ДБО как сотрудничество банка и клиента

Тема опасностей, связанных с ДБО, сейчас одна из самых "громких" и популярных. И благодаря этому происходят изменения и начинаются процессы, способные эту ситуацию изменить. И если раньше виноватыми во всем объявлялись клиенты, то теперь - банки.

Это закономерная тенденция. Удивительно другое: почему люди, которые отдают банкам деньги, чтобы их не потерять, просто не воздерживаются от действий, в результате которых потери регулярны и огромны - от использования ДБО?

Причин несколько.

Во-первых, опасность отнюдь не является обязательным свойством ДБО, она ему не имманентна. Более того, на протяжении десятилетий мы уже привыкли к тому, что «Клиент-банк» безопасен - потому что защищен. И это правда: защищенный клиент-банк на компьютере, на котором создана и поддерживается доверенная среда, безопасен.

Во-вторых, естественно, что если где-то чего-то прибавится, то где-то - убавится. Это известно с XVIII века. И если мы хотим, чтобы прибавилось удобства, то должно убавиться чего-то еще. Например, безопасности. Возможно, тут дело в "авось", возможно - в недостаточной информированности о возможных последствиях.

В-третьих, даже для владельца заводов, газет, пароходов - естественно считать, что клиент-банк на его заводе должен быть установлен на защищенном компьютере, а своим собственным счетом, который, скорее всего, больше, чем счет завода - он будет управлять из холла гостиницы или с мобильного телефона.

Возможно, источник этого заблуждения в том, что обеспечение информационной безопасности в корпоративной среде регулируется нормативными методическими документами и поэтому является отчасти вынужденной, а не осознанной необходимостью. А на том, чтобы люди какими-то способами защищали свои собственные интересы - никто не настаивает (кроме разве что производителей средств защиты).

Во всяком случае, банки не относят контроль за безопасносттью информационной среды своих клиентов к сфере своей ответственности. И это объяснимо - контролировать ее у них нет ни оснований, ни средств.

Контролируемость - обязательное условие безопасности. Значит, необходимо смириться, что на стороне клиента безопасности не будет?

Банк не навязывает и не дает советов использовать, например, ноутбук, а не телефон, поскольку считает, что это равно опасно, а клиент все равно будет сам виноват в своих потерях.

О том, как и почему действуют банки в этом смысле, на волне внимания к вопросам ДБО уже много написано[1]. На все есть свои причины и обоснования, но суть их - банк не влияет на то, в каких условиях клиент управляет своим счетом, предлагая ему в лучшем случае бесполезные для защиты ДБО токены, и клиент всегда сам отвечает за все, что в ходе ДБО с его счетом произойдет.

Теперь ситуация становится пугающе зеркальной: всегда виноват уже банк, а на то, в каких условиях клиент управляет своим счетом, он по-прежнему не влияет.

Очевидно, что в сложившейся ситуации банку необходим механизм:

• управления безопасностью на стороне клиента;
• выделения групп клиентов, в отношении которых ответственность банка закономерно и обосновано может быть разной.

Тогда банк будет отвечать за то, на что может повлиять, а в случаях, когда клиент сознательно хочет взять риски на себя - делить с ним отвественность.

Сейчас уже известно, что безопасное ДБО возможно не только на стационарных и защищенных на сумму около 30 тыс. рублей ПЭВМ, используемых исключительно для работы в «клиент-банке»[2].

Применение МАРШ!а со встроенным модемом[3] освобождает пользователя от привязки к конкретному компьютеру с его сетевыми настройками и сопровождающим их администратором (подключай МАРШ! к любому), от необходимости разбираться в особенностях сетевых настроек сотен типов (сетевое подключение обеспечивает сам МАРШ!), от ограничений на использование возможностей, небезопасных для взаимодействия с банком, но привлекательных для пользователя (закончил доверенный сеанс связи, отключил МАРШ! - и используй все, что хочешь), от угроз успешной реализации атак на ДБО всех известных типов (это многократно обосновано концепцией доверенного сеанса связи, а решение - сертифицировано).

Это все - для клиента.

А банк применение МАРШ!а освобождает от необходимости отвечать за то, что невозможно контролировать.

Среда выполнения операций с применением МАРШ!а - уже не любая, а именно та, которую определяет банк, выдавший этот МАРШ! клиенту: она доверенная, проверенная и безопасная. Поручение, данное банку с использованием МАРШ!а и корректно принятое и обработанное Сервером доверенного сеанса связи - это точно поручение клиента, а не мошенника. Брать на себя ответственность за эту операцию - можно.

Банк может требовать выполнения условий безопасности, если

• они выполнимы и действительно повышают безопасность,
• именно банк отвечает за конечный результат.

А если на фоне такой предлагаемой возможности клиент предпочтет все же использовать токен или мобильный телефон - тогда он... Сам виноват. И должен сам взять на себя свои риски.

Это позволит сместит акцент от поиска всегда виноватого к сотрудничеству банка и клиента, при котором ни на ком не лежит неоправданная ответсвенность - ни по незнанию, ни по принуждению.

Введение такого «ОСАГО» - это решение банка, а мы - знаем, как это сделать.

---

[1] Конявский В. А. «Всегда прав» или «Cам виноват»? // Защита информации. Инсайд. 2011. № 5. С. 70-77; Конявский В. А. Хотят ли банки ДБО? // Национальный банковский журнал. 2012. № 2 (февраль). С. 86-87; Конявский В. А. Развитие рынка информационной безопасности. Взгляд из России // Комплексная защита информации. Безопасность информационных технологий. 2012. С. 142-148; Конявский В. А. Банки, люди и их деньги // Комплексная защита информации. Безопасность информационных технологий. 2012. С. 140-141; и др.

[2] Конявская С. В. Надо ли бороться с «человеческим фактором»? // Национальный банковский журнал. М., 2011. № 5 (84). С. 120-121; Конявский В. А. Организация безопасного ДБО на основе СОДС «МАРШ!» // Национальный банковский журнал. 2011. № 9.; Конявский В. А. ДБО - как сделать это безопасным // Information Security/Информационная безопасность. 2012. № 2 (май). С. 32-33.

[3] Конявский В. А. ДБО - как сделать это безопасным. Часть II // Information Security/Информационная безопасность. 2012. № 3 (июнь). С. 8-9; «Риски ДБО можно и нужно контролировать». Интервью В. А. Конявского НБЖ. 2012. № 8 (август). С. 115-116; Конявский В. А. Про ДБО // Национальный банковский журнал. № 12 (103). С. 86-87.

Автор: Конявская С. В.

Дата публикации: 01.01.2013

Библиографическая ссылка: Конявская С. В. ДБО как сотрудничество банка и клиента // Национальный банковский журнал. М., 2013. № 2 (105). С. 85.

---