Аналитика и комментарии
06 декабря 2023
Делим на два: банковские клиенты страдают от мошенничества, кто виноват, и что делать
Банки должны разделять с клиентами убытки от мошенников, заявил в ноябре директор департамента финансовой политики Минфина Иван Чебесков. Это заставит банки эффективнее предотвращать мошенничество, ведь деньги будут воровать напрямую у них, считает он. Национальный банковский журнал (NBJ) попросил экспертов ответить на вопрос, считают ли они предложенный механизм эффективным способом повышения уровня защиты информации, и какие меры здесь действительно могли бы помочь.
Председатель правления Ассоциации российских банков (АРБ) Олег Скворцов:
Ключевой момент в таких новациях – кто реально виноват. Если у банка взломали систему или произошла внутренняя утечка – это одна ситуация. Другое дело, если клиент сам сообщил пин-код из смс мошенникам – винить в этом банки несправедливо. Государство в случае краж будет искать преступников и способствовать тому, чтобы похищенные средства были возвращены владельцу, но у банков подобного обязательства нет.
С одной стороны, предложенная новация будет стимулировать банки быть более аккуратными. Но с другой стороны, нельзя допускать, чтобы господствовала полная безответственность клиентов, когда они добровольно сообщают мошенникам конфиденциальную информацию, при этом банк никак не может повлиять на это, но должен будет компенсировать убытки.
Нужен целый комплекс мер, только системная работа будет эффективной.
Во-первых, банки со своей стороны обязаны бороться со взломами и утечками данных.
Во-вторых, всем и, конечно, банкам нужно повышать финансовую грамотность и культуру клиентов, доступно и убедительно объяснять необходимость соблюдения финансовой гигиены. Мне видится эффективным привлечение психологов для этой работы.
В-третьих, правоохранительные органы должно активнее работать: например, находить и блокировать номера, с которых идут потоки мошеннических звонков, бороться с дропами.
Конечно, в этот комплекс активностей нужно включать работу Телекомов, служб доставки и так далее.
Начальник управления по контролю за внедрением и технологическим развитием ПАО «РосДорБанк» Михаил Петров:
Повышение уровня защиты информации в банковской сфере через предложенный механизм, вероятно, имеет потенциал улучшить общую безопасность финансовых данных.
Банки как никто другой заинтересованы в повышении уровня защиты интересов своих клиентов – это вопрос их репутации, притока новых клиентов и улучшения качества их обслуживания. Уважающая себя кредитная организация на постоянной основе занимается вопросами модернизации систем безопасности, противодействия мошенническим схемам и повышения квалификации собственного персонала для предотвращения подобных инцидентов. И будет делать это в дальнейшем.
Это может стимулировать инвестиции в развитие более современных и надёжных технологий, таких как биометрическая идентификация, многофакторная аутентификация, системы мониторинга аномалий и обнаружения мошенничества
Тем не менее, есть и «обратная сторона медали». Введение подобных мер чревато возможным увеличением издержек для банков, которые могут попытаться компенсировать свои потери через повышение комиссий или другие сборы для клиентов. Это, в свою очередь, может негативно отразиться на потребителях.
Потенциал здесь – в повышении уровня финансовой грамотности пользователей банковских услуг, более активном оповещении о новых мошеннических схемах и в развитии правовых механизмов остановки подозрительных платежей для проверки и подтверждения. К последним можно отнести следующее:
Внедрение системы многофакторной аутентификации – комбинации пароля, биометрических данных или одноразовых кодов, что может существенно усилить безопасность банковских транзакций. Она поможет предотвратить несанкционированный доступ к финансовым данным клиентов.
Применение технологий машинного обучения и искусственного интеллекта для непрерывного анализа транзакций может помочь в выявлении аномалий, подозрительных активностей и предотвращении мошенничества.
Улучшенное обучение сотрудников банка и клиентов по вопросам безопасности данных и осведомлённость о возможных киберугрозах также играют важную роль в защите от мошенничества. К ним относится проведение регулярных тренингов и информационных кампаний.
Регулярное обновление программного обеспечения и инфраструктуры: банки должны поддерживать и обновлять свои системы безопасности регулярно, чтобы внедрять последние патчи и защищать от новых угроз. Большинство крупных кибератак начинаются с уязвимостей в программном обеспечении, которых можно избежать через регулярные обновления.
Банки могут также начать активно сотрудничать с другими учреждениями и правительственными органами для обмена информацией о киберугрозах и разработки совместных стратегий по предотвращению мошенничества.
Киберстрахование: для банков важно также учесть возможность киберстрахования как одного из инструментов смягчения финансовых рисков, связанных с потенциальными убытками от мошенничества.
Руководитель отдела технологической экспертизы Softline Денис Чигин:
На уровне защищённости средств клиентов банков такая мера скажется положительно. Для банков ущерб от таких инцидентов возрастёт, что может, в свою очередь, сделать внедрение мер и средств защиты более экономически оправданным и обоснованным. Но важно оценить, есть ли у банков реальные инструменты влияния на ситуацию, соразмерен ли размер ущерба степени этого влияния.
Что касается обучения основам грамотности в части противодействия мошенничеству для клиентов-физических лиц, многие банки проводят обучение уже сейчас. Инструментарий этим, конечно, не исчерпывается, но всё равно относительно ограничен.
Актуальна практика, при которой для лиц с притупленным по разным причинам критическим мышлением (возраст, состояние здоровья) предусмотрено участие второго лица (родственник, друг и т.д.) для одобрения операций. Для уязвимой категории людей риски пострадать от мошеннических действий такая мера снижает.
Экономист, IT-менеджер компании Техноброкер Сергей Гатауллин:
Следует признать, что защита национального киберпространства – это не задача гражданина или бизнеса, а обязанность государства. Только на государственном уровне можно переломить возрастающую от года к году киберпреступность, основанную на организованной преступности, в том числе международной, изменившей свои бизнес-модели с учётом значительной цифровизации общества. И обвинять обманутых методами социальной инженерии граждан совершенно неправильно, равно как и вменять бизнесу несвойственные ему функции и сопряжённые расходы.
Очевидно, что разрозненные действия регуляторов киберпространства не приводят к эффективным результатам, киберпреступность экспоненциально растёт, и сценарии массового обмана со средним ущербом в несколько тысяч рублей за последние два-три года сместились к нанесения жертвам крупного ущерба в десятки миллионов рублей в одном случае фрода. Поэтому киберпреступность не является локальной проблемой финансовых учреждений, платёжная инфраструктура которых выступает, по сути, инструментом в руках мошенников. А обеспечение правопорядка является одной из основных функций государства. И если государство, вместо того чтобы искать виноватых, продемонстрирует успехи в этом направлении, отношение граждан и бизнеса к ужесточению регулирования киберпространства изменится в лучшую сторону.
Совладелец WELLSIDE Алексей Николаев:
В современном финансовом мире, где цифровые технологии доминируют в каждом аспекте банковских услуг, защита информации клиентов и их финансов становится всё более актуальной. Возникает вопрос: должны ли банки разделять убытки с клиентами в случае мошенничества? И как это может повлиять на уровень защиты информации?
Разделение убытков с клиентами в случае мошенничества, безусловно, может стимулировать банки усилить свои меры безопасности. Понимание того, что финансовая ответственность лежит не только на клиентах, но и на самом банке, может подтолкнуть последние к разработке более продвинутых систем безопасности. Это может включать в себя внедрение двухфакторной аутентификации, более строгие процедуры проверки идентичности, а также использование искусственного интеллекта для выявления подозрительных транзакций.
Однако, стоит учитывать и потенциальные недостатки такого подхода. Возможно, банки могут повысить комиссии или снизить процентные ставки по вкладам, чтобы компенсировать потенциальные убытки от мошенничества. Это, в свою очередь, может негативно сказаться на клиентах, особенно на тех, кто менее заинтересован в управлении рисками и зависит от банковских услуг в повседневной жизни.
Кроме того, важно учитывать роль клиентов в обеспечении своей безопасности. Банки могут предложить обучающие программы или информационные кампании, направленные на повышение осведомлённости клиентов о различных видах мошенничества и методах их предотвращения. Это может включать в себя информацию о фишинговых атаках, безопасности паролей и мерах предосторожности при онлайн-транзакциях.
Таким образом, разделение убытков от мошенничества между банками и клиентами может стать мощным стимулом для улучшения защиты информации. Однако для максимальной эффективности такой механизм должен сопровождаться другими мерами, включая обучение клиентов и внедрение передовых технологий в сфере безопасности.
Текст: Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2023)
Председатель правления Ассоциации российских банков (АРБ) Олег Скворцов:
Ключевой момент в таких новациях – кто реально виноват. Если у банка взломали систему или произошла внутренняя утечка – это одна ситуация. Другое дело, если клиент сам сообщил пин-код из смс мошенникам – винить в этом банки несправедливо. Государство в случае краж будет искать преступников и способствовать тому, чтобы похищенные средства были возвращены владельцу, но у банков подобного обязательства нет.
С одной стороны, предложенная новация будет стимулировать банки быть более аккуратными. Но с другой стороны, нельзя допускать, чтобы господствовала полная безответственность клиентов, когда они добровольно сообщают мошенникам конфиденциальную информацию, при этом банк никак не может повлиять на это, но должен будет компенсировать убытки.
Нужен целый комплекс мер, только системная работа будет эффективной.
Во-первых, банки со своей стороны обязаны бороться со взломами и утечками данных.
Во-вторых, всем и, конечно, банкам нужно повышать финансовую грамотность и культуру клиентов, доступно и убедительно объяснять необходимость соблюдения финансовой гигиены. Мне видится эффективным привлечение психологов для этой работы.
В-третьих, правоохранительные органы должно активнее работать: например, находить и блокировать номера, с которых идут потоки мошеннических звонков, бороться с дропами.
Конечно, в этот комплекс активностей нужно включать работу Телекомов, служб доставки и так далее.
Начальник управления по контролю за внедрением и технологическим развитием ПАО «РосДорБанк» Михаил Петров:
Повышение уровня защиты информации в банковской сфере через предложенный механизм, вероятно, имеет потенциал улучшить общую безопасность финансовых данных.
Банки как никто другой заинтересованы в повышении уровня защиты интересов своих клиентов – это вопрос их репутации, притока новых клиентов и улучшения качества их обслуживания. Уважающая себя кредитная организация на постоянной основе занимается вопросами модернизации систем безопасности, противодействия мошенническим схемам и повышения квалификации собственного персонала для предотвращения подобных инцидентов. И будет делать это в дальнейшем.
Это может стимулировать инвестиции в развитие более современных и надёжных технологий, таких как биометрическая идентификация, многофакторная аутентификация, системы мониторинга аномалий и обнаружения мошенничества
Тем не менее, есть и «обратная сторона медали». Введение подобных мер чревато возможным увеличением издержек для банков, которые могут попытаться компенсировать свои потери через повышение комиссий или другие сборы для клиентов. Это, в свою очередь, может негативно отразиться на потребителях.
Потенциал здесь – в повышении уровня финансовой грамотности пользователей банковских услуг, более активном оповещении о новых мошеннических схемах и в развитии правовых механизмов остановки подозрительных платежей для проверки и подтверждения. К последним можно отнести следующее:
Внедрение системы многофакторной аутентификации – комбинации пароля, биометрических данных или одноразовых кодов, что может существенно усилить безопасность банковских транзакций. Она поможет предотвратить несанкционированный доступ к финансовым данным клиентов.
Применение технологий машинного обучения и искусственного интеллекта для непрерывного анализа транзакций может помочь в выявлении аномалий, подозрительных активностей и предотвращении мошенничества.
Улучшенное обучение сотрудников банка и клиентов по вопросам безопасности данных и осведомлённость о возможных киберугрозах также играют важную роль в защите от мошенничества. К ним относится проведение регулярных тренингов и информационных кампаний.
Регулярное обновление программного обеспечения и инфраструктуры: банки должны поддерживать и обновлять свои системы безопасности регулярно, чтобы внедрять последние патчи и защищать от новых угроз. Большинство крупных кибератак начинаются с уязвимостей в программном обеспечении, которых можно избежать через регулярные обновления.
Банки могут также начать активно сотрудничать с другими учреждениями и правительственными органами для обмена информацией о киберугрозах и разработки совместных стратегий по предотвращению мошенничества.
Киберстрахование: для банков важно также учесть возможность киберстрахования как одного из инструментов смягчения финансовых рисков, связанных с потенциальными убытками от мошенничества.
Руководитель отдела технологической экспертизы Softline Денис Чигин:
На уровне защищённости средств клиентов банков такая мера скажется положительно. Для банков ущерб от таких инцидентов возрастёт, что может, в свою очередь, сделать внедрение мер и средств защиты более экономически оправданным и обоснованным. Но важно оценить, есть ли у банков реальные инструменты влияния на ситуацию, соразмерен ли размер ущерба степени этого влияния.
Что касается обучения основам грамотности в части противодействия мошенничеству для клиентов-физических лиц, многие банки проводят обучение уже сейчас. Инструментарий этим, конечно, не исчерпывается, но всё равно относительно ограничен.
Актуальна практика, при которой для лиц с притупленным по разным причинам критическим мышлением (возраст, состояние здоровья) предусмотрено участие второго лица (родственник, друг и т.д.) для одобрения операций. Для уязвимой категории людей риски пострадать от мошеннических действий такая мера снижает.
Экономист, IT-менеджер компании Техноброкер Сергей Гатауллин:
Следует признать, что защита национального киберпространства – это не задача гражданина или бизнеса, а обязанность государства. Только на государственном уровне можно переломить возрастающую от года к году киберпреступность, основанную на организованной преступности, в том числе международной, изменившей свои бизнес-модели с учётом значительной цифровизации общества. И обвинять обманутых методами социальной инженерии граждан совершенно неправильно, равно как и вменять бизнесу несвойственные ему функции и сопряжённые расходы.
Очевидно, что разрозненные действия регуляторов киберпространства не приводят к эффективным результатам, киберпреступность экспоненциально растёт, и сценарии массового обмана со средним ущербом в несколько тысяч рублей за последние два-три года сместились к нанесения жертвам крупного ущерба в десятки миллионов рублей в одном случае фрода. Поэтому киберпреступность не является локальной проблемой финансовых учреждений, платёжная инфраструктура которых выступает, по сути, инструментом в руках мошенников. А обеспечение правопорядка является одной из основных функций государства. И если государство, вместо того чтобы искать виноватых, продемонстрирует успехи в этом направлении, отношение граждан и бизнеса к ужесточению регулирования киберпространства изменится в лучшую сторону.
Совладелец WELLSIDE Алексей Николаев:
В современном финансовом мире, где цифровые технологии доминируют в каждом аспекте банковских услуг, защита информации клиентов и их финансов становится всё более актуальной. Возникает вопрос: должны ли банки разделять убытки с клиентами в случае мошенничества? И как это может повлиять на уровень защиты информации?
Разделение убытков с клиентами в случае мошенничества, безусловно, может стимулировать банки усилить свои меры безопасности. Понимание того, что финансовая ответственность лежит не только на клиентах, но и на самом банке, может подтолкнуть последние к разработке более продвинутых систем безопасности. Это может включать в себя внедрение двухфакторной аутентификации, более строгие процедуры проверки идентичности, а также использование искусственного интеллекта для выявления подозрительных транзакций.
Однако, стоит учитывать и потенциальные недостатки такого подхода. Возможно, банки могут повысить комиссии или снизить процентные ставки по вкладам, чтобы компенсировать потенциальные убытки от мошенничества. Это, в свою очередь, может негативно сказаться на клиентах, особенно на тех, кто менее заинтересован в управлении рисками и зависит от банковских услуг в повседневной жизни.
Кроме того, важно учитывать роль клиентов в обеспечении своей безопасности. Банки могут предложить обучающие программы или информационные кампании, направленные на повышение осведомлённости клиентов о различных видах мошенничества и методах их предотвращения. Это может включать в себя информацию о фишинговых атаках, безопасности паролей и мерах предосторожности при онлайн-транзакциях.
Таким образом, разделение убытков от мошенничества между банками и клиентами может стать мощным стимулом для улучшения защиты информации. Однако для максимальной эффективности такой механизм должен сопровождаться другими мерами, включая обучение клиентов и внедрение передовых технологий в сфере безопасности.
Текст: Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (ноябрь 2023)