Вскоре мне предстоит перевыпуск зарплатной банковской карточки — истекает срок ее действия. В связи с эти мне вспомнилось обсуждение на ИНФОФОРУМЕ-2013 темы, связанной с состоянием информационной безопасности национальной платежной системы (НПС) нашей страны.
Участники панельной дискуссии на эту тему согласились с тем, что наиболее слабым звеном в обеспечении ИБ в целом и, в частности, в ИБ НПС является человек. Не сошлись они, однако, в том, где это слабое звено находится.
Банки уверены в том, что это клиенты. Мол, неграмотны они в информационной безопасности и обучаться не желают. Главным критерием для клиентов является удобство банковской услуги, а не ее безопасность, а, как известно, ИБ удобств не добавляет — совсем наоборот.
Оппоненты со стороны клиентов указывают на низкую ИБ-культуру банков. Да и сам я не раз был свидетелем того, как в операционных залах происходит, например, оформление банковских карт. Разве что глухой не услышит, а слепой не увидит контрольные слова и пин-коды соседей по очереди. Ведь в очередях мы дышим друг другу в затылок (потому что электронные очереди в банках, как правило, не поддерживаются), а операционисты громко, как военные команды, дублируют полученную от клиентов конфиденциальную информацию и выкладывают устройства ввода пин-кодов на самые отрытые места. Ну просто клондайк для злоумышленников! Достаточно покрутиться в операционном зале несколько часов, чтобы собрать немало чувствительных клиентских данных.
К настоящему времени у населения сформировались разные отношения с интернет-банкингом. Кто-то пользуется банковской картой раз в месяц только для того, чтобы снять со счета зарплату, а кто-то практически не держит наличные деньги в руках (я, например, где-то посередине). Вот и получается, что банковским клиентам уже сегодня нужны совершенно разные уровни обеспечения ИБ электронных операций с деньгами.
Однако у банков адекватного запросам клиентов спектра предложений нет, хотя на рынке есть готовые для использования разработки, позволяющие реализовать самые разные варианты ИБ-услуг для интернет-банкинга. Об этом свидетельствовал и блиц-опрос ИБ-эксперта Михаила Емельянникова, который он провел прямо в зале, где проходила дискуссия.
Он обратился с просьбой к находящимся в зале представителям банков поднять руку тем из них, в структурах которых предлагают клиентам воспользоваться замкнутой ИТ-средой (например, на USB-носителе), позволяющей осуществлять банковские транзакции, не выходя из нее. Он даже озвучил сумму, которую готов как клиент платить в месяц за пользование такой услугой — 2000 руб., деньги немалые. В ответ на его просьбу не поднялась ни одна рука. Зато он услышал от представителя одного из банков известную сентенцию о “серебряной пуле”, которую искать бесполезно.
Что ж, выходит, все предпринимаемые теми же банками технологические ИБ-ухищрения напрасны? Да нет же! Банкам просто не хочется шевелиться, даже за 2000 руб. в месяц, ради единиц “ИБ-озабоченных” клиентов.
Тогда, может, правы госрегуляторы, закручивающие гайки на предмет ужесточения материальной ответственности банков перед клиентами в виде ст. 9 закона “О национальной платежной системе"? Но и это неочевидно, хотя бы потому, что госрегулятор отодвинул срок вступления этой статьи в действие.
Так кто же этот человек — слабое звено, и где его искать? Похоже, что он повсюду — он и банковский работник, и клиент банка, и регулятор. Имя его — россиянин.