Директор департамента информационных технологий банка "Петрокоммерц" АЛЕКСАНДР КАПУСТИН ответил на вопросы корреспондента Ъ ВАРВАРЫ ВАСИЛЬЕВОЙ.
— Какие наиболее распространенные виды мошенничества используются в интернет-банкинге?
— Взлом банковской системы и попытки переводов денежных средств клиентов на подставные счета. Хотя если рассматривать не только интернет-банкинг, а интернет-среду в целом, то основную массу мошенничеств составляют махинации с поддельными картами.
— Какие риски несут банки при работе в интернете?
— Помимо финансовых потерь это огромные риски, связанные с возможной потерей банком репутации надежного. Дело в том, что кроме финансовых мошенников, есть еще огромный пласт "яйцеголовых" хакеров, для которых чем сложнее защита, тем престижнее ее взломать. Зачастую они не ставят себе целью украсть деньги, но их атаки все равно грозят банку огромными имиджевыми потерями и, как правило, оттоком клиентов.
— Как можно бороться с этими рисками?
— Механизм общеизвестен — страхование. Но в России, увы, мало кто занимается страхованием информационных рисков. Поэтому банки либо сильно осторожничают, входя в этот бизнес, либо тратят громадные средства на комплексы организационно-технических мер по информационной защите. Кроме того, можно в значительной степени ограничить риски, придав "адресность" платежам или переводам в интернет-среде: например, платежи на конкретные, оговоренные с клиентом, счета.
— Какие риски несут клиенты при операциях через интернет и в чем им могут помочь банки?
— Правило тут простое — не передавайте ключи или средства шифрования третьим лицам. Этот пункт специально оговаривается в банковском договоре с клиентом, так что всю ответственность несет он. Вместе с банком клиенты несут риски, которые определяются системой безопасности предлагаемого банковского продукта. Чем больше средств банк тратит на свою систему информационной защиты, чем она изощреннее, тем меньше клиентские риски.
— С какими проблемами вам приходится сталкиваться в области защиты информации?
— Проблем много: недостатки в реализации закона об электронной цифровой подписи, нехватка специалистов по информационной безопасности на рынке труда. Есть и концептуальные проблемы, вокруг которых до сих пор ломают копья, с одной стороны, те, кто проталкивает технические решения, а с другой — те, кому предстоит ими пользоваться. В двух словах это можно выразить следующим образом: языки программирования для интернет-среды позволяют легко и быстро реализовывать программные продукты, но столь же легко ими могут воспользоваться в своих целях и мошенники.
— Как, на ваш взгляд, можно решать эти проблемы?
— Я, конечно, не претендую на роль гуру в этой области, сразу дать ответы на все вопросы не могу. Но можно попытаться сформулировать основные тезисы. С позиций банка — это формирование квалифицированной службы информационной безопасности. Она должна проанализировать услуги, которые банк планирует предоставлять своим клиентам, и внедрять нужно в первую очередь те из них, которые оказываются наименее рискованными для банка, например адресные операции. По моему мнению, самые большие риски финансовые службы несут из-за отсутствия хорошо выстроенных процедур по операциям персонала интернет-процессингов и аналитиков клиентской базы. Добавлю, что я полностью согласен с президентом фирмы "АйТи" Тагиром Яппаровым, который говорит, что, пока в России не появится весь спектр общепринятых банковских услуг, рассчитывать на широкое внедрение интернет-технологий в банкинге не приходится. Но перечень банковских услуг у нас быстро растет, так что формировать базу интернет-клиентов необходимо уже сейчас.