Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные «эксперты» в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей, и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений, и, вообще, отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира, и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.
Сейчас тема экономической оценки эффективности вновь на коне, и если смотреть на деятельность служб информационной безопасности не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной два года назад (соотношение осталось таким же). И если мы посмотрим на текущий кейс, то картина следующая: 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос – вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить, со мной должно случиться не менее трех аналогичных инцидентов в год.
Алексей Лукацкий: С точки зрения оценки выгод и затрат необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная
Правда, по данному инциденту необходимо сделать несколько оговорок:
Отсюда вывод: с точки зрения экономики информационной безопасности, каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности, борьба с этой проблемой не такая уж и очевидная в настоящий момент.
Есть и вторая точки зрения. Это compliance (три драйвера «продаж» информационной безопасности – страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос – а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать».
Автор – Алексей Лукацкий, независимый эксперт по безопасности
Комментарии
*