Почему банки не справляются с защитой персональных данных клиентов

Дата публикации: 26.02.2020 10:12
17 248
Время прочтения: 5 минут
Источник
Banki.ru

Всего десять лет назад купить продукты по дороге домой можно было разве что в магазине или в ларьке на остановке. Сегодня это можно сделать прямо в вагоне метро с помощью телефона, им же оплатить товары и услуги. Новые средства оплаты, безусловно, облегчают жизнь потребителей. Но чем проще нам воспользоваться своими деньгами, чем больше инструментов и технологий мы используем, тем легче эти деньги украсть и киберпреступникам, например, с помощью методов социнженерии. К счастью, многие граждане уже наслышаны о мошенниках и нечасто раскрывают конфиденциальные сведения незнакомцу по телефону.

Однако ситуация меняется, когда к жертве обращаются по имени-отчеству, называют ее анкетные данные и знают номера карт. Мошенники морально давят на человека. Представляются сотрудниками банка и рассказывают о том, что со счета клиента могут быть украдены деньги, а операцию можно отменить, если продиктовать код подтверждения, который придет на телефон. Этот и другие психологические приемы бывают эффективны даже против осведомленных в вопросах информационной безопасности людей. Сегодня среди таких видов социнженерии наиболее распространены телефонные звонки, СМС и так называемый спуфинг, то есть подмена номера телефона.

Чем более похожим будет мошенник на реального сотрудника банка, чем больше информации он уже имеет о своей потенциальной жертве, тем вероятнее его успех. Злоумышленники даже научились совершать звонки, маскируя свой номер телефоном реального банка. Но без исходной информации о жертвах и их счетах эффективность телефонных звонков мошенников будет крайне низкой. Поэтому одна из главных задач кредитных организаций состоит в сохранении конфиденциальности клиентской информации.

Человек — главная уязвимость и главная цель мошенников. Банки уже немало сделали, чтобы обеспечить защиту своих клиентов. Многие кредитные организации используют автоматизированные антифрод-системы. Но на сегодня главная угроза самим банкам — это не технические средства и не страшные хакеры, а пресловутый человеческий фактор. Кража информации сильно упрощается, когда злоумышленник находится внутри организации. Сотрудники банков уже знают, где и какая информация хранится, в чем ее ценность, имеют доступ к ней. Остается лишь вынести информацию. А это совсем не сложно с учетом развития технологий — быстрый Интернет и миниатюрные флешки позволяют незаметно скопировать даже объемные базы данных.

Борьба с внутренними угрозами не должна ограничиваться одними техническими средствами. Помимо внедрения систем предотвращения утечек (DLP), необходимо проводить для сотрудников банальные тренинги по вопросам защиты информации. Банковская тайна — одна из основ этого бизнеса, и вопросы ее соблюдения особенно остро стоят в эпоху развития цифровых технологий. И надо всегда помнить, что невозможно на 100% обеспечить безопасность данных, в особенности если речь идет о банках. Проблема заключается в том, что, даже если в самой организации будет максимальный контроль за перемещением конфиденциальных данных, всегда будет присутствовать человеческий фактор, а точнее клиенты банков.

Халатность самих пользователей не знает границ. Хранить ПИН-код рядом с картой или сохранять пароли от финансовых сервисов в браузере — в порядке вещей. А смартфон? Если пользователь запускает на устройстве интернет-банк, если установил банковское приложение — это уже не гаджет, а полноценное платежное средство, и обращаться с ним надо соответствующим образом. Но далеко не все пользователи готовы изменить модель своего поведения в угоду безопасности.

Что банки могут сделать дополнительно. Банки могут повлиять на пользователей, если, например, будут предоставлять клиентам бесплатные услуги. Почему за СМС-уведомления о списаниях до сих пор взимают плату в некоторых банках? Даже если цена информирования относительно невелика, от 50 до 100 рублей в месяц, в перспективе нескольких лет накапливается солидная сумма. В результате люди отказываются от услуги и часто остаются в неведении, даже если злоумышленникам удается украсть деньги. СМС-информирование должно быть бесплатным для клиентов, в этом заинтересованы не только люди, но и сами банки. Перекладывать бремя оплаты эсэмэсок на клиента неправильно. Стремясь сэкономить, люди отказываются от платных услуг. В результате вероятность обнаружения несанкционированных операций резко снижается.

Что касается методов борьбы с этой и большинством используемых схем, необходимо информировать клиентов о существующих угрозах и о том, как им противостоять. Не обязательно читать длинные лекции или проводить экстренные рассылки на телефон, достаточно в фоновом режиме, при посещении офиса, когда человек ждет оформления бумаг или сидит в очереди, когда висит на горячей линии в ожидании оператора и т. д. В кармашки информационных стендов стоит разложить буклеты по информационной безопасности. Сейчас во всех подобных случаях клиентам стараются навязать дополнительные продукты и услуги. Рассылки с экстренными предупреждениями о конкретных атаках полезны, если атака развивается прямо сейчас, но злоупотреблять такими мерами не стоит, тем более что подобные сообщения беспокоят клиентов, в итоге нагрузка на кол-центр обычно возрастает.

Минимизировать навязывание дополнительных услуг. Таких, как мобильный банк, карты с овердрафтом и т. д. Чем больше способов получить деньги, тем больше возможностей и у преступников. А большинству клиентов дополнительные сервисы не нужны.

Подумать о возможности применения более надежных способов подтверждения платежей (аутентификации) вместо упрощенных. Не обязательно способы аутентификации должны быть высокотехнологичными и дорогими. Например, подтверждать платеж со смартфона СМС-сообщением, которое приходит на тот же самый гаджет, небезопасно. Теряется смысл использования нескольких факторов аутентификации.

Проблемы утечек необходимо решать в комплексе. Рассказывать людям про угрозы и решения, уловки мошенников и используемые схемы. Это не дорого и не сложно. Сейчас же большинство усилий банков нацелены на повышение экономической активности и упрощение процесса использования денег, но не на безопасность.

Мнение автора может не совпадать с мнением редакции

Читать в Telegram
telegram icon

Комментарии

0
Скрыть
Комментарии могут оставлять только зарегистрированные пользователи.

CardUser
26.02.2020 12:05
ничего такая ... капитан Очевидность
0

rand
26.02.2020 12:45
У меня другое предложение. Банки и все прочие конторы должны платить людям, чьи данные утекли, компенсацию.
6

Д. В. К.
26.02.2020 15:19
угу, "не справляются"

Кража информации сильно упрощается, когда злоумышленник находится внутри организации. Сотрудники банков уже знают, где и какая информация хранится, в чем ее ценность, имеют доступ к ней. Остается лишь вынести информацию.
0

selecadm
26.02.2020 15:44
4 года назад работал в банке Открытие без какого-либо оформления. До сих пор остались фото паспортов и лиц получавших карты клиентов. В любой момент могу слить в интернет и это будет слив даже не бывшим сотрудником, а посторонним человеком, потому что по документам я у них там не работал.
2

Митрандил
26.02.2020 15:55
Подумать о возможности применения более надежных способов подтверждения платежей (аутентификации) вместо упрощенных.

Давно все придумано - СМС не относится и никогда не относились к безопасным способам транспорта секретных кодов.
Зачем-то в цепочку доставки секретов впутали ОпСоСов, которые не несут никакой ответственности перед клиентом за доставку СМС не клиенту.
Естественно, это не их дело проверять - кто реальный получатель СМС? Но и банки от этого отлынивают. Крайний же всегда клиент

Те, кто расстались со своими деньгами, должны "благодарить" безголовых российских банкиров, которые вместо удобных и безопасных автономных софт и хард генераторов кодов продолжают с ослиным упорством держаться за небезопасные и неудобные СМС

Разгул же телефонных жуликов связан опять же с безголовыми банкирами, которые не удосужились жестко заформализовать поводы и процедуру общения с клиентами.

Так что фраза "У нас банкиров не средств, у нас ума не хватает" на все 1000% характеризует российских банкиров.
1

Обучение

Материалы по теме