BIS Journal №4(7)/2012

17 декабря, 2012

Это должен знать каждый

Поэтапно вступающий в силу федеральный закон «О национальной платёжной системе» № 161-ФЗ от 27 июня 2011 года напрямую заинтересовал банки проводить «ликбез» – обучать клиентов правилам информационной безопасности. Потому что сначала банк обязан возместить ущерб от кражи, а потом уж доказывать, кто виноват. Однако оказалось, что понимают это далеко не в каждом из 500 российских банков, ставших объектами исследования российской консалтинговой компании «Pointlane».

ОЗАБОТИЛИСЬ ПОНЕВОЛЕ

Разные виды дистанционного банковского обслуживание открыли небывалые перспективы возможности расширения рынка банковских услуг. Но есть и сильный сдерживающий фактор – рост хищений, совершаемых «высокотехнологичной» преступностью. «Слабым звеном» информационной защиты финансовых IT-сервисов служит клиент, не соблюдающий правила безопасности. Разбор инцидентов показывал, что чаще всего не умышленно или по небрежности, а из-за элементарного невежества.

Раньше банки могли себе позволить формально информировать клиента о правилах информационной безопасности, до предоставления им доказательств невиновности отказываясь возместить понесённый ущерб. Хорошие, доходчивые инструкции, многократные напоминания требований в ходе пошагового выполнения процедур использования дистанционных банковских услуг встречались лишь в банках, где сотрудники служб информационной безопасности работали не за страх, а на совесть.

Ситуацию изменил ФЗ-161 «О национальной платёжной системе», обязав банк сначала возместить ущерб пострадавшему от IT-воров клиент, а уж потом выяснять-доказывать, кто виноват. Тем самым банки оказались напрямую заинтересованы в том, чтобы их клиенты хорошо знали и неукоснительно выполняли правила информационной безопасности пользования высокотехнологичными сервисами.

Исследование «Как ведущие российские банки заботятся о безопасности своих клиентов», проводившееся весной 2012 года, позволило выяснить, насколько российские банки готовы решать эту новую задачу. Целью было определить доступность и эффективность информирования пользователей банковских услуг о правилах безопасности пользования самыми популярными банковскими IT-сервисами: дистанционным обслуживанием (ДБО) и платёжными картами (БК).

Объектом исследования стали 500 ведущих банков России по версии информационного ресурса www.banki.ru. Рейтинг подсчитывался по ключевым показателям деятельности и кредитному рейтингу, оцененному отечественными и международными специализированными агентствами.

КЛИЕНТОВ ИНФОРМИРУЮТ ПО-РАЗНОМУ

Чтобы понять, насколько искренне банки озабочены сохранностью средств клиентов, исследователи поставили задачу всесторонне оценить доступность, полноту и содержание информирования клиентов о правилах безопасности при использовании IT-сервисов. Для этого провели 2 этапа исследования: вначале искали такую информацию на сайтах банков, а потом, где не находили, пытались получить по указанным контактным телефонным номерам.

Исследователи искали ответ на следующие вопросы:

  • дают ли банки рекомендации своим клиентам по повышению уровня безопасности?
  • как рекомендации доводятся до клиентов?
  • насколько хорошо проработано содержание рекомендаций?

Оказалось, что далеко не на всех сайтах банков есть информация о предоставлении дистанционных услуг: 16% не сообщали об обслуживании банковских карт, а 14% – о сервисах ДБО. Банки чаще информируют о правилах безопасности пользователей банковских карт, чем ДБО (83% и 74% соответственно).

Исследователи изучили рекомендации банков клиентам – держателям пластиковых карт и сравнили их с памяткой Банка России «О мерах безопасного использования банковских карт». Оказалось, что банки выбирают один из 3 возможных путей:

  • скопировать рекомендации памятки, сославшись на источник;
  • скопировать рекомендации Банка России без прямого указания на источник;
  • не копировать рекомендации памятки, а разработать собственные.

Принципиально другая ситуация с информацией о безопасности ДБО. Здесь также существует ориентировочный документ – письмо Банка России от 30 января 2009 года № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга». В нём регулятор предлагает банкам выдать клиентам ряд рекомендаций по безопасному использованию системы ДБО. Ни один банк не публиковал его на своём сайте полностью.

Исследователи сравнили наборы рекомендаций, которые дают банки своим клиентам – пользователям системы ДБО, с перечнем рекомендаций, изложенных в письме Банка России. Здесь также присутствуют 3 варианта:

  • выборочно (менее 70%) даются рекомендации из письма № 11-Т;
  • приводится большая часть (не менее 70%) рекомендаций регулятора;
  • приводится набор рекомендаций, отличающийся от перечня, отраженного в письме Банка России.

КТО ВО ЧТО ГОРАЗД

Выяснилось, что банки по-разному заботятся о лёгкости доступа клиентов к рекомендациям по информационной безопасности. У одних её невозможно не заметить, у других найти трудно. Критерием простоты поиска рекомендаций на сайте банка исследователи установили наличие заметной ссылки на них, расположенной на странице титульной либо второго уровня. Сложным доступ к рекомендациям считали, если добраться до них по ссылкам с титульной страницы можно лишь за несколько переходов или после запроса в поисковом сервисе.

Как видим, к размещению информации о безопасности на своих сайтах относятся ответственно большинство банков.

Статистика свидетельствует, что рекомендации безопасного использования более доступны для пользователей банковских карт, чем ДБО. Очевидно, что при отсутствии специальных требований со стороны регуляторов банки меньше стараются доводить рекомендации по информационной безопасности до своих клиентов.

На втором этапе исследовали банки, на официальных сайтах которых не удалось найти правил информационной безопасности, попытку повторяли звонком по указанному контактному телефону. Дозвониться удалось до большинства адресатов – 85% банков. Запросы о рекомендациях по информационной безопасности для клиентов банка увенчались следующими результатами.

В первом случае рекомендации удавалось получить – по подсказке, где их найти на сайте банка, в устном изложении или на электронную почту. Во втором рекомендаций не давали, ссылаясь, что они предоставляются лишь при заключении договора, в дистрибутиве или при настройке системы ДБО.

В третьем случае, по-видимому, рекомендаций вообще не было: контактное лицо предлагало задавать конкретные вопросы, либо честно признавалось, что таких рекомендаций нет, а иногда вообще не понимало сути вопроса, рассказывая о системе информационной безопасности самого банка.

НУЖЕН ОБРАЗЕЦ

Исследователи подытожили: в целом банки озабочены безопасностью клиентов, большинство банков дают рекомендации по повышению уровня безопасности использования пластиковых карт и ДБО. Общий уровень доступности и эффективности информирования пользователей исследователи оценили как удовлетворительный, на 3 из 5 возможных баллов. Но проведённый анализ подводит к выводу: в настоящее время рекомендации безопасности для пользователей ДБО по качеству и доступности отстают от рекомендаций держателям карт.

Напрашивается вывод: Банку России необходимо разработать типовую памятку или хотя бы подробный перечень рекомендаций для клиентов по безопасному использованию услуг ДБО. Тогда, наконец, банки получат образец, набор минимальных рекомендаций не только для владельцев пластиковых карт, но и для пользователей ДБО. Что должно повысить качество банковских рекомендаций и их доступность для клиентов.

Большинство ведущих банков предоставляют клиентам в открытом доступе минимум рекомендаций по информационной безопасности. Что, возможно, объясняется тем, что они работают с крупными корпоративными клиентами, у которых, видимо, предполагается квалифицированный персонал, искушённый в вопросах информационной безопасности. Или, может быть, им подобные рекомендации даются в каком-то особом порядке?

ОСТЕРЕГАЙТЕСЬ АНТИСОВЕТОВ

В процессе работы исследователям встречались рекомендации, которые вызывают улыбку у специалистов. А обычные рядовые клиенты банков могут, следуя таким советам, просто запутаться. Возможно, авторы таких рекомендаций сомнительной ценности просто не в ладах с русским языком и не умеют правильно формулировать свои мысли...

  • Если вы забыли ПИН, не сообщайте его при звонке в банк.
  • Не вводите неправильный ПИН.
  • Не используйте карту, которую Вы объявили утраченной – обязательно перевыпустите ее.
  • Не применяйте физическую силу при вводе карты.
  • Запоминайте инструкции и обычный текст, с помощью которого с вами общается банкомат. Любые необычные инструкции или обращения – повод для сомнений!
  • Если накладка поверх гнезда для ввода карточки в банкомат вызывает сомнения – можно подергать её на себя. Несанкционированно установленные устройства, как правило, крепятся с помощью двухстороннего скотча и если их потянуть на себя, то они быстро отвалятся.
  • Не набирайте SMS-сообщения в публичных местах, в присутствии других лиц.
  • Не используйте банковскую карту как закладку в книге.
  • Сигналы, которые должны немедленно вызвать крайнюю настороженность при совершении операции в сети интернет: задержка доставки; предложения, поступившие без запроса; слишком хорошо, чтобы быть правдой (очень низкие цены или огромные объёмы).
  • Запомните ПИН или запишите, храните его в надежном месте, а затем уничтожьте ПИН-конверт.
  • Не используйте карту в устройствах, не предназначенных для этого, например, телефонных аппаратах или в турникетах метро.

А вот и «победитель» в этом «конкурсе».

  • Никаких рекомендаций по безопасности мы вам дать не можем. Мошенники стали такими изобретательными, что от них сложно защититься и дать какие-то рекомендации. Вот будете Вы пользоваться банкоматом или в магазине расплачиваться картой, а там скиммер злоумышленника стоит... и всё.

Результаты исследования подводят к важному выводу. Известно, что сложность и многоступенчатость мер информационной защиты снижает привлекательность продукта. Но есть недорогое и действенное средство выстроить оптимальный баланс удобства и безопасности банковских IT-сервисов. Это – качественное информирование банками клиентов о правилах информационной безопасности, выработка привычки их соблюдать.

Смотрите также