Как найти компромисс между безопасностью и удобством ДБО
Сегодня клиентам банков доступно большое количество финансовых услуг в удаленном режиме. Из многолетней практики функционирования сервисов ДБО и наблюдения за поведением клиентов, предпочитающих совершать операции вне офиса банка, эксперты получают сведения, которые с успехом применяются в создании подобных систем. CNews Conferences и CNews Analytics провели 19 июня 2014 г. конференцию «Системы ДБО: новые сервисы». Представители банков и поставщики банковских решений обсудили, в каком направлении развивается отрасль и что привлекает клиентов в ДБО.Евгений Зыков, начальник управления автоматизации банковской деятельности ДИТ «Росэнергобанка», отметил, что упростить интерфейсы мобильных и интернет-клиентов можно за счет визуального представления сухих цифр в виде диаграмм, таблиц, карт, а также изображений, дополняющих и поясняющих текстовые SMS. При этом в диалоговых формах не должно быть никаких лишних полей: чем меньше данных требуется вводить клиенту, тем чаще он будет использовать услугу и тем большую прибыль получить банк. Спикер привел пример компании Expedia (онлайн-сервис, специализирующийся на аренде отелей, билетов и получении сопутствующих услуг), которая, удалив в форме заказа одно поле, увеличила ежегодную прибыль на $12 млн.
Еще одним обязательным требованием к мобильным банк-клиентам является оповещение пользователя обо всех совершаемых им действиях, то есть не только о поступлениях или уходе денег с расчетного счета, но даже о входе в систему ДБО. Это связано с надежностью и безопасностью работы мобильных ДБО-решений.
От общего к частному
Небезынтересен опыт украинских коллег в области ДБО. Александр Погуляка, аналитик фронт-офисных систем компании CS, рассказал о специфике банковской информатизации на Украине, уровень которой, по его мнению, ниже, чем в России. Так, если услуги интернет-банкинга на текущий момент предоставляют примерно 40 банков из TОП-50, то мобильные сервисы – всего 8. При этом основные потребители данных сервисов — юридические лица (на них приходится примерно две три клиентов).
Основные тренды развития ДБО на Украине связаны с мобилизацией и расширением числа услуг. Банки страны уже поняли, что на дистанционном банковском обслуживании можно и нужно зарабатывать, и начинают предлагать и физическим, и юридическим лицам все большее количество услуг в удаленном режиме. Например, частным лицам доступны оплата платежей, переводы, информирование, кредитный калькулятор, управление счетами, кредитами и депозитами, а юридическим лицам – управление счетами предприятий, кредитным портфелем, корпоративными картами, зарплатными проектами, депозитами и др. Александр Погуляка отмечает важность интеграции ДБО с социальными сетями, локальными контактами и оказание дополнительных сервисов, например, по оплате счетов и квитанций по фотографиям и скан-изображениям.
Показатели роста в сфере ДБО за 5 лет в «Московском кредитном банке»
Источник: «Московский кредитный банк», 2014
Какова реальная польза от систем дистанционного банковского обслуживания? Дмитрий Гнездилов, начальник отдела ДБО «Московского кредитного банка», отвечает примером бизнес-кейса. Количество пользователей сервисов ДБО из числа частных клиентов за пять лет выросло весьма показательно: в 2008 г. банковские услуги получали только 8% клиентов банка, а в 2013 г. – 52%. В ближайших планах банка – более тесная интеграция с государственными информационными системами и добавление PFM-сервисов (Personal Financial Management; управление персональными финансами), то есть позволяющих пользователям анализировать, планировать и контролировать состояние личных финансов и расходов.
В поисках безопасного ДБО
Как можно обеспечить безопасность ДБО-каналов? Это вопрос волновал участников круглого стола. Один из наиболее эффективных методов – применение электронной подписи, что определено в №63–ФЗ. Но клиентам необходим простой способ взаимодействия с банками, и усложнять процедуры подключения к ДБО и проведения тех или иных операций не следует. В большинстве случаев достаточно усиленной электронной подписи. Как отмечает Елена Шальнова, начальник управления развития дистанционных каналов банковского обслуживания «ЮниКредит Банка», в марте 2014 г., наряду с scratch-картами (картонными или пластиковыми картами с нанесенной на них секретной информацией под стирающимся слоем), начали использоваться новые средства безопасности, такие как SMS-ключ и Mobipass (технология генерации сеансового ключа). Они не противоречат законодательству и достаточно просты в эксплуатации. При этом, как отмечает спикер, наиболее часто в мобильном клиенте «ЮниКредит Банка» пользователи применяют именно последнюю технологию, которая с практической точки зрения сводится к вводу пин-кода и сеансовому ключу, действующему ограниченное время.
Елена Шальнова подчеркнула, что мобильный банкинг среди розничных клиентов банка не так популярен. По внутренней статистике компании, им пользуется не более 5% клиентов. Тем не менее эксперт высказала уверенность в том, что в ближайшем будущем именно мобильный банк-клиент станет одним из решающих критериев при выборе банка.
Среди существующих систем ДБО нет ни одного промышленного решения, которое обеспечивало бы гарантированную защиту от подмены электронного документа при его подписании, утверждает начальник центра информационной безопасности банка «Союз» Сергей Потанин. Все атаки на системы ДБО можно разделить на следующие группы: действие инсайдера внутри компании, являющейся клиентом банка; атака сотрудников банка; атака из интернета на клиентское решение ДБО; атака из интернета на серверы ДБО; нарушение правил пользования ДБО. Для обеспечения более высокого уровня безопасности в момент ввода клиентом данных о финансовых проводках и подписании их электронной подписью Сергей Потанин рекомендует использовать однонаправленные клавиатуры со встроенным криптографическим чипом, что гарантированно защищает систему ДБО от взлома. Банки сразу выявляют проводки без электронной подписи и не принимают их. Если информация, не подтвержденная электронной подписью, все же принята и обработана, то ответственность несет банк – он и платит за свою ошибку.
Архитектура ДБО-системы с применением однонаправленных устройств ввода
Источник: Банк «Союз», 2014
Однонаправленные клавиатуры имеют встроенный криптографический чип и небольшой экран, на котором отображаются подписываемые электронной подписью данные о транзакциях. Поскольку клавиатуры однонаправленные, их сложно скомпрометировать (разве что выкрасть ее физически или принудительно заставить ее владельца совершить не нужные ему транзакции). Такая цифровая клавиатура подключается к USB-порту компьютера или ноутбука и, может применяться также для совершения действий в системах электронного документооборота, подразумевающих защиту вводимой информации.
Сергей Лосев