Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка

[KamardinRosfinsovet 2]

Недавно стало известно о случае, когда Верховный суд выступил на стороне клиентки в споре с банком в отношении кредита, оформленного дистанционно по коду из SMS вследствие действий мошенников. По мнению заместителя председателя комиссии по цифровым финансовым технологиям Торгово-промышленной палаты РФ Тимура Аитова это знаковый прецедент для всей банковской отрасли.

Клиентка одного из банков сообщила третьим лицам по телефону два кода из SMS, на основе которых финансовая организация заключила договор страхования и одобрила кредит на сумму больше 200 тысяч рублей почти под 19% годовых. Клиентка не признала договор действительным , настаивая на том, что сделку заключила не она, а коды подтвердила мошенникам «машинально». Пройдя несколько судебных инстанций, выступивших на стороне кредитной организации, она дошла до Верховного суда, который посчитал уместным отправить это дело на повторное рассмотрение.

«Можно предположить, что после обсуждаемого прецедента, банки начнут опасаться будущих спорных случаев и последующих решений судов в пользу клиентов априори, если в отношении спорной транзакции нет подтверждения средствами УКЭП или собственноручной подписью клиента», — высказывает свое мнение Тимур Аитов.

По его словам, для снижения рисков банкам придётся перестраивать системы ДБО, а это уже существенно удорожит обслуживание, и не просто удорожит, а сделает его просто невозможным  для широкой прослойки технически неграмотных граждан, для которых полноценная ЭП практически недоступна. Особенно, если станет обязательным ещё и формально правильное требование самостоятельной генерации ключей, объясняет эксперт.

Однако с другой стороны, нет сомнений, что репутация и надёжность банка стоит дороже, считает он.

«На самом деле противодействие атаке социальных инженеров не является вопросом исключительно службы информационной безопасности. Системы ИБ  как правило в банке работают надёжно, а клиент, передавая коды злоумышленникам, нарушает условия пользования платёжным инструментом, однако, обычно клиент не подозревает что его действия приведут к перечисление средств», — отмечает Тимур Аитов.

Хотя, конечно, есть и те, кто перечисляет средства добровольно, добавляет он.

Отвечая на вопрос, что же нужно делать банку со своей стороны, чтобы предотвратить хищения, эксперт предполагает, что здесь необходимо говорить о совершенствовании системы информационной безопасности банка. 

«Все эти СМС и "нажимания" на клавиши для отправки подтверждения на совершение той или иной операции должны быть в большей мере аутентифицированы, — считает он. — Должно быть надёжно установлено (включая возможно не только ЭП, но и средства биометрии), что указание давал именно клиент и что клиент знал и хотел перевести деньги со своего счёта на другой.  Подобные системы уже имеются, но банками чаще в целях экономии используют обычные СМС-сообщения».

Появится и ещё одна задача при рассмотрении будущих споров в суде, предупреждает Тимур Аитов. Кроме аутентификации нужно будет еще и обеспечить доказательность целостности и авторства сообщения. Иначе клиент может согласиться с авторством, но заявить, что сообщение было изменено банком, говорит он.

«Следует ожидать, что подобные проблемы появятся не только у банков в ДБО, но и в иных видах цифрового бизнеса», — резюмирует эксперт.