ОЗАБОТИЛИСЬ ПОНЕВОЛЕ
Разные виды дистанционного банковского обслуживание открыли небывалые перспективы возможности расширения рынка банковских услуг. Но есть и сильный сдерживающий фактор – рост хищений, совершаемых «высокотехнологичной» преступностью. «Слабым звеном» информационной защиты финансовых IT-сервисов служит клиент, не соблюдающий правила безопасности. Разбор инцидентов показывал, что чаще всего не умышленно или по небрежности, а из-за элементарного невежества.
Раньше банки могли себе позволить формально информировать клиента о правилах информационной безопасности, до предоставления им доказательств невиновности отказываясь возместить понесённый ущерб. Хорошие, доходчивые инструкции, многократные напоминания требований в ходе пошагового выполнения процедур использования дистанционных банковских услуг встречались лишь в банках, где сотрудники служб информационной безопасности работали не за страх, а на совесть.
Ситуацию изменил ФЗ-161 «О национальной платёжной системе», обязав банк сначала возместить ущерб пострадавшему от IT-воров клиент, а уж потом выяснять-доказывать, кто виноват. Тем самым банки оказались напрямую заинтересованы в том, чтобы их клиенты хорошо знали и неукоснительно выполняли правила информационной безопасности пользования высокотехнологичными сервисами.
Исследование «Как ведущие российские банки заботятся о безопасности своих клиентов», проводившееся весной 2012 года, позволило выяснить, насколько российские банки готовы решать эту новую задачу. Целью было определить доступность и эффективность информирования пользователей банковских услуг о правилах безопасности пользования самыми популярными банковскими IT-сервисами: дистанционным обслуживанием (ДБО) и платёжными картами (БК).
Объектом исследования стали 500 ведущих банков России по версии информационного ресурса www.banki.ru. Рейтинг подсчитывался по ключевым показателям деятельности и кредитному рейтингу, оцененному отечественными и международными специализированными агентствами.
КЛИЕНТОВ ИНФОРМИРУЮТ ПО-РАЗНОМУ
Чтобы понять, насколько искренне банки озабочены сохранностью средств клиентов, исследователи поставили задачу всесторонне оценить доступность, полноту и содержание информирования клиентов о правилах безопасности при использовании IT-сервисов. Для этого провели 2 этапа исследования: вначале искали такую информацию на сайтах банков, а потом, где не находили, пытались получить по указанным контактным телефонным номерам.
Исследователи искали ответ на следующие вопросы:
Оказалось, что далеко не на всех сайтах банков есть информация о предоставлении дистанционных услуг: 16% не сообщали об обслуживании банковских карт, а 14% – о сервисах ДБО. Банки чаще информируют о правилах безопасности пользователей банковских карт, чем ДБО (83% и 74% соответственно).
Исследователи изучили рекомендации банков клиентам – держателям пластиковых карт и сравнили их с памяткой Банка России «О мерах безопасного использования банковских карт». Оказалось, что банки выбирают один из 3 возможных путей:
Принципиально другая ситуация с информацией о безопасности ДБО. Здесь также существует ориентировочный документ – письмо Банка России от 30 января 2009 года № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга». В нём регулятор предлагает банкам выдать клиентам ряд рекомендаций по безопасному использованию системы ДБО. Ни один банк не публиковал его на своём сайте полностью.
Исследователи сравнили наборы рекомендаций, которые дают банки своим клиентам – пользователям системы ДБО, с перечнем рекомендаций, изложенных в письме Банка России. Здесь также присутствуют 3 варианта:
КТО ВО ЧТО ГОРАЗД
Выяснилось, что банки по-разному заботятся о лёгкости доступа клиентов к рекомендациям по информационной безопасности. У одних её невозможно не заметить, у других найти трудно. Критерием простоты поиска рекомендаций на сайте банка исследователи установили наличие заметной ссылки на них, расположенной на странице титульной либо второго уровня. Сложным доступ к рекомендациям считали, если добраться до них по ссылкам с титульной страницы можно лишь за несколько переходов или после запроса в поисковом сервисе.
Как видим, к размещению информации о безопасности на своих сайтах относятся ответственно большинство банков.
Статистика свидетельствует, что рекомендации безопасного использования более доступны для пользователей банковских карт, чем ДБО. Очевидно, что при отсутствии специальных требований со стороны регуляторов банки меньше стараются доводить рекомендации по информационной безопасности до своих клиентов.
На втором этапе исследовали банки, на официальных сайтах которых не удалось найти правил информационной безопасности, попытку повторяли звонком по указанному контактному телефону. Дозвониться удалось до большинства адресатов – 85% банков. Запросы о рекомендациях по информационной безопасности для клиентов банка увенчались следующими результатами.
В первом случае рекомендации удавалось получить – по подсказке, где их найти на сайте банка, в устном изложении или на электронную почту. Во втором рекомендаций не давали, ссылаясь, что они предоставляются лишь при заключении договора, в дистрибутиве или при настройке системы ДБО.
В третьем случае, по-видимому, рекомендаций вообще не было: контактное лицо предлагало задавать конкретные вопросы, либо честно признавалось, что таких рекомендаций нет, а иногда вообще не понимало сути вопроса, рассказывая о системе информационной безопасности самого банка.
НУЖЕН ОБРАЗЕЦ
Исследователи подытожили: в целом банки озабочены безопасностью клиентов, большинство банков дают рекомендации по повышению уровня безопасности использования пластиковых карт и ДБО. Общий уровень доступности и эффективности информирования пользователей исследователи оценили как удовлетворительный, на 3 из 5 возможных баллов. Но проведённый анализ подводит к выводу: в настоящее время рекомендации безопасности для пользователей ДБО по качеству и доступности отстают от рекомендаций держателям карт.
Напрашивается вывод: Банку России необходимо разработать типовую памятку или хотя бы подробный перечень рекомендаций для клиентов по безопасному использованию услуг ДБО. Тогда, наконец, банки получат образец, набор минимальных рекомендаций не только для владельцев пластиковых карт, но и для пользователей ДБО. Что должно повысить качество банковских рекомендаций и их доступность для клиентов.
Большинство ведущих банков предоставляют клиентам в открытом доступе минимум рекомендаций по информационной безопасности. Что, возможно, объясняется тем, что они работают с крупными корпоративными клиентами, у которых, видимо, предполагается квалифицированный персонал, искушённый в вопросах информационной безопасности. Или, может быть, им подобные рекомендации даются в каком-то особом порядке?
ОСТЕРЕГАЙТЕСЬ АНТИСОВЕТОВ
В процессе работы исследователям встречались рекомендации, которые вызывают улыбку у специалистов. А обычные рядовые клиенты банков могут, следуя таким советам, просто запутаться. Возможно, авторы таких рекомендаций сомнительной ценности просто не в ладах с русским языком и не умеют правильно формулировать свои мысли...
А вот и «победитель» в этом «конкурсе».
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных