Убыточная экзотика
Страхование рисков интернет-банкинга
суровая необходимость
Абсолютной защиты от хакеров не существует, но от ущерба можно застраховаться. В России это сделать сложнее: отечественные страховщики в основном предлагают дорогостоящие комплексные услуги. Приобретая их, нередко приходится раскрывать секретную информацию. И все же российские банки стали чаще покупать полисы страхования on-line рисков, опасаясь за свои финансы и репутацию.
On-line привет от мошенника
В последнее время в мире резко растет число преступлений, совершаемых по схеме фишинга — интернет-мошенничества, состоящего в краже персональных данных, паролей и т. п. Фишеры используют два основных метода завлечения жертв. Наиболее распространенный — массовая рассылка электронного спама. В этих письмах от имени известного брэнда предлагается зайти по ссылке на сайт-подделку и там ввести персональные данные вроде номера банковского счета или пароля. Сделав это, пользователь сам открывает злоумышленникам доступ к собственному счету. Мошенники могут сами и не пользоваться добытой информацией, а передавать или продавать ее сообщникам, зачастую находящимся на другом конце света.
По сообщению "Интерфакса", один из разоблаченных фишеров, 22-летний гражданин Белоруссии, за полтора года причинил банкам США, Франции, Швейцарии и Люксембурга ущерб более чем на $15 млн. Как установило следствие, он находил хакеров, способных добыть нужную информацию, а затем обрабатывал ее и перепродавал заинтересованным лицам.
Еще одна схема предполагает размещение ссылок на сайты фишеров на популярных сетевых ресурсах. Около года назад Ситибанк уже столкнулся с атакой фишеров, когда сообщения злоумышленников со ссылкой на лжесайт массово рассылались пользователям сети по электронной почте. Но меры безопасности, в частности оперативное оповещение, были приняты вовремя, и клиенты банка не пострадали.
Несколько месяцев назад клиенты системы электронных платежей "Приват-24" украинского Приватбанка также получали от мошенников сообщения с предложением пройти авторизацию на сайте системы. В письмах объяснялось, что это необходимая мера предосторожности, направленная на обеспечение безопасности электронных счетов. Но, по словам руководителя Центра электронного бизнеса Приватбанка Александра Витязя, в банке действует система, которая не предполагает контактов с клиентом через электронную почту. Фишерская атака была зафиксирована в режиме on-line, сотрудники службы безопасности банка направили в адрес сайта, зарегистрированного на американском портале, письмо с просьбой закрыть мошеннический ресурс. Еще несколько недель потребовалось для того, чтобы установить личности мошенников. Сейчас ведется следствие. "Эта атака стала уже четвертой для Приватбанка, но ущерба клиентам она не принесла, так как менеджмент банка с самого начала функционирования системы интернет-банкинга принял принципиальное решение не использовать электронную почту для коммуникации с клиентами",— рассказывает Александр Витязь.
Фишинг и другие махинации с использованием интернета тесно связаны с деятельностью кардеров — преступников, специализирующихся на незаконной деятельности в сфере оборота пластиковых карт и их электронных реквизитов. По данным компании Gartner, за последний год в США жертвами разного рода махинаций с банкоматами и пластиковыми картами стали около 3 млн человек, американским банкам и их клиентам был нанесен ущерб в миллиарды долларов. Так что страховка от онлайновых мошенников становится суровой необходимостью.
Особенности национального рынка
Страхование рисков интернет-банкинга за рубежом осуществляется в рамках трех полисов. Наибольшим объемом страховой защиты обладает Bankers Blanket Bond (BBB), что в переводе на русский означает "полис комплексного страхования банковской ответственности". Есть еще Computer Crime Insurance, то есть страховка от преступлений в компьютерной сфере, и Hacker Insurance — страховка от хакеров. Computer Crime и Hacker Insurance и предназначены для защиты от наиболее опасных для интернет-банкинга внешних вторжений.
Казалось бы, они в первую очередь нужны банкам, но в России эти полисы становятся своеобразным "довеском" к комплексной страховке BBB, предусматривающей как риск противоправных действий третьих лиц против банка и его клиентов, так и мошенничество сотрудников. Такая ситуация вызвана несколькими объективными причинами. Отечественным страховым компаниям невыгодно отдельно продавать Computer Crime или Hacker Insurance — система оценки риска в России слишком сложна и дорога. А полис ВВВ позволяет сбалансировать соотношение страховой премии и обязательств страховщика.
Кроме того, сами банки не горят желанием раскрывать страховщику информацию о своем программном обеспечении, системах кодировки, безопасности и контроля за собственными сотрудниками. "Такую информацию о банке нельзя доверить кому попало, поэтому, как правило, страхование осуществляется в рамках одной финансово-промышленной группы",— отмечает заместитель генерального директора группы "АльфаСтрахование" Наталья Карпова. Хотя, по мнению заместителя гендиректора "Ренессанс Страхования" Николая Галушина, ситуация постепенно меняется: "Конкурентная борьба обостряется, и универсальные страховые компании нередко предлагают качественную страховую защиту по более выгодным тарифам, чем страховщики в рамках одной ФПГ. Это привлекает все больше клиентов из банковской сферы. Поэтому постепенно и универсальные страховые компании успешно осваивают этот рынок".
Средняя страховая премия при заключении комплексного договора страхования с крупным банком оценивается Натальей Карповой в сумму порядка $1,5 млн. При этом на размер страхового тарифа влияет степень защищенности программного обеспечения банка, а также количество пользователей, имеющих доступ к системе.
Реальная оценка виртуального риска
Перспективы развития этого вида страхования неразрывно связаны с совершенствованием технических решений интернет-банкинга. Страхование не может идти одновременно с развитием технологии. Ведь для качественной оценки риска необходимо опираться на статистику убытков от on-line мошенников, которой в России еще нет.
Сейчас проблем у пользователей новой услуги хватает. Как рассказала одна из клиенток, изредка пользующаяся услугами интернет-банкинга, для совершения операций ей выдали карточку и к ней — четыре конверта с цифровыми кодами. На каждой стадии после введения одного кода система может для проверки запросить еще один. Повторное введение многозначных кодов сильно усложняет проведение платежей, их практически невозможно сделать в дороге.
Сложность технологии отражается на психологическом восприятии новой финансовой услуги. "Для российского менталитета характерно желание все потрогать руками. В случае с интернет-банкингом большинству населения непонятно, как конкретно обеспечивается надежность, поэтому данное направление в России развивается медленно",— считает гендиректор компании "Капиталъ Страхование жизни" Елена Дмитриева.
Еще одна проблема связана с недостаточным законодательным обеспечением этого бизнеса. По мнению Николая Галушина, не хватает четко прописанной ответственности субъектов электронного бизнеса: "Необходимо законодательно определить, в каких случаях ответственность несет банк, а в каких — клиент. Раньше человек приходил в банк, приносил с собой паспорт и осуществлял операции. Сейчас клиент, находясь в удаленном доступе, может совершить сделку и потом утверждать, что это сделал не он". В такой спорной ситуации именно банк вынужден будет определить, кто же все-таки осуществил операцию, и доказать это, что очень трудно. "И все же главная проблема интернет-банкинга не в законодательстве, а в сложной и одновременно плохо защищенной от взлома технологии",— утверждает глава комитета по общему законодательству о страховании Всероссийского союза страховщиков Семен Акерман.
Как и все новые страховые услуги, страхование рисков интернет-банкинга и его ближайшие перспективы оцениваются неоднозначно. Генеральный директор СГ "Межрегионгарант" Евгений Потапов утверждает: "Даже на Западе интернет-банкинг еще не вошел прочно в повседневную жизнь большинства людей, хотя процент пользователей выше, чем в России. Для отечественных страховщиков в ближайшие два года этот вид страхования будет оставаться убыточной экзотикой". Николай Галушин придерживается другой точки зрения: "На Западе около 40% финансовых операций осуществляется посредством интернет-банкинга, и в нашей стране он тоже будет активно развиваться".
И все же, по мнению начальника отдела страхования финансовых институтов "Ингосстраха" Михаила Васильева, действия внешних "вредителей" скорее могут ударить по репутации кредитной организации, чем по ее прибыли. Основной же риск для интернет-банкинга представляют действия недобросовестных сотрудников, а хакеры и вирусы пока вряд ли могут нанести катастрофический ущерб финансовому здоровью банка.
ДМИТРИЙ КОШКИН