Пропасть между безопасностью и удобством

10.02.2020

Москва, 7 февраля /Банковское обозрение/ Приведем смысловую выжимку из острой и насыщенной дискуссии, состоявшейся на секции «Цифровая инфраструктура, технологии искусственного интеллекта и вопросы информационной безопасности в банковской сфере» в рамках ИНФОФОРУМ-2020. В дискуссии участвовали такие эксперты отрасли, как Валерий Комаров, начальник отдела обеспечения осведомленности Управления информационной безопасности ДИТ г. Москвы; Сергей Белов, руководитель продуктовой безопасности Mail.ru; Олег Ковпак, директор по продуктам компании ID R&D; Андрей Курило, президент компании «Реальная безопасность»; Михаил Левашов, профессор НИУ ВШЭ; Александр Виноградов, консультант по ИБ Нефтепромбанка; Аркадий Затуловский, IT-директор Нордеа Банка (Nordea); Василий Окулесский, заместитель начальника службы ИБ банка «Возрождение»; Максим Степченков, гендиректор компании RuSIEM; Карл Сумманен, независимый эксперт; Николай Силин, эксперт Международного дискуссионного клуба «Валдай»; Виталий Матвиенко, начальник отдела ФЦНИВТ «СНПО «Элерон». Секцию вел Тимур Аитов, заместитель председателя комиссии по цифровым финансовым технологиям ТПП РФ, заместитель генерального директора ГК «Программный продукт».

САМЫЙ БЫСТРЫЙ ЧИТАТЕЛЬ В МИРЕ
После первого дня работы Форума и демонстрации кейсов по хакерским группировкам ни у кого не осталось сомнений: киберпреступный мир развивает свои технологии, ничуть не отставая от темпов «гражданской» цифровизации. Нет сомнений и в том, что банкам как для снижения репутационных рисков, так и под давлением регулятора волей-неволей придется создавать новые поколения систем безопасности ДБО. Но не отпугнет ли клиента излишняя забота о его безопасности, за которую придется платить усложнением интерфейса и дополнительными нажатиями на кнопки?

В острой полемике эксперты нащупывали баланс между безопасностью и удобством. Следует ли, создавая защиту от все более изощренных угроз, часть заботы о безопасности переложить на пользователя? Усложнять устройство интерфейса, усложнять процедуры взаимодействия с банком? Или безопасность — это целиком ответственность банка, и она должна быть зашита в приложение так, чтобы пользователь не знал об автоматически предотвращаемых угрозах? С одной стороны, продвинутый пользователь хотел бы сам настраивать лимиты кредитной карты, лимиты на операции по каналам ДБО, иметь возможность отключаться от активных операций, регулировать уровень защиты в зависимости от суммы платежа. С другой стороны, более 99% пользователей ничего знать об этом не хотят и в любом случае, выбирая между безопасностью и удобством, выберут удобство. С одной стороны, хотелось бы видеть пользователя более ответственным и грамотным в вопросах безопасности. С другой — российский пользователь имеет свою специфику и в массе своей таковым быть не желает. Бытует шутка, что наш читатель — самый быстрый читатель в мире: зазор между открытием файла с условием обслуживания и нажатием кнопки «согласен» — буквально одно мгновение.

В битве аргументов в ход пошли кейсы. Один банк, создав сверхзащищенную систему ДБО с усложненной процедурой идентификации/аутентификации, в результате потерял значительную часть клиентов. А один россиянин, посетив Австралию и пытаясь провести оттуда транзакцию по карте, был опознан системой безопасности своего банка как угроза и задержан полицией отеля. Сегодня даже сотрудники служб ИБ не всегда знают, какой банк обслуживает их зарплатную карту и на каком уровне решены там вопросы безопасности. А кто-то из присутствовавших пробовал убедить и приучить сотрудника, проводящего по 100 платежей в день, подтверждать не с помощью СМС, а с использованием второго фактора аутентификации?

Перевес в споре оказался в пользу тех, кто видит ответственность банка за ИБ, тем более что банки являются субъектами критической информационной инфраструктуры и ответственность за безопасность вменена им законодательно.

Все эксперты согласились: нужно думать о том, как воспитать клиента, повысить его осведомленность, его готовность к осознанному выбору. Однако в одночасье проблему не решить, а колеса бизнеса должны крутиться постоянно.

Эксперты отметили также, что к большим банкам клиенты обычно привязаны настолько, что информация об инцидентах и утечках на клиентскую лояльность сильно не влияет. Иное дело — малые банки, отказаться от услуг которых клиенту гораздо легче. По мере того, как киберпреступные посягательства будут становиться все более частыми и изощренными, конкуренция сама вытеснит с рынка малые банки с большим количеством инцидентов.

Читать далее на сайте bosfera.ru



© 2001 - 2020 НП "Инфофорум", infoforum.ru
Электронное СМИ, Эл. № ФС77-27767 Минпечати РФ
Разработка сайта: tushov.ru