На прошлой неделе в первых строчках новостей мелькнуло сообщение о том, что пойманы за руку бывшие и действующие работники Сбербанка, укравшие 50 млн. рублей с зарплатных счетов клиентов. Факт, что обезвредить преступников удалось при содействии службы безопасности самого банка, упомянут лишь вскользь, почти как «звездочка» в кредитном договоре. Зато трубным гласом прозвучали «Сбербанк-онлайн», воры-сотрудники и зарплатные счета. Хороший удар ниже пояса по имиджу, учитывая, что по оценкам банковского профессионального сообщества, именно зарплатные проекты сегодня считаются драйверами банковских услуг в инертные массы.

Мошенничество в системах дистанционного банковского обслуживания давно сияет как бриллиант чистой воды, что ни день, то новая грань. Главное, что произошло в менталитете банкиров – они, наконец, перестали говорить обществу, что «в Багдаде все спокойно». И даже начали поступать с точностью до наоборот, «воспитывая» своего клиента. Вместе с тем, несмотря на легкую передышку, которую дала банкирам годовая отсрочка вступления в силу страшной для их бизнеса нормы закона о Национальной платежной системе, банкиры не могут не понимать, что плохая подготовка к исполнению этого закона ставит под угрозу дальнейшее развитие дистанционного банкинга. Как банки прикрываются от мошенников сегодня, и какие щиты для этого они будут использовать завтра?

Фрод-мониторинг

Основная цель этого метода – остановить мошенническую транзакцию. Системы фрод-мониторинга своими аналитическими механизмами выявляют действия, нехарактерные для клиента, и ставят их на подозрение.

«Крупные банки выстроили системы информационной безопасности и лишь продолжают их усовершенствование, остальные пытаются это сделать, поэтому спрос на технические решения по фрод-мониторингу будет нарастать. В зависимости от настроек, система может заблокировать счет, отправить уведомление клиенту или офицеру службы безопасности банка. Основными плюсами таких решений является возможность гибко настраивать систему, учитывая специфику каждого конкретного заказчика», – говорит менеджер по работе с крупными корпоративными клиентами компании ESET Алексей Цивилев.

Наличие логина и пароля – уже недостаточная система защиты, поскольку даже поддельное информирование через смс-сообщения уже вышло у мошенников на промышленный масштаб. «Единственный эффективный метод – фрод-мониторинг. Буквально на днях, как мне сообщили в службе безопасности одного из банков, они смогли вычислить и задержать дропера, который пытался обналичить украденные 250 тыс. рублей», – рассказывает начальник отдела информационной безопасности «Банковских информационных систем» Александр Федоров.

Руководитель группы информационной безопасности компании Symantec Олег Шабуров считает, что сейчас тяжело найти банк, у которого нет хотя бы «самописного» антифрод-решения. Банки подтверждают, что этим щитом первой линии обороны они успешно пользуются.

«В нашем банке осуществляется мониторинг подозрительных транзакций. Это позволяет выявлять мошеннические операции и останавливать их до попадания в платежную систему.
При анализе учитываются различные показатели и выявляются операции, несвойственные для конкретного клиента. Далее оператор банка проверяет платеж и окончательно устанавливает мошеннический он или нет», – рассказал начальник отдела информационной защиты Росгосстрахбанка Владимир Егорычев.

«В 2011 году мы внедрили аппаратно-программную систему он-лайн фрод-мониторинга операций интернет-банка «Альфа-Клик» в режиме реального времени. В настоящее время система доказала свою высокую производительность и эффективность, сведя потери клиентов и банка к минимальному уровню», – говорит директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев.

Однако внедрить и на этом успокоиться – мало. Разработчики не устают повторять, что это направление требуется все время развивать и не для галочки. Вендоров тоже можно понять – ведь это их бутерброд с икрой. Но все же здравый смысл в их заявлениях имеется.

Директор по развитию АМТ-Груп Илья Митричев утверждает, что, несмотря на многолетнюю популярность технологий по выявлению подозрительных платежей в российских банках, обычно они ограничиваются предлагаемыми встроенными или наложенными решениями от вендоров систем дистанционного банковского обслуживания. Необходимость комплексных промышленных внедрений осознали пока немногие. «Понимание большинства пока ограничивается попыткой выявления на основе некоторых примитивных формальных правил. Эффективность такого метода показушна. Но и инвестиций практически никаких не требует – вендоры или предлагают решения бесплатно в маркетинговых целях, или продают «за копейки», – комментирует эксперт.

Это, по мнению эксперта, далеко от реального фрод-мониторинга, способного сделать риск финансовых потерь банка минимальным, да еще и в качестве бонуса повысить имидж банка как организации, заботящейся о своих клиентах и продвигающей безопасные дистанционные услуги.

«Такие цели достигаются комплексным решением, затрагивающим не только системы ДБО. Для реализации таких проектов необходимы достаточные бюджеты. К сожалению, риск-менеджмент банка обычно не в состоянии качественно оценить риски и возможные последствия действий мошенников, поэтому непросто обосновать необходимость расхода финансов и человеческих ресурсов банка на принятие мер по фрод-мониторингу», – говорит Митричев.

Независимый эксперт по информационной безопасности Евгений Царев находит ситуацию еще более странной. «В настоящий момент ведется жесткий демпинг со стороны отечественных производителей решений мониторинга транзакций, и банки далеко не всегда покупают качественные продукты. Как результат – фактически «убитый» рынок», – заявляет он.

Впрочем, менеджер по развитию бизнеса компании «Информзащита» Елизавета Спасенных вовсе не находит решения по фрод-мониторингу копеечными. «Внедрение этих систем обходится, прямо скажем, недешево: оно требует значительной подготовки, связанной с выявлением типовых схем мошенничеств и точной настройкой логики работы таких систем. Однако в результате грамотно построенная система фрод-мониторинга обеспечивает свою окупаемость за счет снижения уровня мошенничеств», – считает она.

Заместитель начальника управления развития продуктов компании BSS Андрей Хохлов считает, что переложить все риски на клиента – не выход. «Как показывает практика внедрения комплексного антифрод-решения передовыми банками, предотвращение всего лишь двух-трех крупных попыток кражи со счетов клиентов снижает размер потенциальных убытков банка на сумму, с лихвой покрывающую вложенные инвестиции. Кроме того, решение обеспечивает соответствие деятельности банка по дистанционному обслуживанию клиентов требованиям российского законодательства и регуляторов», – говорит Хохлов.

Борьба с инсайдом

Судя по сообщениям правоохранительных органов, серьезную угрозу как для банков, так и для их клиентов несут инсайдеры. Генеральный директор компании Group IB Илья Сачков давно заявляет о том, что в преступных хакерских группировках есть действующие сотрудники банков.

Статистику ущерба от инсайда приводит и Алексей Цивилев. «Типовая модель мошенника не ограничивается только сторонними злоумышленниками, часто и сами сотрудники банка, имеющие доступ к данным о счетах клиента и операциям с ними могут использовать его в корыстных целях. По неофициальным оценкам такие преступления наносят ежегодный ущерб на сумму от $400 до $600 млн. в год», – говорит он.

Внедряют ли российские банки IT-решения, позволяющие контролировать инсайдеров?

Александр Федоров уверен: если правильно взяться за дело, всех инсайдеров можно вычислить в течение полугода. «Любая попытка «слить информацию» оставляет след. Все, что необходимо, – стопроцентный контроль над компьютером, а также аудио, видеоконтроль. Об этих мерах можно объявить сотрудникам, пусть они об этом знают. Наши сотрудники, работая по заказу одного из банков, столкнулись с проблемой: им запрещено пользоваться своими флешками. Вроде бы неудобство, но мы понимаем позицию банка, он гарантирует себя от утечки информации. И правильно делает», – привел пример эксперт.

Илья Митричев подтверждает, что большинство банков внедряют решения по выявлению пресечению действий инсайдеров. Это имеет еще и «бонусный» эффект – предотвращение ошибок сотрудника банка, непреднамеренно нарушающего те или иные требования.

По оценкам Елизаветы Спасенных, до недавнего времени банки предпочитали использовать собственные разработки для контроля «инсайдеров». Однако это оказалось дорого, и банки стали задумываются о сторонних продуктах известных вендоров. «Рост числа проектов по внедрению таких систем объясняется, с одной стороны, общим увеличением случаев мошенничества. С другой – постоянно совершенствующимися механизмами защиты, для обхода которых и успешной реализации мошеннических схем все чаще требуется содействие внутренних инсайдеров», – комментирует эксперт.

«Борьба» с клиентом

Банки честно стараются научить клиента прописным истинам и элементарным правилам информационной безопасности. Но потребителю мало быть априори «слабым звеном», он еще и учиться не желает. Об этом говорят фото забытых в компьютере токенов или паролей, напечатанных на листе и вывешенных в рамочке на стене офиса – такие «веселые картинки» банкиры-«безопасники» любят показывать в своих презентациях.

Какие методы банки используют для обучения своих клиентов и эффективны ли они?

«В соглашениях, заключаемых с клиентом, прописаны основные правила по обеспечению безопасности при работе с системой ДБО. Также на главной странице сайта банка размещена информация по защите от мошенничества и памятка по информационной безопасности. К сожалению, многие клиенты не прислушиваются к этим советам», – констатирует Владимир Егорычев (Росгосстрахбанк).

«На сайте банка размещены последние версии антивирусных программ для бесплатного скачивания клиентами. В СМС-сообщениях с одноразовым паролем клиенту предлагается сверить реквизиты и адрес платежного ресурса. Но какие бы средства и решения банк не предпринимал для обеспечения безопасности платежей, если клиенты не будут соблюдать элементарные правила безопасности на своей стороне – угроза мошенничества будет сохраняться», – считает Алексей Голенищев (Альфа-банк).

В числе страшных клиентских грехов банкиры называют отсутствующий или старый антивирус на клиентском компьютере, разбазаривание конфиденциальной информации для входа в систему ДБО и интернет-серфинг по сомнительным сайтам со «святая святых» – того самого компьютера, который используется для работы с банком-онлайн.

«После мошеннической операции была проведена экспертиза рабочего компьютера бухгалтера одной крупной компании, с которого совершались многочисленные операции в системе ДБО. Было выявлено несколько троянских программ. Выяснилось, что последнее обновление антивирусной программы производилось почти два года назад», – привел пример эксперт Альфа-банка.

Воспитание клиентов – занятие неблагодарное, – считает председатель совета директоров платежной системы Handybank Сергей Черноморов. «Пока население напрягается и изучает способ А, мошенники придумают способ Б. Мы хотим бесконечно грузить граждан финансовой грамотностью, банки – системами безопасности, а надо менять стратегию и искать адекватное решение там, где потеряли, а не там, где светло», – заявил эксперт.

Впрочем, недавно отмечено новшество – банки стали использовать в воспитательных целях краудсорсинг. Социальная акция «Сбербанк против мошенников» тому подтверждение. Впрочем, предвестником этого метода был своеобразный «форум обиженных» – группа вКонтакте, организованная клиенткой Сбербанка Аллой Тасиц, пострадавшей от фишинговой атаки. Группа объединила почти 400 пострадавших клиентов, которые обменивались информацией, успокаивали и морально поддерживали друг друга. Самой Алле Тасиц пришлось девять месяцев ждать, пока банк вернет ей украденные деньги.

«Моя борьба наконец-то закончилась победой. Только общественный резонанс позволил добиться таких результатов. Сначала я искала людей с похожими ситуациями на разных форумах. Наша группа росла, и люди потом уже сами находили меня и присоединялись. В конце апреля прошлого года несколько участников группы написали мне, что им неожиданно пришли деньги на счет, сумма – равная украденной. Мне тоже вернули все 425 тыс. Деньги я сразу сняла и положила в Промсвязьбанк», – рассказывает Алла Тасиц.

Насколько эффективно предупреждение клиентами друг друга относительно рисков ДБО?

Владимир Егорычев считает, что негативные отзывы в сети лишь вредят репутации банка – и только. «В основном при написании негативных отзывов по фактам мошеннического списания денежных средств через систему ДБО, клиенты склонны винить банк. И факт того, что при этом клиент должным образом не выполнял требования по информационной безопасности в отзыве не упоминается. Поэтому такие негативные отзывы не содержат информационной составляющей для других клиентов, о реальных причинах, приведших в итоге к несанкционированному доступу и списанию денежных средств через систему ДБО», – прокомментировал банкир.

«Здесь скорее важны профессиональные своевременные ответы и рекомендации сотрудников банка, а не сторонних клиентов, так как их советы порой могут быть, как минимум, ошибочными, а иногда и опасными. Альфа-банк постоянно мониторит и связывается с клиентами, оставляющими подобные отзывы в социальных сетях и ресурсах «околобанковского» сообщества», – говорит Алексей Голенищев.

Инструменты доверия

Один из эффективных на сегодняшний день методов защиты – так называемые «инструменты доверия».

«Эта технология позволяет достоверно подписывать банковские документы и достоверно доставлять их в банк. Исказить информацию практически невозможно. Компьютер любого клиента, информационные системы, которыми он пользуется, могут быть повреждены, и клиент подписывает одно и на экране видит, что он подписывает, а на самом деле банк получает и другую цифру, и, может быть, другой адрес транзакции. При наличии «доверенной среды» это невозможно. Алгоритм программы устроен таким образом, что если кто-то попытается исправить подписанный клиентом документ, то в банке это сразу видят», – рассказал Александр Федоров («Банковские информационные системы»).

Однако встречается и скептическое отношение к такому решению проблемы, которое связано с родимым нашим русским менталитетом. «Эффективность зависит от сути внедряемого, которое зачастую имеет только психологический эффект. Любой «инструмент» должен быть удобен и необременителен в использовании. Если это не соблюдается, то «инструмент» будет постепенно выводиться из эксплуатации тем или иным способом. Реально уровень защищенности повышают только комплексные меры», – считает Илья Митричев (АМТ-груп).

Посадки на грядке

По данным компании Group-IB, специализирующейся на расследовании компьютерных преступлений, на начало 2012 года на территории России действовало 6 крупных преступных групп, «работавших» по системам дистанционного банковского обслуживания. Благодаря серии успешных расследований, в которых принимали участие эксперты Group-IB, сотрудники ФСБ и МВД, а также служб безопасности банков, 3 преступных группы прекратили существование.

Первая «ликвидация» случилась в марте 2012 года. Участники расследования считают это дело уникальным в мировой практике, поскольку удалось установить всю преступную цепочку от организатора группы до низшего звена — дропов, отвечающих за обналичивание украденных денег. Мошенников было 8 человек, и только в 2011 году им удалось похитить около $150 млн. у клиентов ста российских и зарубежных банков.

«В их распоряжении находился даже собственный офис, работавший под прикрытием компании по восстановлению данных. Три месяца кропотливой работы потребовалось отделу расследования Group-IB, чтобы установить личность организатора преступной группы, владевшего и управлявшего специализированной банковской бот-сетью», – рассказал Илья Сачков.

Также в июне 2012 года был задержан организатор преступной группы мошенников, создавший многомиллионную банковскую бот-сеть, известный в сети под псевдонимами Гермес и Араши. На «охоту» за доказательствами причастности этого человека к преступлениям потребовалось 16 месяцев, и теперь он ждет суда вместе со своими подельниками.

На профильных конференциях по информационной безопасности в адрес банков часто слышны упреки. Дескать, банки замалчивают инциденты, не желают делиться информацией во время расследований, не участвуют в обмене информацией и составлении «черных списков» мошенников. Опрошенные банкиры опровергают подобные претензии.

«В банке налажено тесное взаимодействие службы безопасности с правоохранительными органами, куда предоставляется вся необходимая для проведения расследования в рамках уголовного дела информация по инцидентам информационной безопасности. Всем клиентам по факту несанкционированного списания денежных средств дается рекомендация обязательно обратиться с заявлением в правоохранительные органы. Тем более, что при опротестовании и возврате несанкционированного перевода на счета в другие банки, требуется заявление клиента о факте мошеннической операции и корешок талона-уведомления о подаче заявления в полицию. Банк участвует в обмене информации со службами безопасности других банков по фактам выявленных мошеннических операций, с целью предупреждению их повторения, а так же для возможного обобщения нескольких эпизодов в одно производство», – заявляет Владимир Егорычев.

«Альфа-банк активно участвует в обмене информацией, является участником корпоративной рассылки информации об инцидентах в ДБО. Также активно взаимодействует со сторонними банками и МВД в противодействии мошенническим операциям и расследовании случаев совершенного мошенничества. Как результат часто удается «перехватить» мошеннические переводы на счета злоумышленников в банке, и предотвращается их дальнейший перевод или обналичивание», – вторит Алексей Голенищев.

Иллюстрацией такого слаженного взаимодействия можно назвать ликвидацию группы Hodprot, похитившей у клиентов банков порядка 125 млн. рублей. Группа действовала 4 года и специализировалась на хищениях денежных средств юридических лиц. Мошенники заразили более 1,6 млн. компьютеров пользователей нескольких крупных городов, включая обе столицы. Получив необходимые для банковских операций идентификационные данные, злоумышленники якобы от имени компании направляли в банки подложные платежки. Затем похищенные деньги перечислялись на банковские карты и обналичивались через банкоматы. Каждый мошенник «зарабатывал» по 2 млн. рублей ежемесячно.

«Поскольку среди потерпевших были и клиенты Сбербанка к расследованию подключилось Управление безопасности Московского банка Сбербанка России. Полиция задержала злоумышленников одновременно в нескольких регионах. В ближайшее время состоится суд в отношении участников преступной группы», – рассказал Илья Сачков.

Однако экспертов «умиляет» отношение российского суда к киберпреступникам. Дело в том, что наши судьи видят в них всего лишь оступившихся молодых и талантливых ребят, которым жалко портить биографию реальными сроками заключения. Советник генерального директора платежной системы Cyberplat Борис Мирошников, долгое время курировавший борьбу с кибермошенниками в МВД и ФСБ, привел пример, которому очень далеко до оптимизма. «На прошлой неделе задержали 18 компьютерных мошенников и 16 из них отпустили на следующий день. Ребята-милиционеры, мои бывшие коллеги, разрабатывавшие эту операцию долгие месяцы, готовы были плакать от чувства бессилия», – рассказал Мирошников.

«Мошенники получают условные сроки, если их поймают. Судебные решения – это фактически приглашение к мошенничеству. Мы применяем способы обороны, а в данном случае на мошенников надо нападать. Государство должно осознать кибермошенничество как проблему национальной экономической безопасности», – заявил Сергей Черноморов.

Кибероружие

Нападение – это лучшая защита. Разрабатывают ли вендоры решения, призванные не только отражать атаки, но и в свою очередь атаковать злоумышленников? Насколько перспективно такое направление в информационной безопасности? Эксперты сошлись во мнении, что, поскольку презумпция невиновности все еще действует, перспектив у легального кибероружия нет.

«Наверняка идеи о разработке уже витают в умах «умельцев». Однако такие решения вряд ли когда-либо перейдут в категорию хорошо продаваемых продуктов, в связи с вероятной незаконностью их действий. Банки самостоятельно решают задачи по защите своих клиентов и данных, но не по отлову мошенников или атакам на них», – говорит Елизавета Спасенных («Информзащита»).

Александр Федоров тоже считает подобные превентивные меры опасными. «Все-таки это не наши методы. Ведь в таком случае защитники начинают действовать так же, как и нарушители, а это вряд ли правильно», – сомневается эксперт.

«Совершенно бесперспективно. Это незаконно. Непонятно, кого именно надо атаковать – прокси-сервер в Китае?» – удивился вопросу директор компании Digital Security Илья Медведовский.

«Право решать, кто виновен, только у судьи, и вендор, специализирующийся на разработке средств защиты, в случае подобной «акции возмездия» рискует в один момент превратиться из защитника в преступника», – говорит Алексей Цивилев (ESET).

«Нельзя переходить грань дозволенного. Однако банк может оказать неоценимую помощь компетентным органам в части сбора доказательного материала по злоумышленникам. Поэтому в промышленных решениях по фрод-мониторингу присутствуют «ловушки», позволяющие не только выявить факт злоумышленного действия, но и отвлечь злоумышленника на действия с фиктивными данными и в процессе его «работы» собрать максимум доказательного материала», – прокомментировал скользкую тему Илья Митричев.

Соломка, сэр!

Но если против лома нет приема, и даже другой лом не спасет, может быть, обратиться к старой доброй страховой соломке? Аналитический центр «Альфа-Страхование» опубликовал данные собственного исследования – число случаев хищения денег с банковских счетов за последний год увеличилось в пять раз. Однако эксперты сошлись во мнении, что на такой соломке весьма жестко спать. Что же мешает и колется?

Владимир Егорычев из Росгосстрахбанка прямо говорит об экономической нецелесообразности. «Страховой инструмент в первую очередь нацелен на покрытие крупных убытков банка, а по массовым операциям, которые ежедневно совершаются через систему ДБО десятками или сотнями тысяч, страхование рисков для банков может оказаться экономически неоправданным. Также на начальном этапе развития программ страхования рисков информационной безопасности страховые компании могут предлагать заведомо «невыплатные» страховки», – предполагает банкир.

Начальник отдела дистанционного банковского обслуживания ВТБ24 Елена Дегтева пеняет на несовершенство законов и отсутствие страховой практики по этим рискам. «Для российского рынка это новая, непривычная услуга, и должно пройти время, прежде чем клиенты поймут, насколько она им необходима», – размышляет она.

«Страхование рисков в ДБО фактически невозможно. Во-первых, нет института независимого оценщика, которому бы доверяли и банк, и страховая компания. А без этого страховщик не может оценить уровень риска. Во-вторых, нет института независимого дознавателя – без этого страховщик не может понять «а был ли мальчик», то есть инцидент. И самое главное – кого страховать? Банк или клиента? Про страхование информационных рисков уже говорят лет десять, а воз и ныне там», – комментирует тяжелый вопрос Илья Медведовский.

Законодательное лобби

Банкиры почему-то неохотно прокомментировали пресловутую «девятую статью» – видимо уже до мозолей на языке наговорились о ней на многочисленных банковских конференциях. Да и отсрочка пока действует. Тем не менее, готовы ли банки морально и технически к новшествам закона о Национальной платежной системе или надеются на новые отсрочки по вступлению в силу отдельных его положений, напрямую угрожающих банковскому бизнесу? Или дистанционное банковское обслуживание так и не станет дешевым и массовым, и на его развитии можно поставить крест?

«В банке проводится работа в соответствии с требованиями 161-ФЗ «О национальной платежной системе». Осуществляются необходимые организационные и технические мероприятия по актуализации контактной информации клиентов банка и реализации информирования клиентов по всем совершаемым операциям с использованием электронного средства платежа», – говорит Владимир Егорычев.

«Закон о национальной платежной системе несомненно нуждается в доработке по разным причинам, в том числе из-за возможного увеличения риска недобросовестного поведения самих клиентов. Надеемся, что такие изменения будут со временем приняты. Естественно, на развитии ДБО наш банк крест ставить не собирается – это тенденция рынка, развития банковского бизнеса», – комментирует Алексей Голенищев.

Независимый эксперт Евгений Царев не согласен, что «девятая статья» угрожает банковскому бизнесу. Но есть две проблемы – банки зачастую не способны уведомить клиентов об операциях. К примеру, 5 лет назад никто не требовал уведомлять клиентов об операциях, в результате банки не обращали внимания на сбор и поддержание в актуальном состоянии баз с контактными данными клиентов. А теперь банки испытывают трудности с получением этих сведений.

Вторая проблема связана с возвратом денег клиенту. «Фактически злоумышленники сегодня воруют не у банков, а у клиентов. Существующая практика разбирательств показывает, что клиенты, особенно физические лица, регулярно проигрывают в спорах с банками о возврате похищенных денежных средств. Причем однозначной вины клиента банк доказать не может. Поэтому сложилась практика отказа клиентам в возвратах. В случае принятия 9 статьи в существующем виде, ситуация изменится с точностью до наоборот, что тоже нехорошо. В результате единственным выходом для банков остаются поправки в 9 статью», – комментирует Царев.

Однако президент Национального платежного совета Андрей Емелин на недавнем форуме «Информзащита», где в числе многих обсуждался и этот вопрос, призвал банки не особенно надеяться на законодательное лобби. «Пока банк не осознает, что он должен быстро обеспечить систему рассмотрения споров с клиентом, никакие меры законодательного характера влияния не окажут. Не нужно дожидаться, пока законодатель изобретет и выточит дубину, чтобы бороться с банками. Нужно самим предложить конструктивные решения, позволяющие снять проблему», – заявил Емелин.

Птица счастья завтрашнего дня

Эксперты перечислили основные направления по информационной безопасности, которые будут внедряться или совершенствоваться банками в ближайшее время.

«Системы, основанные на использовании логина, пароля, электронного ключа, смс-информирования, будут умирать. Будут развиваться антифродовые системы. Усилится защита от инсайдеров. И еще я бы отдельно сказал о развитии защиты в облачных технологиях. Тут у нас пока методы не отработаны. А это необходимо, прежде всего, в связи с тем, что мы вступили в ВТО. У нас теперь есть требования регулятора, с одной стороны, а с другой – требования международных стандартов», – рассуждает Александр Федоров.

«Наиболее перспективным представляется подход, позволяющий совместить высокую степень защищенности клиентов и удобство работы в дистанционных каналах», – говорит Елена Дегтева (ВТБ24).

Как мрачно пошутил на форуме «Информзащита» вице-президент ВТБ Карл Сумманен, в Америке стало больше отрезанных пальцев после введения биометрической идентификации клиента. «Самое страшное в построении систем безопасности – это наивная вера в то, что есть серебряная пуля. Нет ни серебряной пули, ни осинового кола. Банк и клиент должны найти такой уровень защиты, что для клиента еще удобно, а для преступника – уже невыгодно. Если такой вариант будет найден – это адекватная защита», – объяснил эксперт.