С точки зрения экономической эффективности необходимость борьбы с мобильными банковскими угрозами неочевидна, полагает независимый эксперт Алексей Лукацкий
«На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение «О несанкционированных операциях, совершенных с использованием устройств мобильной связи». Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в том числе и мобильных.
В 382-П вопросам безопасности мобильного банкинга как самостоятельной задаче внимания почти не уделено, что и понятно. Все-таки мобильный банкинг, с точки зрения защиты, отличается от обычного только способом получения клиента ДБО – через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.
Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющуюся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе восемь простых и при этом здравых рекомендаций:
- установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами;
- не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты;
- своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента;
- не скачивать на устройство мобильной связи приложения из непроверенных источников;
- не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;
- не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карты (СVV/CVC-код1), пароли от «Клиент-банка», одноразовые коды подтверждения;
- при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте;
- в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).
Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные «эксперты» в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей, и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений, и, вообще, отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира, и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.
Сейчас тема экономической оценки эффективности вновь на коне, и если смотреть на деятельность служб информационной безопасности не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной два года назад (соотношение осталось таким же). И если мы посмотрим на текущий кейс, то картина следующая: 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос – вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить, со мной должно случиться не менее трех аналогичных инцидентов в год.
С точки зрения оценки выгод и затрат необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная
Правда, по данному инциденту необходимо сделать несколько оговорок:
Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков – ущерба для них нет, и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа «сурьезности», то в этом случае потери на одного клиента будут больше. Но насколько?
Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов – это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банках, и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
Чтобы делать вывод о серьезности проблемы в общероссийском масштабе, нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению, Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013 года.
Отсюда вывод: с точки зрения экономики информационной безопасности, каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности, борьба с этой проблемой не такая уж и очевидная в настоящий момент.
Есть и вторая точки зрения. Это compliance (три драйвера «продаж» информационной безопасности – страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос – а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать».
источник
Комментариев нет:
Отправить комментарий