BIS Journal №1(40)/2021

16 марта, 2021

Заставьте клиента поработать

Перенос рисков информационной безопасности на клиентов – лень, хитрость или необходимость?

На текущем этапе развития цифровизации общества, информационные технологии стали настолько технически сложными, разнообразными, повсеместными и всепроникающими, их влияние на нашу жизнь и все виды деятельности, наша зависимость от них уже настолько велики, что по аналогии с автомобилями услуги и процессы, использующие такие технологии, уже вполне можно считать средствами повышенной опасности. При этом все мы понимаем, что обходиться без них, как и без транспортных средств, общество уже не может и не готово.

 

ПО АНАЛОГИИ С АВТОМОБИЛЕМ

Продолжим аналогию с автомобилем. Производители долгое время наращивали уровень надёжности техники (двигателя, коробки передач, подвески, бортовых систем и т. д.), поскольку её сбой в значительном числе случаев становился причиной аварии, и вышли в этой части неантропогенных уязвимостей на некоторое довольно высокое плато, после чего взялись за оставшуюся составляющую факторов риска – антропогенную. Активно стали развиваться системы ограничения скорости, ведения в полосе и, наконец, автопилотирования.

Примерно по такой же схеме шло развитие обеспечения информационной безопасности. Если коротко – были выделены основные направления защиты и задачи по их реализации, которые по максимуму постарались взять на себя поставщики услуг (кредитно-финансовые организации и др.), но абсолютно исключить влияние человека (клиента – потребителя услуг) на результат не удалось. И в текущей концептуальной парадигме обеспечения информационной безопасности вряд ли удастся, поскольку невозможно вывести за скобки вопросы аутентификации.

Невозможно быть уверенным и нести ответственность за результат в среде, над которой нет контроля. А контролировать клиента и его внимательность, осторожность и аккуратность в обращении с факторами аутентификации невозможно.

Можно объяснять, что надо и не надо делать. Нельзя делать паролем легко вычисляемые сочетания, нельзя сообщать пароль или cvv-код карты приятелю «потому что вот прямо сейчас очень надо успеть купить что-то там на распродаже», нельзя по той же причине непонятно куда и как отсылать фото паспорта, водительских прав и той же карты во всех ракурсах, сохранять «на доверенных» устройствах логины, пароли, настраивать автоматический вход в какой-нибудь банковский личный кабинет, а потом давать это устройство ребёнку в школу, например. Нельзя не смотреть, по какому адресу ссылки осуществляется переход, с какого адреса (а не алиаса) пришло электронное письмо, с какого номера телефона звонят, представляясь работником банка. Происходят такие случаи регулярно, как аргумент приводится «вроде было похоже, вот я и…», а в понимании клиента виноват поставщик услуг (вероятно, в том, что не поместил клиента в металлический шар на дно моря), и каким-то образом он, поставщик, должен вернуть всё как было за его счёт.

А с автомобилем происходит совсем не так. Клиент в данном случае – водитель. И за то, что он проехал под запрещающий знак или пересёк двойную сплошную, оштрафуют или лишат прав управления транспортным средством именно его, а не автодилера или производителя автомобиля (даже если водитель использовал автопилот). И это нормально, никто такой практике не удивляется. Возможно, здесь играет роль больший накопленный опыт законотворчества и судебной практики в автотранспортной отрасли. А может быть, и тот факт, что допуск к управлению автомобилем (да ещё и определённой категории) осуществляется после нескольких месяцев обучения правилам и практике его эксплуатации, после сдачи экзамена.

Интересно было бы представить допуск к взятию кредита или подключению к онлайн-банку после курса информационной безопасности и тестирования, а также «полевых» испытаний?

Вряд ли мы в обозримом будущем, конечно, такое увидим в обязательном порядке, но на добровольной основе – почему не предоставить возможность тем, у кого в этом есть потребность, прослушать курс онлайн-лекций и пройти тест, поучаствовать в вебинаре с возможностью задать вопросы хотя бы в ограниченном количестве, а не прочитать сухую памятку о безопасности на сайте, зачастую сложную для понимания без обратной связи для человека неподготовленного. Чем это не забота о клиентах, не инвестиция в их лояльность и, хоть и в отдалённой перспективе, в уменьшение числа инцидентов, повлёкших за собой финансовые потери, которые (в зависимости от того, чью сторону примет суд), ещё неизвестно, какой стороне придётся возмещать.

А что лучше всего стимулирует человека к более ответственному поведению, обращению с чувствительной информацией, соблюдению установленных правил, как не прямое и явное указание на то, что при доказанном несоблюдении правил клиентом поставщик услуг ответственность за результат не несёт? Смирилось же общество с такими «правилами игры» на рынке страхования, и продукты данного рынка от этого менее востребованными не стали. Скорее даже наоборот, понимание открытости в таких вопросах поставщика услуг перед клиентом, прозрачность картины рисков, желание представить реальную ситуацию (в которой всегда есть плюсы и минусы), а не приукрасить её (ради того, чтобы навязать продукт), может найти у клиента положительный отклик, повысить репутацию поставщика как благонадёжного и честного. Подобная оценка вообще характерна для общества, в котором изобилует информация, а наибольшую ценность представляет информация достоверная.

Конечно же, не предлагается сделать спасение утопающих делом рук самих утопающих. Только открыто сообщать и акцентировать внимание клиентов на том, в каких границах лежит их роль и ответственность в процессах обеспечения информационной безопасности и какими последствиями им может грозить пренебрежение этой ответственностью. При необходимости давать возможность научиться нести эту ответственность, повысить техническую грамотность.

 

ЭТО ВСЁ «ЛИРИКА». А СОВЕТЫ БУДУТ?

Советов будет даже два.

Первый: сделайте клиента – дилетанта в области обеспечения информационной безопасности – полноценным участником сложной и дорогостоящей деятельности по защите информации и чётко выделите зону его единоличной персональной ответственности. Энтузиазм, обусловленный осознанием цены собственной небрежности в отношении своих чувствительных данных и денежных средств, в какой-то мере нивелирует недостаток опыта и каких-то специфических знаний.

Второй: чтобы получить лояльность клиента, убедите его поработать на безопасность его собственных данных и средств. Ничто так не добавляет ценности продукту в глазах человека, как вложенные в этот продукт его собственные усилия. Кроме того, вынужденно вникнув хотя бы на общем уровне в те меры, которые принимаются для защиты данных, клиент в более полной мере сможет оценить качество и надёжность предоставляемой ему услуги.

 

А РЕГУЛЯТОР ДОПУСКАЕТ ПОДОБНУЮ СТРАТЕГИЮ?

Конечно, даже более жёсткую. Вспомним пункт 2.10.5 уходящего от нас Положения Банка Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», в котором, говоря простым языком, если оператор по переводу денежных средств не может или не хочет переписывать своё ПО или клиент не может или не хочет использовать два устройства для формирования и подтверждения перевода денежных средств, то клиенту просто предлагается по своему усмотрению определить, какие суммы он согласен переводить без таких мер предосторожности на свой страх и риск, и зафиксировать это в договоре.

***

Использование дистанционных финансовых сервисов в настоящее время можно сравнить с вождением автомобиля. Как известно, снизить риски, связанные с ДТП, можно не только совершенствуя пассивную и активную безопасность с последующим увеличением стоимости или вводя неудобные для пользователя ограничения по мощности двигателя, скорости, ремни безопасности и пр., но и уделяя время обучению водителей. Вложение в просвещение пользователей может быть также (или более) эффективно для снижения рисков, как и вложение в средства безопасности, контроля действий пользователей, и поможет расширить область допустимого использования информационных технологий. В частности, одна из причин недостаточной безопасности сервисов — ​непонимание клиентами рисков, связанных с их использованием. Очень часто клиенты выбирают низкую стоимость и удобство в ущерб безопасности. А поставщики финансовых услуг идут у них на поводу — ​сокращают офисы, упрощают аутентификацию, отказываются от дополнительного подтверждения подозрительных операций.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных