Что делают банки для того, чтобы защитить нас от мошенников?

ЭкспертHi-Tech

Слишком хорошо знают своих клиентов

Что делают банки для того, чтобы защитить нас от мошенников? Придется ли нам заплатить за это удобством совершения операций или разрешением им следить за нами?

Алексей Долженков

Кибербезопасность в финансовой сфере в условиях пандемии становится все более актуальной темой. По данным Банка России, объем операций без согласия клиентов во втором квартале 2021 года превысил три миллиарда рублей. Это на 38% выше показателя второго квартала 2020 года. При этом доля возвращенных средств сократилась с 12,8 до 7,4%. Что касается социальной инженерии, главного способа хищения денег с банковских счетов, то ее доля сократилась с 68,6 до 47%.

Однако радоваться рано: это связано с сокращением доли социальной инженерии в сфере оплаты товаров и услуг в интернете. В наиболее же проблемной по этому показателю сфере дистанционного банковского обслуживания (ДБО) ситуация практически не изменилась. Там доля социальной инженерии по сравнению с аналогичным периодом предыдущего года снизилась только на 5% — с 86,8 до 81,8%, а общая сумма операций без согласия клиентов выросла на 70% и достигла 1,24 млрд рублей. Иными словами, мошенникам проще атаковать клиентов банков напрямую, чем пытаться выманить деньги, используя схемы с использованием онлайн-магазинов.

Почему именно этот сегмент наиболее уязвим для действий мошенников? Что делают банки для защиты своих клиентов в этой сфере? Попробуем разобраться.

Для начала придется признать, что никаких глобальных прорывов за последние года два не произошло. Все так же слабым звеном в системах защиты остается человек — чаще всего это сами клиенты банков, но и сотрудники банков могут слить чувствительную информацию или базу данных на сторону.

Слежка за сотрудником

Для начала отметим, что технологические способы защиты информации о наших счетах постоянно совершенствуются и злоумышленникам становится все сложнее их преодолевать. По данным того же ЦБ, использование ошибок при разработке программного обеспечения для получения доступа к деньгам клиентов снизилась во втором квартале 2021 года по сравнению с аналогичным периодом 2020-го) на 70%. Значительно снизился и уровень фрода (англ. fraud — мошенничество) при установке финансовых приложений. По данным отчета AppsFlyer, в период со второго квартала 2020 года по первый квартал 2021-го уровень этого вида мошенничества снизился в России на 62%. Приложения, ворующие данные, сдают позиции везде: во Франции уровень фрода при установке приложения упал на 52%, в Африке — на 50%, в Германии и Великобритании — на 50 и 30% соответственно, на Ближнем Востоке на 20%.

К сожалению, даже самые совершенные технологические решения не могут обеспечить стопроцентной защиты данных, во многом из-за человеческого фактора. «Полностью исключить возможность утечки персональных данных из банков — практически неразрешимая задача, — поясняет директор компании “Антифишинг” Сергей Волдохин. — Причина в том, что организация и сопровождение процесса хранения данных требует администратора — человека, который будет управлять работой системы и поддерживать ее в рабочем состоянии. А если есть человек, значит, можно найти способ воспользоваться его слабостями: запугать, предложить денег или помощь в решении каких-то проблем в обмен на данные из хранилища».

Финансовые организации, реально обеспокоенные вопросом защиты клиентских данных в своих системах, в последнее время занимаются оптимизацией доступа своих сотрудников к данным клиентов. Цель — сделать так, чтобы сотрудники получали доступ только к той информации о клиенте, которая нужна прямо сейчас. Например, чтобы они не видели телефонный номер клиента (звонок идет через систему банка), чтобы у сотрудников не было возможности получить доступ к полной клиентской базе.

«Используются различные системы анализа активности сотрудников — ролевой доступ (ограничение/предоставление доступа к данным в зависимости от того, какую роль в данный момент выполняет пользователь системы. — “Эксперт”), анализ использования данных и анализ утечек, — рассказывает банкир, основатель финтех платформы TalkBank Михаил Попов. — Они позволяют по первым выверенным утечкам определять возможные источники и проводить внутреннее расследование относительно конкретных сотрудников. Используется также технология разделения данных между сотрудниками, с тем чтобы у одного сотрудника одновременно не формировалась вся картина по клиенту. Используется ограничение по количеству данных, которые могут быть запрошены единоразово. Контролируется то, как сотрудник может сохранять эти данные. Используются различные системы слежения, чтобы никто не фотографировал, не сканировал или не копировал клиентские данные, и так далее».

Пандемия внесла в этот процесс еще один фактор неопределенности — необходимость перевода части сотрудников на удаленку. Банкам, впрочем как и другим компаниям, пришлось обеспечивать безопасность при удаленном доступе к внутренним системам банков и данным клиентов. В этом случае внимание к вопросам безопасности должно быть еще выше, чем при работе из офиса. В дома и квартиры камеры скрытого наблюдения не поставишь.

Слежка за клиентом

С клиентами вопрос значительно сложнее. За ними такую плотную слежку, к счастью, установить невозможно. Впрочем, пользователи банковского приложения Сбера жалуются, что для работы оно требует большое количество разрешений, например к фотографиям и звонкам. С одной стороны, это нарушение права на личную жизнь, особенно если приложение отказывается работать без этих разрешений, с другой — позволяет банкам, не только Сберу, анализировать больше параметров поведения своих клиентов и находить подозрительные, выходящие за рамки привычек клиента, действия. В качестве примеров можно назвать крупную покупку в другой стране, когда клиент еще час назад что-то купил в супермаркете рядом со своим домом, или перевод крупной суммы на номер карты или телефон, при том что этого номера нет в его книге контактов и раньше он делал только небольшие переводы.

Такого рода антифрод-решения применяются банками уже некоторое время. Но сравнительно недавно за счет все большего внедрения технологий искусственного интеллекта и анализа больших данных появилась возможность анализировать поведение каждого клиента в отдельности. Раньше же приходилось ограничиваться общими настройками антифрода, в лучшем случае для групп клиентов.

«Активно идет анализ поведенческих характеристик транзакционной активности клиента. Это необходимо, чтобы антифрод-система срабатывала именно на нехарактерных для клиента активностях, работая более персонализировано и гибко, — поясняет Михаил Попов. — Раньше были единые правила для всех клиентов, что часто сопровождалось дискомфортом. Сейчас задача антифрод-системы — подходить более персонализированно к каждому конкретному клиенту, понимать привычные для него задачи, типичный размер операций и их типы. При этом используются различные системы анализа цифрового следа: как в приложении, так и на сайтах и других устройствах».

«В целом можно выявлять и пресекать бóльшую часть аномальных для клиента действий, — рассуждает Алексей Коняев, руководитель департамента решений по безопасности “SAS Россия/СНГ”. — Однако следует помнить, что в таком случае система будет реагировать и на другие похожие аномалии. Не нужно думать, что современная умная антифрод-система обладает какой-то магией — нет, она так же ошибается, ведь ее настраивал человек, который сам совершает ошибки. И чаще всего она ошибается, когда очень мало знает про клиента: сколько и где он платит, какими средствами платежа пользуется, как часто совершает операции, в какое время, откуда. Согласитесь, это очень похоже на наше поведение. Например, когда вы впервые приходите в кофейню, бармен тщательно вас расспрашивает относительно ваших вкусов, однако уже на третий раз, уже завидя вас издалека, скажет: “Вам, как обычно, латте на кокосовом молоке с ванильным сиропом?” При этом в первый ваш визит он, вероятно, ошибется, если попытается предугадать ваш заказ. Так и с антифрод-системой: чем дольше вы обслуживаетесь в банке, чем чаще совершаете операции и чем они разнообразнее, тем больше она знает про вас, тем меньше вероятность ошибки даже в случае анализа нестандартной операции. Проводя ту же аналогию с кофейней: вы приходите к вашему любимому бариста и узнаете, что кокосовое молоко сегодня уже закончилось. Бариста спокойно отреагирует, если вы скажете “тогда давайте на обычном молоке”, но сильно удивится, если услышит “тогда я буду чай”, который вы никогда не заказывали, и, скорее всего, переспросит, что именно вы хотите заказать. Вот и антифрод-система должна уметь понимать, когда без сомнения “принять заказ”, а когда нужно “переспросить” еще раз, не вызвав раздражения у клиента».

Кто звонит?

Идет и активное внедрение биометрии. Главное преимущество биометрической авторизации в том, что обычно она не требует сложных действий от клиента, и по сравнению с традиционными методами авторизации это улучшает его клиентский опыт. Мошенники еще не освоили в полной мере технологии обхода биометрии, пока это, скорее, сцены из фантастических фильмов. Впрочем, для большей надежности авторизация уже сейчас должна быть многофакторной, например по лицу и голосу или лицу и отпечатку пальца. Кстати, стоит отметить, что отпечаток пальца — это наиболее уязвимый способ биометрической идентификации. Его можно снять с любой гладкой поверхности, например с самого утерянного смартфона или даже с высококачественной фотографии, на которой видна ладонь.

Возвращаясь к теме защиты от мошенников, стоит упомянуть популярную дополнительную услугу, которую стали предлагать банки. Речь идет о сервисе проверки входящих вызовов, который предупредит о том, что звонит мошенник. Конечно, придется предоставить приложениям банков доступ к отслеживанию входящих звонков, но многие пользователи банковских приложений это и так уже разрешили. Кстати, достаточно большое количество мошеннических звонков отсекает и обычная функция запрета спам-вызовов от мобильного оператора. Чаще всего мошенники занимаются массовым прозвоном и их телефоны попадают в списки спамеров.

В начале сентября Общероссийский народный фронт на круглом столе по борьбе с телефонным мошенничеством предложил целый ряд мер. В том числе обязать сотовых операторов бесплатно информировать клиентов о том, что поступивший звонок имеет признаки незаконной рекламы или мошенничества. Особого энтузиазма это предложения не вызвало ни у представителей операторов, ни даже у Банка России и Минцифры. Впрочем, по оценке директора департамента обеспечения кибербезопасности Минцифры Владимира Бенгина, такая мера снизит число пострадавших на 20–30%, но не на 90100%. Он считает, что помимо информирования нужно бороться с самой проблемой. Владимир Бенгин также напомнил, что его ведомство полностью поддерживает законопроект по обмену данными между банками и телекомами. Цель этого законопроекта как раз помощь в борьбе с мошенничествами.

В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности

Страховать или штрафовать?

Следующий метод борьбы банков с мошенничествами, скорее, борется с их последствиями. Речь идет о страховании вкладов/счетов от мошенничества и хищения. Это выглядит как поиск простого решения, замена реальных вложений в кибербезопасность плюс способ заработать на страховках. Тем более что доказать факт хищения часто не удается.

«Анализ рисков и иная аналитика, проводимая банковскими организациями, показывает, что гораздо выгоднее покрывать за счет страхования случаи мошенничества, — констатирует руководитель группы ИБ Лиги цифровой экономики Владимир Асташов. — Более того, у застрахованных лиц не всегда получается доказать, что случай действительно является страховым и по нему положена компенсация. Зачастую пользователи сами передают мошенникам чувствительную информацию, соответственно, у банка нет оснований считать транзакцию нелегитимной, а случай — страховым».

«Если смотреть на ситуацию со стороны потребителя банковских продуктов, то важнее, чтобы банки умели различать, кто совершил действия: реальный пользователь или злоумышленник, — отмечает руководитель направления по развитию ИБ-решений облачного бизнеса МТС Александр Карпузиков. — При этом важно, чтобы возврат средств на пользовательский счет осуществлялся как можно скорее, не вынуждая пользователей доказывать свою невиновность». Эксперт уверен, что представители банковской сферы вполне способны еще повысить надежность сервисов, развивая свою внутреннюю ИБ-экспертизу, привлекая внешних специалистов и пользуясь технологичными решениями по защите.

Можно, конечно, стимулировать банки вкладывать в информационную безопасность через увеличение штрафов, которые теоретически существуют и сейчас (ведь банки обязаны хранить наши деньги). Но вопрос, скорее, не в размере штрафов, а в том, как происходит процесс расследования инцидентов, насколько сложно клиентам получить компенсацию от банков и как именно применяются уже действующие законы.

«Это вопрос правоприменительной практики, потому что утечки, которые связаны с действием или бездействием банков, уже в текущей законодательной базе подлежат ответственности, — разъясняет Михаил Попов. — На банке лежит ответственность за сохранность средств и данных клиента. Но значительная доля атак происходит без использования непосредственно банковских данных. Мошенники во многом ориентируются на социальный инжиниринг, когда клиенты популярных банков получают звонки от мошеннических организаций. Это происходит не потому, что конкретные мошенники знают, что они обслуживаются в этой финансовой организации, а потому, что таких клиентов много. В целом здесь вопрос не в большей ответственности, а в применении ответственности к банкам с тем, чтобы шло удовлетворение исков со стороны обворованных банковских клиентов. Важно, чтобы суммы соответствовали реальному ущербу, а не были просто штрафами, связанными с административной ответственностью. Но, скорее, нужно выстраивать процесс правоприменения, нежели создавать новые законы».

На самом деле сложность борьбы с мошенничеством в финансовой сфере связана не только с самими мошенниками. В этом вопросе тесно переплелись интересы самих банков и их клиентов. В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности. Многие клиенты предпочтут уйти из безопасного банка, если им для совершения платежа или перевода придется каждый раз проходить сложную и длительную процедуру авторизации и подтверждения платежа.

«Все те средства защиты, которые незаметны для пользователя и при этом обеспечивают сохранность его данных и средств, уже внедрены всеми банками и используются. Практика показывает, что этого недостаточно. Но внедрение дополнительных проверок снижает удобство, замедляет обслуживание и в итоге делает сервисы банка менее привлекательными, чем у конкурентов. Поэтому для финансовых организаций представляется разумным компромиссный подход, когда те риски, которые не удается исключить, какими-либо средствами страхуются», — заключает технический директор Trend Micro в России и СНГ Михаил Кондрашин.

Фото: FERRARI /- ZUMA\TASS

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Пенсия в самом расцвете лет Пенсия в самом расцвете лет

В России набирает обороты движение FIRE. К этому привел бум частных инвестиций

Эксперт
Избранные моменты из скандального интервью Дмитрия Гордона и Моргенштерна Избранные моменты из скандального интервью Дмитрия Гордона и Моргенштерна

Лучшие цитаты из удивительной беседы Гордона и Моргенштерна

Maxim
​​​​​​​«Азербайджанцы ехали как в мирное время: ни завалов, ни разрушений, ни минных заграждений» ​​​​​​​«Азербайджанцы ехали как в мирное время: ни завалов, ни разрушений, ни минных заграждений»

Виктор Мураховский — о том, почему Армения проиграла войну за Карабах

Эксперт
Аглая Епанчина Аглая Епанчина

Психотерапевт размышляет о характере персонажа из романа «Идиот»

Psychologies
Король замедленного действия: Мухаммед бин Салман в шаге от трона Король замедленного действия: Мухаммед бин Салман в шаге от трона

Что представляет собой вероятный новый король Саудовской Аравии

Эксперт
Путь семьи Тоёда Путь семьи Тоёда

Как Toyota дошла до вершины мирового автомобилестроения

Forbes
Не спотом единым Не спотом единым

Долгосрочные контракты остаются базой устойчивого функционирования рынка газа

Эксперт
Вопрос, который надо задавать каждый день, и еще 4 способа сохранить отношения Вопрос, который надо задавать каждый день, и еще 4 способа сохранить отношения

Простые правила, которые позволят вам сохранить союз на долгие годы

Cosmopolitan
Альтернативы Google Docs: куда перенести документы, если Гугл заблокируют Альтернативы Google Docs: куда перенести документы, если Гугл заблокируют

Куда можно перенести свои документы, если однажды Google Docs заблокируют

CHIP
Новенькие из XO Team Новенькие из XO Team

Новые тиктокеры из XO Team

ЖАРА Magazine
Мячи мечты Мячи мечты

Актрисе Валерии Шкирандо удалось улучшить эротическую съемку в мужском журнале!

Maxim
6 причин, почему Mazda 6 — самая важная модель бренда 6 причин, почему Mazda 6 — самая важная модель бренда

Что такого особенно в Mazda 6?

Maxim
Как криолиполиз изуродовал супермодель Линду Евангелисту и почему это случилось Как криолиполиз изуродовал супермодель Линду Евангелисту и почему это случилось

Супермодель Линда Евангелиста стала жертвой косметолога

Cosmopolitan
Страшная авария и неверный муж: две главные трагедии Фриды Кало Страшная авария и неверный муж: две главные трагедии Фриды Кало

По сути история жизни Фриды Кало — это история одной большой боли

Cosmopolitan
Кто они ― лица современного танца России? Интервью с главными героями фестиваля Context. Diana Vishneva Кто они ― лица современного танца России? Интервью с главными героями фестиваля Context. Diana Vishneva

На смену ежегодному конкурсу приходит Вечер современной хореографии

СНОБ
Почему мы живем в эпоху прерванного визуального акта Почему мы живем в эпоху прерванного визуального акта

С годами потребление контента приобрело совершенно новый характер

GQ
Два мира — два Вишневских. Откуда берутся «двойники» на выборах в России и в США Два мира — два Вишневских. Откуда берутся «двойники» на выборах в России и в США

Как выглядит доведенная до абсурда электоральная демократия

СНОБ
День в Торжке День в Торжке

Гуляем по Торжку вместе с филологом и экскурсоводом

Seasons of life
От Maybach с золотом до BMW из вторсырья: 7 необычных концепт-каров От Maybach с золотом до BMW из вторсырья: 7 необычных концепт-каров

Концепт-кары Мюнхенского автосалона

РБК
Онкология и отношения в паре: как сохранить любовь, близость и секс Онкология и отношения в паре: как сохранить любовь, близость и секс

Онкологическое заболевание члена семьи всерьез меняет жизнь всех остальных

Psychologies
Вне поля зрения Вне поля зрения

Способы сделать шторный карниз невидимым

Идеи Вашего Дома
Гимнастика для глаз — необходимость или миф? Гимнастика для глаз — необходимость или миф?

Можно ли исправить зрение с помощью упражнений?

Reminder
«Людей не надо выбрасывать на помойку». Иван Вырыпаев — о детях и Детских деревнях SOS «Людей не надо выбрасывать на помойку». Иван Вырыпаев — о детях и Детских деревнях SOS

Режиссер Иван Вырыпаев — что такое настоящая семья и как ее построить

СНОБ
«Допы», которые могут навредить машине. Список с пояснениями «Допы», которые могут навредить машине. Список с пояснениями

Дополнительное оборудование, перед установкой которого лучше подумать

РБК
Почему фильм «Шан-Чи и легенда десяти колец» получился совсем не в духе Marvel Почему фильм «Шан-Чи и легенда десяти колец» получился совсем не в духе Marvel

«Шан-Чи и легенда десяти колец» — кинокомикс, в котором полно романтики Азии

GQ
Какой язык появился позже всех на Земле Какой язык появился позже всех на Земле

Какой язык можно считать самым современным?

Популярная механика
Гибель альпинистов на Эльбрусе: восстанавливаем события трагедии вместе с ее участниками Гибель альпинистов на Эльбрусе: восстанавливаем события трагедии вместе с ее участниками

19 человек потерялись на склоне Эльбруса. Спасти удалось только 15 из них

Maxim
Важная книга: «Отделение Связи» Полины Барсковой Важная книга: «Отделение Связи» Полины Барсковой

«Отделение Связи» — фантасмагорической истории о драматурге Евгении Шварце

Полка
Почему электронному голосованию пока рано верить Почему электронному голосованию пока рано верить

Технология электронного голосования ненадежна

Forbes
Дружбе конец: почему так происходит и как сохранить отношения Дружбе конец: почему так происходит и как сохранить отношения

Что разрушает дружбу и что можно делать, чтобы ее сохранить

Psychologies
Открыть в приложении