Сегодня практически не осталось банков, клиенты которых не пострадали бы от действий хакеров, атакующих системы дистанционного банковского обслуживания (ДБО). «Доходы» преступных хакерских групп составляют, по оценкам экспертов, 25–30 миллионов долларов в месяц для каждой группы. Это те деньги, которые теряют вкладчики банков, так как все риски банки перекладывают на них. По имеющимся данным, потери клиентов российских банков составляют более 2,5 миллиарда евро. Обратите внимание: не банки потеряли, а клиенты. Это значит, что во всех случаях «успешных» хакерских атак банки объяснили своим пострадавшим клиентам, что банк не при чем, а виноваты они сами. Но как же так? Разве клиент виноват, что банк перепутал его с преступником и отдал преступнику деньги, которые честный гражданин доверил банку?
Источник проблемы — имитация защиты, подменяющая реальные меры безопасности. Никакая cмарт-карта не является полноценным средством защиты и даже в качестве простого идентификатора использоваться может только в определенных условиях, которые не так-то просто создать и поддерживать. В частности, не снятыми остаются вопросы условий, при которых применение гражданами своей электронной подписи в процессах ДБО будет носить легитимный характер. Нельзя носитель ключа электронной подписи (ЭП) выдавать за надежную защиту. ЭП должна устанавливаться в доверенной среде, и только в этом случае ключ подписи будет защищен от утраты. Носитель ключа сам по себе лишь немного сокращает возможность утраты ключа, но надежную его защиту обеспечивает только комплекс мер, основной из которых является доверенность среды. Ни одна система ДБО сегодня не обеспечивает создания доверенной среды функционирования средств криптографической защиты информации (СКЗИ), в результате применение средств защиты осуществляется с нарушением обязательных условий, что и приводит к потерям. Полноценная защита — слишком дорогая, усеченная — не дает ожидаемого эффекта, но применяется банками для привлечения клиентов.
Банки понимают опасность «усеченных» решений, но зарабатывать на современных услугах хочется, и поэтому ответственность за финансовые потери они переносят на клиентов. Клиенты соглашаются, потому что не понимают реальных рисков. При потере средств клиент испытывает огромное разочарование как услугой банка, так и банком в целом, что не способствует привлечению новых клиентов и связано с колоссальными репутационными рисками, особенно для наиболее крупных банков.
< ... >
