи с обычными системами интернет-банкинга для физических лиц. Отличие – более привилегированная целевая группа клиентов. Также мобильный банкинг накладывает ряд жестких требований на используемые средства безопасности. Если в стандартном интернет-банкинге возможно применение дополнительных криптографических средств – токенов, смарт-карт и т.д., то для пользователя с телефоном такие варианты защиты не подходят. Соответственно, приходится применять решения, не привязанные к аппаратной и программной платформам.
5. Интернет-банкинг для юридических лиц
Если финансовая организация обслуживает не только розничных, но и корпоративных клиентов, то к вышеперечисленным сервисам дистанционного обслуживания обязательно добавится интернет-банкинг для юридических лиц, иногда дополняемый «оффлайновой» версией, так называемой системой клиент-банк. Данная разновидность систем дистанционного банкинга давно уже является стандартным средством взаимодействия между клиентом (юридическим лицом) и банком, практически полностью исключая необходимость лично отвозить платежные поручения, получать выписки и т.д.
Естественно, что набор и функциональность систем ДБО, используемых в конкретном банке, полностью определяются спецификой бизнеса самого банка. Например, финансовые организации, специализирующиеся на потребительском кредитовании, зачастую не уделяют большого внимания расширению банкоматной сети и системы интернет-банкинга, предпочитая использовать для приема кредитных платежей хорошо развитые терминальные сети партнеров.
Как интересный пример можно привести банк «Тинькофф Кредитные Системы», который полностью отказался от развития филиальной сети, предоставив
клиентам максимально широкий спектр каналов ДБО. Например, клиенту возвращается на карту комиссия, снятая за использование банкоматов сторонних банков, существует возможность все операции проводить дистанционно, даже для заключения договора курьер приезжает на дом. Такая концепция позволяет экономить средства на аренде офисов и зарплате клиентских менеджеров, параллельно привлекая активную и обеспеченную целевую аудиторию.
УГРОЗЫ, РИСКИ И МЕТОДЫ ЗАЩИТЫ СИСТЕМ ДБО
Несмотря на все экономические преимущества использования каналов дистанционного банковского обслуживания, некоторые из них несут в себе значительные финансовые риски для клиентов и репутационные – для банка. Дело в том, что получить доступ к счету пользователя системы ДБО для юридических или физических лиц может получить сторонний человек, «заразивший» компьютер клиента вредоносным программным обеспечением. Массовые атаки такого рода в России были зафиксированы в 2007 году, и с тех пор убытки от них растут колоссальными темпами, достигнув в 2010 году $ 1 млрд.
Корни проблемы – в невозможности обеспечить должный уровень безопасности на рабочих станциях клиентов, количество которых в разных банках колеблется от нескольких десятков до сотен тысяч. Стоит отметить также инерционность мышления многих кредитных организаций, которые очень долго не желали признавать наличие угроз и предпринимать меры для снижения рисков. Намного проще было включить в договор фразу
«клиент самостоятельно несет ответственность за сохранность ключей электронной подписи (ЭП) и признает легитимными все платежные документы, подписанные с использованием его ключей ЭП». При этом типовой клиент понятия не имеет, как обеспечить сохранность ключей электронной подписи.
Многие банки всё же отнеслись к проблеме достаточно серьезно, оперативно внедрив различные решения для повышения безопасности систем ДБО. Рассмотрим основные виды технических средств защиты, используемые в отечественных финансовых организациях. Отталкиваться можно от того, что все клиенты – юридические лица используют для подтверждения целостности платежных документов криптографические методы, а именно – электронную подпись. Основные отличия между применяемыми технологиями – это тип носителя ключа ЭП, а также дополнительные средства аутентификации и подтверждения транзакций.
1. Хранение ключей ЭП на незащищенных носителях
В наши дни уже, к счастью, редкость, но до сих пор встречается либо в небольших банках, либо в тех финансовых организациях, которые предпочли просто переложить всю ответственность за сохранность денег на клиентов. Атака на данную технологию защиты настолько элементарна, что не требует от мошенника ни каких-либо особых навыков, ни больших денежных вложений.
2. Хранение ключей ЭП на защищенных носителях (без аппаратно реализованной криптографии)
Метод, в свое время позволивший быстро «заткнуть дыру» в безопасности систем интернет-банкинга и снизить количество хищений средств со счетов клиентов. Однако в настоящее время данная технология уже не является надежной защитой, так как злоумышленники научились копировать ключи из защищенной области памяти токенов, а также использовать возможности удаленного подключения к компьютеру клиента. Количество атак такого рода будет расти еще какое-то время, так как, по оценкам экспертов, в период с 2007 по 2011 годы банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно, поле для деятельности хакеров крайне велико.
3. Использование аппаратных криптосредств (USB-токенов, смарт-карт последнего поколения)
В качестве противодействия атакам с хищением ключей ЭП из защищенной памяти были созданы токены и смарт-карты с криптографией «на борту». В случае их использования секретный ключ ЭП генерируется внутри микросхемы смарт-карты, а команда на его извлечение отсутствует. При подписи документа данные передаются в смарт-карту, там подписываются, а наружу выходит только результат (подпись). Это позволило сделать закрытые ключи ЭП неизвлекаемыми, то есть их хищение (копирование) стало невозможно принципиально.
Спустя некоторое время после появления данной технологии на рынке воцарилась эйфория, высказывались мысли о том, что найдена «панацея» против хищений, однако на деле все оказалось не так радужно. Несмотря на надежную защиту ключа ЭП от копирования, его оказалось не так легко защитить от несанкционированного использования. Практически сразу увеличилось количество атак с использованием средств удаленного управления компьютером клиента (класса TeamViewer), либо при помощи удаленного подключения к USB-порту (технология USB-over-IP). Несмотря на это, данная технология защиты на сегодняшний день остается на рынке преобладающей.
4. Сочетание аппаратного криптосредства с дополнительным подтверждением транзакции при помощи одноразового пароля (SMS, скретч-карта, генератор OTP)
В данном случае, злоумышленник, даже если получал удаленный доступ к компьютеру клиента, не мог отправить подписанный платежный документ, так как не знал одноразовый пароль для подтверждения транзакции. Такой метод защиты оказался не очень популярным в системах ДБО для юридических лиц, в силу того, что удобство работы пользователя значительно снизилось, а стоимость комплекта безопасности при этом повысилась.
Кроме того, в конце 2010 года появился новый тип атак, который легко преодолел все существующие на рынке средства защиты – «подмена платежного документа». Дело в том, что пользователь не видит, какой документ уходит на подпись после того, как он нажмет кнопку «отправить», что позволяет мошенникам подписывать произвольные платежи, подменяя информацию на экране монитора. Эта атака перевернула все существующие представления о безопасности интернет-банкинга, так как противодействовать ей на уровне операционной системы оказалось невозможно.
5. Использование считывателей смарт-карт с возможностью визуального контроля подписываемых данных
Эта технология позволяет заблокировать все известные типы удаленных атак на счета клиентов систем интернет-банкинга, так как:
Такие считыватели смарт-карт появились на рынке совсем недавно, в середине 2011 года, сейчас идет их активное встраивание в системы дистанционного банкинга для юридических лиц. Первые проекты ожидаются в феврале-марте 2012 года.
Анализируя развитие технологий безопасности ДБО и эволюцию типов атак, можно сделать вывод о том, на сегодняшний день приобретение банками любых перечисленных средств защиты для клиентов, кроме средств визуального контроля подписываемого документа, – это выброс денег на ветер.
ЗАРАБАТЫВАТЬ НА БЕЗОПАСНОСТИ
Продолжая тему экономического обоснования проекта по повышению безопасности систем, можно отметить положительный опыт многих банков, которые смогли не только внедрить средства защиты для работы в системе интернет-банкинга, но и получить весьма существенную прибыль от их реализации. Все дело в том, что клиенты банков в кризисные годы стали более внимательными к финансовым рискам и готовыми платить за свою безопасность в ДБО. Наверняка сыграло свою роль большое количество информации в прессе и на специализированных форумах о хищениях средств с банковских счетов клиентов.
Таким образом, клиенты стали относиться к услугам безопасности, которые им предлагает оказать банк, не как к «продаже слонов», а как к его конкурентному преимуществу, за которое имеет смысл заплатить некоторое количество денег. Следовательно, банк имеет возможность зарабатывать на услугах по обеспечению безопасности в своей системе ДБО. Для этого ведущие кредитные организации уже предложили клиентам действительно необходимые и качественные услуги, а затраты на приобретение средств обеспечения безопасности пользователей в системах ДБО включили в стоимость обслуживания.
Перечислим наиболее удачные варианты такого включения:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных