6 августа, 2019, BIS Journal №3(34)/2019

Ожидается новая норма


Сударенко Артём

консультант (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ГУБиЗИ Банка России)

Банки обяжут регулярно актуализировать адреса электронной почты клиентов.

Проблема деактуализации адресов электронной почты клиентов финансовых организаций возникла в связи с тем, что на сегодняшний день этот канал связи является одним из основных инструментов взаимодействия банка и клиента. На почту могут приходить как рекламные акции продуктовой линейки кредитной организации, так и важная информация о состоянии счета (банковские выписки).

 

E-MAIL ПО-ПРЕЖНЕМУ ВАЖЕН

Зачастую клиенты банков без должного внимания относятся к присылаемой по электронной почте информации, направляемой банком, воспринимая рассылки исключительно как навязчивый маркетинг. Вследствие такого отношения бывает, что указывают в договоре обслуживания либо несуществующий адрес электронной почты, либо чужой. Таким образом, клиент сам повышает риск разглашения своей банковской тайны и персональных данных.

Недостоверный адрес электронной почты клиента финансовой организации может доставлять как технические неудобства (неполучение или несвоевременное получение полезной информации), так и приводить к существенному ущербу (репутационному, хищению денежных средств и т.п.). Клиент сам подвергает себя рискам некорректного управления состоянием своего счета, контроля за погашением кредита, разнообразных финансовых потерь. Но в таком случае есть и подводная часть айсберга: сведения о держателе счета могут собираться третьими лицами, в том числе злоумышленниками.

В настоящее время банки на должном уровне решили вопросы актуального подтверждения принадлежности конкретным пользователям средств дистанционного взаимодействия (SIM-карт, номеров и устройств мобильной связи и т.п.). Потому что эти устройства выступают как инструменты электронных платежей, т.е. с их помощью можно осуществить перевод денежных средств.

 

РИСКИ ДЕАКТУАЛИЗАЦИИ

Риски финансовых потерь здесь явные. Вряд ли кто-то пожелает без подтверждения привязывать к мобильному банкингу свой телефон, тем более, не станет использовать неизвестно чей. В вопросах, напрямую не связанных с переводами денежных средств, понимания необходимости актуализировать для банков свою персональную информацию, к сожалению, нет.

Используя собранные данные клиентов, злоумышленник в дальнейшем может использовать методы социальной инженерии, что в конечном счете также приведет к потере денег клиента банка. Деактуализированные адреса электронной почты клиентов делают их потенциальными мишенями спама, фишинга, рассылок вредоносного программного обеспечения, хищение конфиденциальной информации и т.п.

Кроме введения верификации банками адресов электронной почты клиентов, существуют и другие меры защиты дистанционных сервисов от злоумышленников: переход к «подтверждённым», «авторизованным» средствам телекоммуникаций (номерам и SIM-картам мобильной связи, IP- и MAC-адресам устройств, аккаунтам в социальных сетях и т.п.). Подтвержденные белые списки дают большую вероятность, что операция совершается самим клиентом, что информация от банка попадет именно к нему.

Банки собирают и анализируют информацию о технических средствах, которыми клиент пользуется для электронного банкинга. Законодательство и другие нормативные документы предписывают банкам сбор такой технической информации для оценки профиля клиента, чтобы определить вероятность того, что операцию совершает легальный держателем счета, а не злоумышленник.

 

ЗНАЙ СВОЕГО КЛИЕНТА

В настоящее время Государственная Дума РФ работает над законопроектом, обосновывающим создание системы проверки банками и операторами платёжных систем сведений о владельцах SIM-карт, в марте 2019 года прошло первое чтение. Этот законопроект, как и требование банкам проверять и регулярно актуализировать адреса электронной почты клиентов, развивают нормативно-правовую базу выполнения принципа KYC (от англ. know your customer − знай своего клиента).

Существуют разные способы актуализации банками персональных данных клиентов, включая адрес электронной почты. Например, первичное подтверждение, что клиент имеет доступ к почтовому ящику или номер телефона путем направления на него ссылки или одноразового кода подтверждения. Альтернативой может являться размещение данных в личном кабинете и направление клиенту ссылки на соответствующий раздел. При этом для доступа по такой ссылке потребуется аутентификация в личном кабинете.

Все способы подтверждения позволяют снизить вероятность раскрытия защищаемых данных третьим лицам, однако они не предоставляют стопроцентной гарантии, что клиент ознакомится с нужной информацией вовремя. Это всецело на совести самого клиента. К проработке вопроса о верификации электронной почты привлечены крупные банки, работающие как с физическими, так и с юридическими лицами.

Нормативные документы Банка России устанавливают требования к порядку защиты информации без установления конкретных технологий. Однако мы можем направлять поднадзорным организациям методические рекомендации и информационные письма с целью доведения до них сведений о лучших практиках. Подобные документы являются общедоступными и публикуются на сайте Банка России, поэтому могут использоваться в других отраслях и сферах.

 

Смотрите также

Подпишись на новости!
Подписаться