Страховка от хакера

Автор: Леонид Чуриков

Банки уже давно страхуют свои риски, связанные с мошенничеством в Интернете, в отдельных случаях — риски юрлиц, использующих ДБО. Частным пользователям интернет-банкинга при получении возмещения стоит рассчитывать только на лояльность кредитной организации. Впрочем, ситуация может измениться: страховщики начали создавать массовый продукт и для физических лиц.

Индивидуальная страховка

Начальник отдела страхования финансовых институтов ОСАО «Ингосстрах» Дмитрий Шапошников рассказал, что компания страхует риски операций в ДБО у многих банков, но только в рамках программы комплексного страхования, выдавая так называемые полисы ВВВ (Bankers Blanket Bond). Такие программы включают страхование профессиональной ответственности, а также защиту от компьютерных преступлений.

При этом страховщики, также как и банки, уверены, что большинство случаев мошенничества в системе дистанционного банковского обслуживания происходит по вине самого клиента. Влияют халатность при работе с информационной банковской системой, недостаточная защищенность компьютера или же злой умысел. Последнее, по мнению Шапошникова, более характерно для клиентов — юридических лиц, имеющих дело с системой «Интернет-банк».

Полис BBB может считаться одним из источников возмещения потерь в ДБО, но необходимо принимать во внимание тот факт, что этот страховой инструмент нацелен на покрытие крупных убытков банка и содержит значительную по размеру франшизу (обычно от 20 тыс. до 100 тыс. долларов). Поэтому большинство банков возмещают убытки частных клиентов за счет своих средств, а следовательно, за счет клиента — путем повышения стоимости обслуживания. «Физическое лицо, — пояснил Шапошников, — не может застраховать подобные риски, лишь юридическое лицо в индивидуальном порядке, а зачастую — только в рамках комплексного страхования своих имущественных интересов».

Новый продукт на страховом прилавке

Инициатива создания массового страхового продукта для физических и юридических лиц принадлежит поставщикам систем безопасности. В частности, свои предложения по этому вопросу компания SafeTech (разработчик решений для защиты операций в ДБО) разослала всем крупнейшим страховщикам. С одним из них — компанией «РОСНО» — был разработан страховой продукт, суть которого заключается в следующем: банк может предложить своим клиентам (как физическим, так и юридическим лицам) страховое покрытие рисков при работе в системе ДБО. При этом клиент обязан соблюдать несколько простых, выполнимых требований по обеспечению безопасности на своем компьютере и использовать рекомендованные средства защиты. Если эти правила выполняются, то при хищении денег со счета страховая компания возместит потери.

По словам генерального директора SafeTech Дениса Калемберга, продукт разработан по аналогии с автострахованием КАСКО. «Если вы не пьете за рулем, то при аварии убытки будут возмещены. Если поставите хорошую сигнализацию — стоимость услуги существенно снизится», — пояснил он.

Если клиент считает, что у него незаконно были списаны деньги через систему «Интернет-банк», то ему требуется написать заявление в кредитную организацию, правоохранительные органы и предоставить независимому эксперту компьютер, с которого происходило подключение к системе ДБО.

На банк возложены процедура «быстрого реагирования на инцидент с целью остановки и возврата платежа», уведомление страховой компании и предоставление страховщику информации, необходимой для расследования инцидента (IP-адреса, подлинность ЭЦП, факт использования СМС-пароля и т. п.).

Вирус выплате не помеха

Основная задача аккредитованного страховщиком эксперта — подтвердить отсутствие злого умысла со стороны клиента, а также соблюдение им заранее оговоренных элементарных норм безопасности (наличие лицензионной операционной системы, антивируса, фаервола и соблюдение некоторых других правил). Одним из таких экспертов выступает Group IB — известная российская компания, специализирующаяся на киберкриминалистике.

Заместитель генерального директора Group IB Александр Писемский подчеркивает, что наличие на компьютере троянской или вирусной программы не освобождает страховщика от выплат. Напротив, именно такие случаи и являются страховыми. В договоре с клиентом, в частности, должно быть прописано, что он получает возмещение, если деньги ушли не по назначению из-за заражения компьютера вредоносной программой, кражи пароля или логина, организации удаленного доступа к компьютеру и так далее.

Посещение клиентом банка (физическим лицом) потенциально опасных сайтов, в том числе торрент-трекеров, не нарушает страховой договор. Страховщик не ограничивает частных клиентов в использовании таких ресурсов, в отличие от юридических лиц. Компаниям же рекомендовано посещать только банковский сайт, а также порталы из ограниченного списка (новостные, бухгалтерские и прочие интернет-страницы, актуальные для сотрудника, которому доверен компьютер, подключенный к интернет-банку).

Миллион за тысячу

Что касается стоимости страхования операций в ДБО, то она, по словам начальника управления по корпоративному банковскому страхованию РОСНО Давида Чалахяна, для физического лица сравнима с платой за СМС-информирование. Другими словами, страховка обходится частному клиенту примерно в 1 000 рублей в год. Размер выплат при этом может колебаться от 100 тыс. до 1 млн рублей и выше. Максимальная сумма страхового возмещения определяется тем, какие средства защиты ДБО предлагает банк и какие из них использует клиент, а также зависит от тарифного плана и возможных остатков на клиентских счетах.

Всех пользователей интернет-банкинга эксперты РОСНО условно разделили на несколько категорий в зависимости от уровня их индивидуальной защищенности. Например, высокий уровень предполагает, что клиент использует токен или смарт-карты с неизвлекаемыми ключами электронной подписи в сочетании с генератором одноразовых паролей. Для среднего уровня защищенности характерно визирование платежных документов с помощью ключа электронной подписи на защищенном носителе без использования одноразового пароля или ключа на копируемом носителе и одноразового пароля. О низком уровне защиты свидетельствует наличие только одного ключа на копируемом носителе (без использования одноразового пароля).

Для получения максимально выгодных условий страхования для своих клиентов банк также должен отвечать ряду требований к безопасности своей системы ДБО. Например, использовать систему фрод-мониторинга, уведомлять клиентов о каждой совершенной операции по их счетам и т. д.

Давид Чалахян рассказал, что на данный момент внедрение программы страхования рисков мошенничества в Интернете обсуждается с десятком крупных российских банков.

«Ведутся детальные переговоры, в ходе которых уточняются детали, взаимные обязательства и тарифы, дорабатывается или пересматривается политика банка по компьютерной безопасности», — уточняет он. Страховщик полагает, что в скором времени один из банков объявит о начале страхования рисков физических и юридических лиц, пользующихся интернет-банкингом, но какая кредитная организация ближе всех подошла к запуску такой услуги, пока сказать сложно.

И нравится, и колется

Опрос, проведенный Банки.ру, показал, что отношение кредитных организаций к страхованию рисков ДБО разное. Некоторые из них опасаются, что на начальном этапе развития нового сегмента компании будут предлагать заведомо «невыплатные» страховки.

Но в то же время представители банков признают важность работы в этом направлении. «Вопрос заключения договоров страхования для клиентов, использующих альтернативные каналы, очень актуален в настоящее время», — подтвердили в Сбербанке. В пресс-службе финучреждения уточнили, что в банк обращался «ряд членов страхового сообщества с подобными инициативами».

Заместитель начальника управления разработки технологий розничного бизнеса Пробизнесбанка (ФГ «Лайф») Мария Гладких утверждает, что с конкретными предложениями в банк никто из страховщиков пока не обращался. Однако кредитная организация «очень хорошо относится к подобной инициативе» и «с удовольствием готова сотрудничать со страховыми компаниями».

Начальник отдела банковского страхования Райффайзенбанка Роман Карандин видит главную сложность организации процесса страхования операций физлиц в интернет-банкинге в том, что для заключения соглашения с СК банку потребуется организовать обмен огромным объемом информации. И далеко не все финансовые институты будут готовы раскрывать страховщику данные о рисках и защищенности клиентов.

«Это не позволит банку получить предложение, адекватное по составу страховой защиты и стоимости полиса», — объяснил Карандин. По его мнению, такой продукт вряд ли на данном этапе может быть массовым или стандартизированным, поскольку в каждом случае он должен «затачиваться» под специфику работы конкретного банка.

Заместитель председателя правления банка «Авангард» Валерий Торхов считает, что страхование рисков может быть целесообразным, когда речь идет о редких и дорогостоящих финансовых операциях. Тогда в выигрыше и банк, и страховая компания, которая, обслуживая сходные риски по достаточно большой группе своих клиентов, может дать обоснованное предложение по условиям страхования. По массовым же операциям, таким, каких в интернет-банке совершается ежедневно десятки или сотни тысяч, страхование для банков может оказаться экономически неоправданным. «В этом случае сам банк имеет возможность «резервировать» средства для компенсации возможных потерь», — полагает Торхов.

Надежды не оправдались

Повысить уровень финансовой защищенности клиентов банков без приобретения страхового полиса мог бы закон «О национальной платежной системе», в котором есть положение об отзывности платежей (ст. 9). Оно предусматривает, что банки должны будут возвращать клиентам средства в случае несанкционированного платежа, проведенного, например, после утраты клиентом электронной цифровой подписи или ее использования без согласия пользователя.

Появившись в первой редакции закона, указанный пункт не на шутку взволновал всех игроков финансового рынка. Однако после принятия наступило затишье. Его можно объяснить тем, что у банкиров появилось время, чтобы подготовиться: пункты, связанные с использованием цифровой подписи, вступают в силу через 18 месяцев после принятия основных норм в сентябре 2011 года. Но тот факт, что финучреждения пока не собираются менять клиентские договоры, может свидетельствовать о том, что текущая редакция закона их устраивает. В тексте есть оговорка, что кредитная организация может не возмещать убытки, если доказано, что совершение операции без согласия клиента обусловлено нарушением самим клиентом порядка использования электронной подписи. Сейчас, судя по отзывам клиентов, таким нарушителем чувствует себя практически каждый пользователь интернет-банкинга, пострадавший от мошенников.