Почему многие банки и платежные системы слабо переживают за безопасность своих клиентов?

Я уже длительный период в аутсорсинге. Однажды, в одном финансовом проекте перед моей командой стоял вопрос усиления защиты аккаунтов пользователей путем внедрения двухфакторной аутентификации. Вариант такой системы был выбран нашим заказчиком. Как я понял через время, выбор оказался не очень удачным: служба поддержки реально плохо ориентировалась во всем многообразии своих продуктов, инструкции по развертыванию системы превышали тысячу страниц, софт их работал только под определенную операционную систему, мне даже пришлось побывать на их курсах. Мы, конечно, внедрили эту систему, но средств и времени было потрачено уйма.



Через некоторое время я столкнулся с сервисом двухфакторной аутентификации, который полностью отличается от того, с которым я познакомился раньше: удобный интерфейс, получение аккаунта в системе за минуту, цены ясны без дополнительных запросов, поддержка всевозможных OATH токенов, можно использовать как платформу, так и сервис, и многое другое. Суппорт заслуживает отдельной благодарности. Еще важный момент для клиентов — решение сертифицировано и стоимость реально доступная. После внедрения его в один из наших аутсорсинговых проектов я решил стать их партнером. Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.

Теперь мы подобрались к сути статьи. В первую очередь, свой взор я обратил на финансовые системы и банковский сектор, так как они обладают двумя компонентами, которые присущи моим потенциальным клиентам: наличие данных, несанкционированный доступ к которым недопустим и большое число клиентов. После многочисленных коммуникаций с представителями банковского и фин. сектора я немного разочаровался. Опишу по пунктам, какие преграды я встретил на пути продвижения любых ИТ-решений в банковскую сферу:
  1. Многие считают, что сейчас не время для внедрения дополнительной защиты, так как многие из банков подвержены стагнации или под угрозой полной ликвидации. Они считают, что лучше купить средства физической защиты, такие как броне-двери, защитный туман, экипировку для инкассаторов и другой инвентарь. Я отчасти согласен с такими суждениями, но кибер-преступления никто не отменял.
  2. Если речь идет об иностранном банке, то их местные представители мало что решают, т.к. все решения приходят от головных офисов.
  3. Руководители ИТ-подразделений не всегда заинтересованы в дополнительном бремени внедрения новых продуктов в свою инфраструктуру.
  4. У руководителей банков нет достаточной компетенции и времени, чтобы уделить должное внимание данному вопросу.
  5. Большинство банков используют уже готовые решения (клиент-банки и другое) от провайдеров банковского ПО. А они (провайдеры) просто так не пошевелятся и поддерживать будут третье-сторонние решения только, если увидят свою прямую заинтересованность. Внедрение подобной поддержки в решение от провайдеров дорогостоящие и за все это платит банк. Зачастую следующий банк платит снова за это «внедрение». Почему это дорого не ясно, т.к. стандартное внедрение, описанного выше решения, не представляет собой сложностей и может быть произведено в короткие сроки.

А самое главное, что касается конкретно защиты аккаунтов пользователей и о чем публично не распространяются, это то, что банкиры считают, что кража средств с аккаунта клиента это, скорее, проблема клиента, чем самого банка: «надо было следить за своими сотрудниками, а бухгалтерам не лазить по кулинарным сайтам, на которых были заражены их компьютеры ».

В этой статье я хотел поднять вопрос не только проблемы переноса ответственности на плечи клиентов банка, но способа борьбы с подобной ситуацией. Так что, если у кого-то есть идеи, как преодолеть застой в сознании наших банкиров, то буду рад услышать Ваше мнение.
Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 23

    +1
    > Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.

    Молодец. Тогда может переместить в «Я пиарюсь» или что-то похожее? Что-то не много технических деталей да и объем текста уместнее назвать постом или комментарием, а не статьей.
      +5
      Простите, Ваше замечание беспочвенно — я же не назвал бренд.
      Важна проблематика статьи, а не ее объем.
      –4
      Нормальная статья
        +3
        Проблема в том, что 80% банков начинают, что-то делать для усиления безопасности только после того, как их ограбят.
          +3
          Когда грабят клиентов, некоторые банки вообще «не чешутся». Было дело, перевели со счета нашей компании на счет какой то девушке в моске 300к рубликов, начальних отдела безопасности час убеждал нас, что виноваты мы. Через несколько месяцев у банка отозвали лицензию.
            0
            24.ру?
          0
          «надо было следить за своими сотрудниками, а бухгалтерам не лазить по кулинарным сайтам, на которых были заражены их компьютеры»

          Вы с этим не согластны? Что за мода плодить безграмотных сотрудников чтобы потом их защищать?
            0
            Конечно согласен. Но это, скорее, относится к организационно-административным мерам, а я говорю о технических (программно-аппаратных) средствах защиты, которые помогут минимизировать риск от недобросовестных сотрудников и внешних угроз.
              +3
              Простите, не удержался. Слова «согластны» и «безграмотных» так необычно смотрятся вместе…
                –1
                Грамотность бывает не только в написании слов.
              +1
              Недавно на конференции ZeroNights я общался с одним из руководителей платежной системы, которая ориентируется на безопасность посредством использования телефона пользователя. В разговоре с ним я упомянул, что данный тип доставки одноразовых паролей имеет ряд уязвимостей. На что получил ответ, о простоте такого способа для данной системы, т.е. в данном случае пренебрегают безопасностью ради удобства.

              Когда я писал статью, я рассчитывал на диалог с людьми, которые сталкивались с проблемой безразличности банков к безопасности их клиентов, а пока вижу только уколы между читателями. Жду Ваши комментарии, связанные с содержимым моего поста.
                0
                Удобство — это конкурентное преимущество. Чем больше безопасности, тем больше неудобство, тем меньше услуга похожа на преимущество. Вероятность грабежа закладывается в некие риски, но если прибыль существенно больше убыли, то один-два грабежа не так и страшно. Попробуйте ощутить себя в чужой шкуре и станет понятно почему эти другие так себя ведут. То что по вашему недопустимо, по их мнению очень даже можно делать =).
                  0
                  Проблема в том, что за финансовые потери клиентов в случае атак на их аккаунты банк или платежная система не отвечает. Их касается только репутационный риск. Я не говорю, что они полностью должны возложить все риски на себя, но вот предоставить широкий спектр средств защиты на выбор клиента, на мой взгляд, обязаны.
                    +1
                    А они считают иначе =). Вы один из миллиона, который хочет сверхзащищенности, пусть даже в ущерб удобству. А между тем разработка чего-то сложного это большие деньги. Если большинство клиентов начнет требовать широкий спектр защиты, возможно это даст нужный толчок. В данном случае бал правят деньги и ключевое слово тут — прибыль, а не ум, честь и совесть.
                      –1
                      Я человек, который не хочет отдать свои деньги проворному злоумышленнику.
                      Я уверен, нас больше, чем один из миллиона.
                      0
                      почему это они «обязаны», если это не несет финансовой выгоды и не защищает от существенных убытков?
                  –2
                  Суппорт — это часть автомобиля, кажется. Точно так же как и биндинг — это не связь данных.
                  Но, для того, что бы делать подобные выводы, у вас просто не хватает опыта.
                    –1
                    Результат голосования показывает, что статью больше смотрят представители платежных систем и банков, чем простые клиенты
                      0
                      почему ты считаешь нормальным иметь откат от твоего партнера, но считаешь ненормальным, когда кто-то другой имеет его от своего партнера? ведь это, по сути, главная причина почему тебя прокатили везде, а не из-за перечисленных тобой пяти причин )
                        +1
                        почему ты считаешь нормальным иметь откат от твоего партнера


                        Откат !? Это когда ответственное лицо принимает решение в пользу определенного предложения за вознаграждение.
                        В моем случае, клиент принимает решение о выборе, а я в любом случае получу вознаграждение неважно решение хорошее или плохое. А так как я упомянул, что цена у данного решения ниже, то следуя корыстной логике, в которой Вы меня пытаетесь уличить, я должен предлагать не его, а более дорогое решение. Надеюсь, что я доходчиво пояснил.

                        но считаешь ненормальным, когда кто-то другой имеет его от своего партнера?


                        Неясно, что Вы тут имели ввиду?
                          –2
                          Откат !? Это когда


                          Ок, назовем это профитом. Хотя наличие «ответственности» у лица, я не считаю обязательным при определении слова откат.

                          корыстной логике, в которой Вы меня пытаетесь уличить


                          Да не надо мне вас уличать, вы сами себя обличили русским языком.

                          Неясно, что Вы тут имели ввиду?


                          Уфф, вроде бы взрослый человек, если полезли в банки со своим самоваром… А вам не приходило в голову, что ответственные лица в банках руководствуются именно теми же соображениями? А именно: от применения тех или иных технических решений, они получают личный профит. А тут вы такой красивый и с горячим сердцем, пекущимся о безопасности юзеров…
                        0
                        Вижу, что автору надо было выдумать причины написания поста, т.к. это отвлекает от вопросов статьи )

                          +3
                          В «нулевых» я 5 лет проработал разработчиком системы Клиент-Банк одного из филиалов московского банка.
                          Изначально у нас использовалась самописная dll, реализующая симметричное шифрование ГОСТ-94. Она была маленькая, работала быстро, бесшумно, позволяла клиентам банка самим генерировать ключи.

                          В 2002 году Правительство РФ приняло закон об обязательной сертификации СКЗИ. При этом СКЗИ должно было соответствовать новому ГОСТ-2001, но это ещё фигня — алгоритмы прописаны и их можно реализовать. Проблема в другом: процедура сертификации собственной СКЗИ стоила сумашедших денег, а самое главное, невероятной процедуры прохождения всех проверок и получения разрешений — это был кошмар для банковской сферы! Ни один банк не мог себе позволить такой порнографии.

                          Поэтому нам пришлось искать стороннее (уже сертифицированное ФАПСИ/ФСБ) СКЗИ. И здесь ожидала вторая подлянка: на тот момент их было всего 2: КриптоПро и VipNET (Инфотекс). Цены были конские. Например КриптоПро требовало с каждого рабочего места около 2 тыс. руб., для 2002 года — это ощутимые деньги. Нам кое-как удалось договориться о приемлимой цене с ВипНетовцами, и то при условии, что они сами будут генерять ключи (!!!). Дело в том, что Удостоверяющий Центр (УЦ) стоит конских денег, а наш филиал тогда не мог позволить себе такие расходы (Москва использовала фирменный КБ, их наши проблемы не интересовали).

                          Но и это ещё не всё. Дело в том, что библиотеки VipNet'а были заточены под шифрование сетевого трафика, а не под пользовательскую криптографию. Мне удалось «прикрутить» их библиотеки к нашему КБ, но постоянно выплывали «недокументированные особенности». Первые пол года я долбил их тех. отдел на предмет доработки библиотек. К счастью, они пошли навстречу, и в финале удалось получить работоспособное решение.

                          Парадокс в том, что сторонняя сертифицированная СКЗИ по размеру была сопоставима с самим КБ, включающим движок БД (Btrieve/Pervasive) и VCL-библиотеки Delphi! Теперь вы понимаете: «почему многие банки и платежные системы слабо переживают за безопасность своих клиентов»? Банкам просто не до этого (с учётом того, что творится в сфере банковской отчётности от ЦентроБанка).

                          Подведём итог по криптографии в банках:
                          1) запрещено использование не сертифицированных СКЗИ
                          2) сертификация своего СКЗИ для среднего банка — нереальна
                          3) на рынке сертифицированных СКЗИ особо не покопаешься
                          4) банки перегружены другими проблемами (например, отчётностью ЦБ).

                          Only users with full accounts can post comments. Log in, please.