BIS Journal №3(34)/2019

6 августа, 2019

Ожидается новая норма

Проблема деактуализации адресов электронной почты клиентов финансовых организаций возникла в связи с тем, что на сегодняшний день этот канал связи является одним из основных инструментов взаимодействия банка и клиента. На почту могут приходить как рекламные акции продуктовой линейки кредитной организации, так и важная информация о состоянии счета (банковские выписки).

 

E-MAIL ПО-ПРЕЖНЕМУ ВАЖЕН

Зачастую клиенты банков без должного внимания относятся к присылаемой по электронной почте информации, направляемой банком, воспринимая рассылки исключительно как навязчивый маркетинг. Вследствие такого отношения бывает, что указывают в договоре обслуживания либо несуществующий адрес электронной почты, либо чужой. Таким образом, клиент сам повышает риск разглашения своей банковской тайны и персональных данных.

Недостоверный адрес электронной почты клиента финансовой организации может доставлять как технические неудобства (неполучение или несвоевременное получение полезной информации), так и приводить к существенному ущербу (репутационному, хищению денежных средств и т.п.). Клиент сам подвергает себя рискам некорректного управления состоянием своего счета, контроля за погашением кредита, разнообразных финансовых потерь. Но в таком случае есть и подводная часть айсберга: сведения о держателе счета могут собираться третьими лицами, в том числе злоумышленниками.

В настоящее время банки на должном уровне решили вопросы актуального подтверждения принадлежности конкретным пользователям средств дистанционного взаимодействия (SIM-карт, номеров и устройств мобильной связи и т.п.). Потому что эти устройства выступают как инструменты электронных платежей, т.е. с их помощью можно осуществить перевод денежных средств.

 

РИСКИ ДЕАКТУАЛИЗАЦИИ

Риски финансовых потерь здесь явные. Вряд ли кто-то пожелает без подтверждения привязывать к мобильному банкингу свой телефон, тем более, не станет использовать неизвестно чей. В вопросах, напрямую не связанных с переводами денежных средств, понимания необходимости актуализировать для банков свою персональную информацию, к сожалению, нет.

Используя собранные данные клиентов, злоумышленник в дальнейшем может использовать методы социальной инженерии, что в конечном счете также приведет к потере денег клиента банка. Деактуализированные адреса электронной почты клиентов делают их потенциальными мишенями спама, фишинга, рассылок вредоносного программного обеспечения, хищение конфиденциальной информации и т.п.

Кроме введения верификации банками адресов электронной почты клиентов, существуют и другие меры защиты дистанционных сервисов от злоумышленников: переход к «подтверждённым», «авторизованным» средствам телекоммуникаций (номерам и SIM-картам мобильной связи, IP- и MAC-адресам устройств, аккаунтам в социальных сетях и т.п.). Подтвержденные белые списки дают большую вероятность, что операция совершается самим клиентом, что информация от банка попадет именно к нему.

Банки собирают и анализируют информацию о технических средствах, которыми клиент пользуется для электронного банкинга. Законодательство и другие нормативные документы предписывают банкам сбор такой технической информации для оценки профиля клиента, чтобы определить вероятность того, что операцию совершает легальный держателем счета, а не злоумышленник.

 

ЗНАЙ СВОЕГО КЛИЕНТА

В настоящее время Государственная Дума РФ работает над законопроектом, обосновывающим создание системы проверки банками и операторами платёжных систем сведений о владельцах SIM-карт, в марте 2019 года прошло первое чтение. Этот законопроект, как и требование банкам проверять и регулярно актуализировать адреса электронной почты клиентов, развивают нормативно-правовую базу выполнения принципа KYC (от англ. know your customer − знай своего клиента).

Существуют разные способы актуализации банками персональных данных клиентов, включая адрес электронной почты. Например, первичное подтверждение, что клиент имеет доступ к почтовому ящику или номер телефона путем направления на него ссылки или одноразового кода подтверждения. Альтернативой может являться размещение данных в личном кабинете и направление клиенту ссылки на соответствующий раздел. При этом для доступа по такой ссылке потребуется аутентификация в личном кабинете.

Все способы подтверждения позволяют снизить вероятность раскрытия защищаемых данных третьим лицам, однако они не предоставляют стопроцентной гарантии, что клиент ознакомится с нужной информацией вовремя. Это всецело на совести самого клиента. К проработке вопроса о верификации электронной почты привлечены крупные банки, работающие как с физическими, так и с юридическими лицами.

Нормативные документы Банка России устанавливают требования к порядку защиты информации без установления конкретных технологий. Однако мы можем направлять поднадзорным организациям методические рекомендации и информационные письма с целью доведения до них сведений о лучших практиках. Подобные документы являются общедоступными и публикуются на сайте Банка России, поэтому могут использоваться в других отраслях и сферах.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных