Заставьте клиента поработать
Перенос рисков информационной безопасности на клиентов – лень, хитрость или необходимость?
На текущем этапе развития цифровизации общества, информационные технологии стали настолько технически сложными, разнообразными, повсеместными и всепроникающими, их влияние на нашу жизнь и все виды деятельности, наша зависимость от них уже настолько велики, что по аналогии с автомобилями услуги и процессы, использующие такие технологии, уже вполне можно считать средствами повышенной опасности. При этом все мы понимаем, что обходиться без них, как и без транспортных средств, общество уже не может и не готово.
ПО АНАЛОГИИ С АВТОМОБИЛЕМ
Продолжим аналогию с автомобилем. Производители долгое время наращивали уровень надёжности техники (двигателя, коробки передач, подвески, бортовых систем и т. д.), поскольку её сбой в значительном числе случаев становился причиной аварии, и вышли в этой части неантропогенных уязвимостей на некоторое довольно высокое плато, после чего взялись за оставшуюся составляющую факторов риска – антропогенную. Активно стали развиваться системы ограничения скорости, ведения в полосе и, наконец, автопилотирования.
Примерно по такой же схеме шло развитие обеспечения информационной безопасности. Если коротко – были выделены основные направления защиты и задачи по их реализации, которые по максимуму постарались взять на себя поставщики услуг (кредитно-финансовые организации и др.), но абсолютно исключить влияние человека (клиента – потребителя услуг) на результат не удалось. И в текущей концептуальной парадигме обеспечения информационной безопасности вряд ли удастся, поскольку невозможно вывести за скобки вопросы аутентификации.
Невозможно быть уверенным и нести ответственность за результат в среде, над которой нет контроля. А контролировать клиента и его внимательность, осторожность и аккуратность в обращении с факторами аутентификации невозможно.
Можно объяснять, что надо и не надо делать. Нельзя делать паролем легко вычисляемые сочетания, нельзя сообщать пароль или cvv-код карты приятелю «потому что вот прямо сейчас очень надо успеть купить что-то там на распродаже», нельзя по той же причине непонятно куда и как отсылать фото паспорта, водительских прав и той же карты во всех ракурсах, сохранять «на доверенных» устройствах логины, пароли, настраивать автоматический вход в какой-нибудь банковский личный кабинет, а потом давать это устройство ребёнку в школу, например. Нельзя не смотреть, по какому адресу ссылки осуществляется переход, с какого адреса (а не алиаса) пришло электронное письмо, с какого номера телефона звонят, представляясь работником банка. Происходят такие случаи регулярно, как аргумент приводится «вроде было похоже, вот я и…», а в понимании клиента виноват поставщик услуг (вероятно, в том, что не поместил клиента в металлический шар на дно моря), и каким-то образом он, поставщик, должен вернуть всё как было за его счёт.
А с автомобилем происходит совсем не так. Клиент в данном случае – водитель. И за то, что он проехал под запрещающий знак или пересёк двойную сплошную, оштрафуют или лишат прав управления транспортным средством именно его, а не автодилера или производителя автомобиля (даже если водитель использовал автопилот). И это нормально, никто такой практике не удивляется. Возможно, здесь играет роль больший накопленный опыт законотворчества и судебной практики в автотранспортной отрасли. А может быть, и тот факт, что допуск к управлению автомобилем (да ещё и определённой категории) осуществляется после нескольких месяцев обучения правилам и практике его эксплуатации, после сдачи экзамена.
Интересно было бы представить допуск к взятию кредита или подключению к онлайн-банку после курса информационной безопасности и тестирования, а также «полевых» испытаний?
Вряд ли мы в обозримом будущем, конечно, такое увидим в обязательном порядке, но на добровольной основе – почему не предоставить возможность тем, у кого в этом есть потребность, прослушать курс онлайн-лекций и пройти тест, поучаствовать в вебинаре с возможностью задать вопросы хотя бы в ограниченном количестве, а не прочитать сухую памятку о безопасности на сайте, зачастую сложную для понимания без обратной связи для человека неподготовленного. Чем это не забота о клиентах, не инвестиция в их лояльность и, хоть и в отдалённой перспективе, в уменьшение числа инцидентов, повлёкших за собой финансовые потери, которые (в зависимости от того, чью сторону примет суд), ещё неизвестно, какой стороне придётся возмещать.
А что лучше всего стимулирует человека к более ответственному поведению, обращению с чувствительной информацией, соблюдению установленных правил, как не прямое и явное указание на то, что при доказанном несоблюдении правил клиентом поставщик услуг ответственность за результат не несёт? Смирилось же общество с такими «правилами игры» на рынке страхования, и продукты данного рынка от этого менее востребованными не стали. Скорее даже наоборот, понимание открытости в таких вопросах поставщика услуг перед клиентом, прозрачность картины рисков, желание представить реальную ситуацию (в которой всегда есть плюсы и минусы), а не приукрасить её (ради того, чтобы навязать продукт), может найти у клиента положительный отклик, повысить репутацию поставщика как благонадёжного и честного. Подобная оценка вообще характерна для общества, в котором изобилует информация, а наибольшую ценность представляет информация достоверная.
Конечно же, не предлагается сделать спасение утопающих делом рук самих утопающих. Только открыто сообщать и акцентировать внимание клиентов на том, в каких границах лежит их роль и ответственность в процессах обеспечения информационной безопасности и какими последствиями им может грозить пренебрежение этой ответственностью. При необходимости давать возможность научиться нести эту ответственность, повысить техническую грамотность.
ЭТО ВСЁ «ЛИРИКА». А СОВЕТЫ БУДУТ?
Советов будет даже два.
Первый: сделайте клиента – дилетанта в области обеспечения информационной безопасности – полноценным участником сложной и дорогостоящей деятельности по защите информации и чётко выделите зону его единоличной персональной ответственности. Энтузиазм, обусловленный осознанием цены собственной небрежности в отношении своих чувствительных данных и денежных средств, в какой-то мере нивелирует недостаток опыта и каких-то специфических знаний.
Второй: чтобы получить лояльность клиента, убедите его поработать на безопасность его собственных данных и средств. Ничто так не добавляет ценности продукту в глазах человека, как вложенные в этот продукт его собственные усилия. Кроме того, вынужденно вникнув хотя бы на общем уровне в те меры, которые принимаются для защиты данных, клиент в более полной мере сможет оценить качество и надёжность предоставляемой ему услуги.
А РЕГУЛЯТОР ДОПУСКАЕТ ПОДОБНУЮ СТРАТЕГИЮ?
Конечно, даже более жёсткую. Вспомним пункт 2.10.5 уходящего от нас Положения Банка Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», в котором, говоря простым языком, если оператор по переводу денежных средств не может или не хочет переписывать своё ПО или клиент не может или не хочет использовать два устройства для формирования и подтверждения перевода денежных средств, то клиенту просто предлагается по своему усмотрению определить, какие суммы он согласен переводить без таких мер предосторожности на свой страх и риск, и зафиксировать это в договоре.
***
Использование дистанционных финансовых сервисов в настоящее время можно сравнить с вождением автомобиля. Как известно, снизить риски, связанные с ДТП, можно не только совершенствуя пассивную и активную безопасность с последующим увеличением стоимости или вводя неудобные для пользователя ограничения по мощности двигателя, скорости, ремни безопасности и пр., но и уделяя время обучению водителей. Вложение в просвещение пользователей может быть также (или более) эффективно для снижения рисков, как и вложение в средства безопасности, контроля действий пользователей, и поможет расширить область допустимого использования информационных технологий. В частности, одна из причин недостаточной безопасности сервисов — непонимание клиентами рисков, связанных с их использованием. Очень часто клиенты выбирают низкую стоимость и удобство в ущерб безопасности. А поставщики финансовых услуг идут у них на поводу — сокращают офисы, упрощают аутентификацию, отказываются от дополнительного подтверждения подозрительных операций.
