Безопасность как часть сервисов банка

Интервью

Алексей Трегубов, руководитель проектов разработки ДелоБанка

— Какие операции клиенты могут совершать удаленно?

— ДелоБанк — полностью онлайн-банк, то есть личное присутствие нашего клиента в офисе банка или визит к нему сотрудника требуется только при открытии счета. Все остальные операции — платежи, подключение и использование новых банковских продуктов и финансовых сервисов, обновление сведений, ответы на запросы служб банка и сдача отчетности в ФНС и другие контролирующие госструктуры, ведение бухгалтерии, открытие депозита, получение кредита — все это возможно через интернет или мобильный банк. Там же клиент может включать в перечень новых доверенных лиц, которые без посещения офиса банка сразу могут создавать черновики платежей для подписи руководителя, работать с выписками. Дистанционно можно даже восстановить логин и пароль, изменить номер телефона для получения одноразовых кодов подтверждения. Пока временное ограничение, связанное с развитием приложения — через мобильный банк у нас пока не все услуги можно подключить, но весь выше перечисленный функционал, в т.ч. настройки, уже доступны. А с учетом детально проработанной версии интернет-банка для мобильных устройств наши клиенты могут воспользоваться всеми преимуществами ДелоБанка в любом месте и с любого устройства.

Кроме того, физлицо в нашем мобильном или интернет-банке может подключить карту другого банка и совершать переводы с нее. Для систем других банков, в том числе для бухгалтерских программ, систем CRM клиентов мы создали так называемое открытое API. Эта услуга позволяет нашему клиенту из своих систем получать выписки движения по счетам средств со счета в ДелоБанке. В скором времени мы и сами сможем отображать счета других банков и, в т.ч. стать мультибанковским сервисом с возможностями управления и контроля всех своих средств и бизнесов.

— За счет каких решений доступна «удаленка»?

— Сейчас мы, как и другие банки, вынуждены приглашать клиента в офис или сами к нему приезжать и проводить его идентификацию в рамках своего банка в соответствии с требованиями Законодательства и регулятора, после чего заключать с ним договор комплексного банковского обслуживания. Мы постарались и сделали наше выездное обслуживание очень удобным и быстрым. В рамках комплексного договора клиент без дополнительных реквизитов дистанционно может открыть любой договор, воспользоваться любой услугой банка и наших партнеров. Этот договор также предусматривает различные способы подтверждения заявлений клиентов на оказание услуг или распоряжение средствами.

Мы также участвуем в проекте по внедрению Единой биометрической системы идентификации и аутентификации, и в скором времени сможем предоставить своим розничным клиентам и такой способ заключения договора. Т.е. частное лицо, прошедшее идентификацию в другом банке или в МФЦ, сможет без личного присутствия заключить любой договор или открыть счет в нашем банке.

— Какие именно способы подтверждения имеются в виду?

— Использование этих способов настраивается в профиле компании. Один из них — одноразовые коды подтверждения по СМС. В частности, руководитель может для каждого своего доверенного лица установить дневной лимит операций, подтверждаемых такой подписью. Однако можно от такого способа вообще отказаться и использовать для подтверждения только усиленную квалифицированную электронную подпись. Кстати, выпуск и предоставление такой подписи нами предоставляется совершенно бесплатно, полностью дистанционно и всего за несколько минут, что, конечно, экономит и время, и деньги наших клиентов.

— За время работы банка были ли попытки хакерских атак того или иного рода?

— Думаю да. Однако у меня такой информации нет, так как с этими угрозами успешно справляется опытная служба банка. Однако мы регулярно нанимаем профильные компании, которые специализируются на безопасности, оценке защищенности различных сервисов, в том числе дистанционных банковских систем, для проведения оценки угроз кибербезопасности нашего сервиса. Они пытаются взломать наш интернет- или мобильный банк, и затем формируют подробный отчет. По последнему исследованию мы показали хорошие результаты, было всего несколько некритичных рекомендаций из разряда «все хорошо, но было бы еще лучше, если…», направленных только на снижение репутационных рисков самого банка. Считаю, что это отличный результат, направленный, прежде всего, на защиту клиентов.

— Как реализована защита данных? Персональных, банковских, совершения финансовых операций?

— У ДелоБанка существует интеллектуальная антифрод-система, которая определяет, клиент это действует или нет, перешел ли он по фишинговым ссылкам, пытается ли совершить операцию, подвергшись влиянию мошенников, нетипичную, либо из нетипичного места и множество других критериев. Таким образом, можно даже выявить действия мошенника с рабочего места и устройства клиента.

Второй уровень — это непосредственно проверка платежей, распоряжения средствами на соответствие профилю конкретного клиента. Простой пример: если платеж совершается в адрес нового контрагента, мы пристально смотрим на операцию и проверяем, действительно ли наш клиент формировал платежное поручение о списании средств. Также мы активно взаимодействуем с ФинЦЕРТом для предотвращения мошенничества.

И, конечно, используются все современные аппаратные программные средства защиты инфраструктуры дистанционного сервиса и в целом банка, в т.ч. на уровне архитектурных решений.

— Случалось ли вам останавливать операции или отменять транзакции?

— Да, бывают случаи, когда мы запрашивали у клиента особое подтверждение того, что операцию совершает именно он. Как правило, ситуации были связаны с ошибкой клиента. Случаев попыток несанкционированного списания я не помню.

— Какие сейчас наиболее популярные способы атак на банки или его клиентов?

— Как правило, самый массовый способ сейчас — это социальная инженерия во всех ее проявлениях. Реже встречаются попытки взять под контроль технические средства клиента, с которых происходит вход в интернет- и дистанционный банк, либо подмена сообщений в банк. Однако это очень дорого.

Вся лента