понедельник, 4 мая 2015 г.

Стоит ли банкам бороться за безопасность мобильных платежей?

X-Mobile Archives - Page 3 of 4 - XAKEP.RU

С точки зрения экономической эффективности необходимость борьбы с мобильными банковскими угрозами неочевидна, полагает независимый эксперт Алексей Лукацкий

«На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение «О несанкционированных операциях, совершенных с использованием устройств мобильной связи». Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в том числе и мобильных.

В 382-П вопросам безопасности мобильного банкинга как самостоятельной задаче внимания почти не уделено, что и понятно. Все-таки мобильный банкинг, с точки зрения защиты, отличается от обычного только способом получения клиента ДБО – через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.

Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющуюся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе восемь простых и при этом здравых рекомендаций:
  • установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами;
  • не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты;
  • своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента;
  • не скачивать на устройство мобильной связи приложения из непроверенных источников;
  • не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;
  • не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карты (СVV/CVC-код1), пароли от «Клиент-банка», одноразовые коды подтверждения;
  • при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте;
  • в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).
У меня, по сути, претензия только к последней рекомендации, а точнее к «срокам, установленным законодательством РФ». Где они установлены и почему нельзя было просто указать конкретное значение?

Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные «эксперты» в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей, и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений, и, вообще, отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира, и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.

Сейчас тема экономической оценки эффективности вновь на коне, и если смотреть на деятельность служб информационной безопасности не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной два года назад (соотношение осталось таким же). И если мы посмотрим на текущий кейс, то картина следующая: 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос – вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить, со мной должно случиться не менее трех аналогичных инцидентов в год.

С точки зрения оценки выгод и затрат необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная
Правда, по данному инциденту необходимо сделать несколько оговорок:

Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков – ущерба для них нет, и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа «сурьезности», то в этом случае потери на одного клиента будут больше. Но насколько?
Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов – это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банках, и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
Чтобы делать вывод о серьезности проблемы в общероссийском масштабе, нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению, Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013 года.
Отсюда вывод: с точки зрения экономики информационной безопасности, каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности, борьба с этой проблемой не такая уж и очевидная в настоящий момент.

Есть и вторая точки зрения. Это compliance (три драйвера «продаж» информационной безопасности – страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос – а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать».

источник
Автор: на
Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)