Стоит ли банкам бороться за безопасность мобильных платежей?

Я бы хотел посмотреть на данное событие (шумиха и документ ЦБ) с двух точек зрения. Первая касается экономики. Отдельные «эксперты» в очередной раз заявили о том, что вот он, наступающий апокалипсис мобильных платежей, и надо срочно всем банкам бежать и заказывать услуги анализа защищенности мобильных приложений, и, вообще, отдельным экспертам тяжело в одиночку сдерживать натиск хакеров всего мира, и пора бы всем уже проснуться. Я хочу вновь вернуться к своей заметке двухлетней давности.

Сейчас тема экономической оценки эффективности вновь на коне, и если смотреть на деятельность служб информационной безопасности не с точки зрения торговли страхом, а с точки зрения банальной оценки выгод и затрат, то необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная (если не сказать больше). Ситуация с общим состоянием мобильных платежей не сильно изменилась по сравнению с описанной два года назад (соотношение осталось таким же). И если мы посмотрим на текущий кейс, то картина следующая: 350 тысяч пострадавших и 50 миллионов рублей, о которых говорят журналисты. Делим одно значение на другое и получаем 142 рубля потерь на одного клиента. СТО СОРОК ДВА рубля! Ответьте себе на вопрос – вы будете что-то делать из-за такого ущерба? Вы поставите себе на смартфон антивирус? К слову сказать, тот же антивирус Касперского для Android стоит в год 300 рублей. Чтобы его окупить, со мной должно случиться не менее трех аналогичных инцидентов в год.

Алексей Лукацкий: С точки зрения оценки выгод и затрат необходимость борьбы с мобильными банковскими угрозами не такая уж и очевидная

Правда, по данному инциденту необходимо сделать несколько оговорок:

• Если верить тому, что число пострадавших именно таково, то данный инцидент малоинтересен для клиентов банков – ущерба для них нет, и заморачиваться этим не стоит (я бы не стал точно). Если число реальных пострадавших меньше и значение 350 тысяч выбрано для показа «сурьезности», то в этом случае потери на одного клиента будут больше. Но насколько?
• Если посмотреть на инцидент с точки зрения банка, то тут все зависит от числа пострадавших банков. Если он один, то стоит задуматься о том, что существует риск, что 350 тысяч жертв обратится за возвратом своих незаконно списанных средств (пользуясь 9-й статьей ФЗ-161). И тогда 50 миллионов – это потери одного банка. Это может заставить задуматься. Но в статье говорится о нескольких банках, и в этом случае надо считать реальные потери для каждого банка (с учетом практики обращений клиентов по 9-й статье).
• Чтобы делать вывод о серьезности проблемы в общероссийском масштабе, нужна общая статистика об инцидентах с мобильными платежами и объеме похищенных или готовящихся к хищению средств. К сожалению, Департамент НПС Банка России до сих пор так и не опубликовал статистику по собранным по 203-й форме отчетности инцидентам. Последняя опубликованная статистика датирована первым полугодием 2013 года.

Отсюда вывод: с точки зрения экономики информационной безопасности, каким бы страшным не казался данный инцидент (или как бы не запугивали отдельные представители отрасли), с точки зрения экономической целесообразности, борьба с этой проблемой не такая уж и очевидная в настоящий момент.

Есть и вторая точки зрения. Это compliance (три драйвера «продаж» информационной безопасности – страх, compliance и экономика). В 382-П у нас есть пункт 2.7.5, согласно которому, при обнаружении вредоносного кода участники платежной системы должны обменяться информацией о вредоносе. Банки должны сообщить оператору платежной системы, а он, в свою очередь, остальным участникам платежной системы. В п.2.12.3 также есть требование о необходимости обязательного уведомления клиентов о рисках несанкционированного доступа к защищаемой информации и мерах по их снижению. И вот тут возникает закономерный вопрос – а должны ли были банки уведомлять своих клиентов о данной угрозе? И в какой форме? И с какой периодичностью? Один раз при заключении договора? При каждом инциденте? Или еще как-то? Такой вопрос, кстати, возникал при подготовке еще второй редакции 382-П, но по ряду причин его так и не рассмотрели. Поэтому сейчас я бы рассматривал публикацию на сайте Банка России как пример того, как можно это сделать».

Автор – Алексей Лукацкий, независимый эксперт по безопасности

Читать публикацию в блоге «Бизнес без опасности»