Дистанционное банковское обслуживание давно перестало быть экзотикой рынка и превратилось в почти обыденную услугу. Нередко банки преподносят наличие ДБО как свое конкурентное преимущество. Однако не следует забывать, что функционирование ДБО сопряжено с рядом проблем, решить которые иногда очень непросто.
Отечественные системы ДБО достаточно активно развиваются. Однако пока что налицо экстенсивный путь развития: количество систем существенно опережает их качество, под которым подразумеваются объем предоставляемых сервисов, удобство использования, доступность и защищенность. Например, некоторые системы не позволяют клиентам совершать активные операции, а только предоставляют информационное обслуживание. При использовании других систем ДБО возникают проблемы в эксплуатации, связанные с неспособностью системы корректно работать в силу различных причин. Иногда бывает проще подъехать в отделение банка, нежели, например, использовать систему интернет-банкинга отдельной кредитной организации. Важной проблемой является отсутствие каналов связи в некоторых населенных пунктах. И все же первое место в списке факторов, сдерживающих развитие ДБО, занимают вопросы информационной безопасности.
Совершенствование систем
Эксперты отмечают, что рынок систем ДБО постепенно становится все более насыщенным. Одновременно ужесточаются требования к удобству, эргономике систем как со стороны конечных пользователей - клиентов банков, так и со стороны ИТ-служб банка, администрирующих эти системы. Для того чтобы ДБО стало реальным фактором конкуренции, оно должно строиться на основе продуманных функциональных решений, сочетающих технологическое достоинство продукта с эффективностью для бизнеса банка и удобством конечного потребителя услуг ДБО. Только такая система ДБО может в реальности дать банку заметные преимущества и положительно изменить его имидж в глазах клиентов.
Еще несколько лет назад термин «системы ДБО» прочно ассоциировался с инструментом обслуживания исключительно среднего и крупного бизнеса. Сегодня системы ДБО для физических лиц стали неотъемлемой частью услуг любого банка, строящего бизнес с частными клиентами. Это связано с несколькими факторами. Во-первых, с развитием высокоскоростных сервисов оплаты услуг, которые больше не требуют от клиента посещения филиала банка или офиса организации. Во-вторых, с конкурентной борьбой между банками и платежными системами виртуальных денег, которые первыми заняли сегмент на рынке осуществления операций через каналы массового обслуживания. Наконец, со снижением себестоимости осуществления таких операций для банков, по некоторым оценкам, на 25-35%.
В настоящее время банки стремятся развивать возможности уже внедренных ими систем дистанционного банковского обслуживания за счет максимального расширения перечня компаний, в пользу которых физические лица могут произвести платежи. Для того чтобы клиент начал пользоваться новыми возможностями, необходимо обеспечить ему максимальное удобство при оплате с помощью ДБО различных квитанций. По этой причине банки улучшают и упрощают интерфейс системы удаленного обслуживания, добавляют шаблоны для каждого вида платежа.
Кредитные организации стремятся к тому, чтобы у клиентов в зависимости от конкретной жизненной ситуации, типа выполняемой операции, технологической грамотности была возможность проведения операции и возможность получения информации через различные каналы - интернет-банкинг, мобильный банкинг, контактный центр и т.д.
Безопасносность: есть, была и будет
Значение безопасности и необходимость защиты информации при ДБО сложно преувеличить. Безопасность осуществления расчетов была, есть и наверняка будет важнейшим аспектом дистанционного взаимодействия клиента с банком. Причем проблемы обеспечения безопасности и защиты информации актуальны для всех каналов ДБО.
Базовые механизмы защиты сервисов ДБО (на уровне криптографии, усиленной процедуры аутентификации и т.д.) реализованы довольно давно. Тем не менее увеличение объема преступлений в системах ДБО составляет, по оценкам экспертов, 2-4 раза в год, а в абсолютном выражении это миллионы долларов. Развитие технологий ДБО, к сожалению, создало не только удобный сервис для клиентов, но и среду по перемещению средств, полученных мошенническим путем, с минимальным риском для злоумышленников обнаружить себя. Тем более что не все клиенты, использующие сервис ДБО, должным образом контролируют уровень защищенности среды доступа к каналам ДБО, что влияет на эффективность применения традиционных механизмов защиты. Это заставляет финансово-кредитные организации самостоятельно реали-зовывать дополнительные меры контроля. Многие банки вплотную рассматривают возможность использования систем фрод-мониторинга, позволяющих эффективно реализовывать такую защиту на основе анализа бизнес-логики событий.
Это же элементарно...
Безопасность системы ДБО зависит от двух сторон - от банка и от клиента, причем у каждого своя зона ответственности. В зоне ответственности банка находится комплексное обеспечение безопасности системы. В рамках реализации этой задачи финансово-кредитные организации делают все возможное для того, чтобы защитить ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента.
Однако при этом, как правило, клиент все же должен обеспечивать элементарные нормы безопасности на своем рабочем месте для работы с клиент-банком.
Действительно, ситуация складывается таким образом, что клиент оказывается менее защищен, нежели организация, поэтому и действия мошенников сместились именно в эту зону. Злоумышленники пошли по пути наибольшей экономической целесообразности: зачем взламывать сервер «клиент-банк», что сложно и затратно, если можно просто украсть ключи, которые в некоторых случаях просто «лежат» в компьютере у клиента.
Могут также возникать ситуации, когда пользователь вводит пароль в неправильном месте или оставляет его в системе сохраненным: тем самым он дает возможность злоумышленникам воспользоваться паролем. Клиентские риски также связаны с недостаточно безопасными способами авторизации: например, у пользователя нет карточки паролей, либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-либо и который кто-то может увидеть.
Однако защита клиентской стороны все-таки постепенно повышается, считают некоторые банковские эксперты. Это происходит с помощью устройств защищенного хранения ключей ЭЦП и защищенной выработки электронной подписи, посредством доверенных устройств отображения по подписи платежного поручения, с помощью доверенных каналов подтверждения платежа и использования доверенной среды для работы с клиент-банком.
Необходимость законодательных перемен
Среди сложностей ДБО есть также проблемы законодательного плана, например недостаток правоприменительной практики по многим статьям, отсутствие заинтересованности правоохранителей, отсутствие у них наработанных методик ведения уголовных дел по хищениям в ДБО. Отдельно следует сказать о неудовлетворительном взаимодействии правоохранительных органов с банками и клиентами банков. Некоторые эксперты в области защиты банковской информации прямо говорят о том, что назрела необходимость создания специализированного полицейского подразделения, которое, взаимодействуя со службами безопасности финансово-кредитных организаций, могло бы полностью расследовать и доводить до завершения дела по таким специфическим видам хищений.
Наконец-то и на высшем уровне в феврале 2012 года прозвучало заявление о необходимости борьбы с интернет-преступностью и создания в полиции принципиально новых подразделений, ориентированных на выявление и раскрытие сложных в техническом плане преступлений.
МНЕНИЕ ЭКСПЕРТА
Илья МИТРИЧЕВ, директор по развитию бизнеса департамента по работе с корпоративными клиентами АМТ-ГРУП
Одним из трендов развития банковских услуг является максимально возможный перенос банковских продуктов в дистанционные каналы. В сочетании со взрывным развитием мобильных устройств системы ДБО уже стали бизнес-значимыми для банков, и их значимость только возрастает.
Мошеннические операции - повод для беспокойства?
Как уже отмечалось в прессе, всем, кто оказывает дистанционные услуги, противостоит «индустрия» мошенничества: не только одиночки, но и высококвалифицированные, технически оснащенные группы, в том числе и международные. Готовы ли банки противопоставить что-либо адекватное? Большинство не смогут. Лишь немногие банки серьезно подошли к вопросу противодействия мошенникам. Из российских финансово-кредитных организаций только Сбербанк решился на проведение открытого конкурса по выбору системы фрод-мониторинга. Остальные банки или проводят ограниченные закрытые процедуры по выбору способов защиты, или вообще откладывают этот вопрос до лучших (худших?) времен.
Что реально применяется? Обычно следующее:
- встроенные в ДБО средства отбора подозрительных платежей. Эти средства ограничиваются контролем реквизитов платежных транзакций. Редким исключением является использование информации об устройстве, с которого был отправлен платеж;
- самописные средства контроля поступающих платежных документов, в которые заложены алгоритмы выявления подозрительных платежей исходя из ранее обнаруженных случаев фрода;
- универсальные средства мониторинга и отчетности, адаптированные под задачи выявления транзакций по предустановленным критериям.
То есть Россия, как обычно, идет своим путем. Ситуация с фрод-мониторингом напоминает время, когда люди использовали автомобили «Жигули», «Москвич» и др. на все случаи жизни и доделывали, ремонтировали их самостоятельно или у местных «кулибиных».
Согласен, есть сложность с финансовым обоснованием внедрения промышленных систем. Еще не все банки на практике сталкивались с существенными потерями. Специфика области - не распространять информацию об успешных и предотвращенных атаках. Поэтому критика в большей мере относится к бизнес-подразделениям банков и риск-менеджменту. Именно эти подразделения, в первую очередь, должны поддержать ИТ-блок в проектах по противоборству мошенникам. А мы со своей стороны готовы предоставить промышленные решения и оказать услуги по внедрению.
Начать дискуссию