Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».
Не стоит забывать и про такую опасность, как внутренние угрозы банков. «Мне представляется, что в скором времени массовый потребитель банковских услуг осознает простую вещь: внутренние угрозы опаснее внешних, — заявляет Николай Федотов из InfoWatch. — То, что это верно для других областей, уже всем очевидно. И только банки всеми силами привлекают внимание публики к внешним злоумышленникам — и старательно отвлекают от внутренних. Хотя именно инсайдеры-злоумышленники виноваты в большинстве хищений и других инцидентов».
«Основной защитой любой системы является грамотность ее пользователей, — продолжает тему Аркадий Прокудин , заместитель руководителя центра компетенции информационной безопасности компании “АйТи”. — До сих пор встречаются сотрудники, которые записывают пароли на бумажках и клеят их на монитор. Или используют пароли вроде 12345678, 00000 или “пустой” пароль. На мой взгляд, обученный специалист, соблюдающий политику безопасности компании, — это уже организация защиты на 50 процентов, все остальное доводится дополнительными решениями».
Наконец, участники рынка говорят о необходимости усиления роли государства в области регулирования интернет-банкинга. По последним данным, Банк России собирается в ближайшее время подготовить новый обязательный перечень правил для банков, предоставляющих услуги интернет-платежей. В частности, активно обсуждается идея обязательно указывать в банковских реквизитах еще и IP-адрес каждого клиента.
Как банки могут снизить угрозу интернет-банкинга
Дмитрий Бирюков , заместитель начальника отдела информационной безопасности банковских систем компании "Астерос":
Дмитрий Бирюков
- Прежде всего стоит отметить, что само понятие "интернет-банкинг" в России весьма расплывчато. В российском законодательстве до сих пор не существует нормативного документа с соответствующей четкой формулировкой. Эта деятельность регулируется различными федеральными законами, а также нормативными актами Банка России. Но до тех пор, пока нет официального определения, каждая кредитная организация в договоре с клиентом на дистанционное банковское обслуживание вынуждена сама описывать, что она понимает под интернет-банкингом. От того, насколько полно и грамотно составлен этот документ, зависят последствия споров между банком и клиентом. Для примера: типовой договор Bank of America с клиентом занимает около 60 страниц и описывает практически все возможные случаи и распределение ответственности между сторонами. Особое внимание в подобном документе уделяется как раз вопросам обеспечения информационной безопасности.
Ну а если говорить о том, какими средствами сегодня можно обеспечивать защиту интернет-банкинга, то первое, что нужно сделать, - в дополнение к имеющейся технической и эксплуатационной документации на системы, обеспечивающие предоставление услуг интернет-банкинга для клиентов, разработать пакет организационно-распорядительных документов по обеспечению информационной безопасности. Затем необходимо продумать регламенты и инструкции для сотрудников самого банка. И наконец, разработать инструктивные документы для клиентов, пользующихся данной услугой. Эта информация должна быть понятно и юридически грамотно отражена в заключаемых с клиентами договорах на дистанционное банковское обслуживание.