На российском рынке дистанционного банкинга для юридических лиц компании могут выбирать из трех видов решений: офлайновый дистанционный банкинг, интернет-банкинг и банкинг на мобильной платформе. Какой из них удобней и безопасней – в материале СФ.
По толщине клиентов
Первое решение – это
традиционные системы «банк-клиент», которые впервые стали
применяться в России в начале 1990-х годов. Отличительной
особенностью систем этого типа является необходимость установки на
компьютер компании программного обеспечения – так называемого
«толстого клиента». Программное обеспечение выполняет функции
перемещения информации, ее защиты, а также интерфейса для
бухгалтерских систем клиента. Чаще всего для передачи данных в банк
и обратно компании не пользуются интернетом, а проводят соединение
с помощью «ключей» электронно-цифровой подписи через модемный пул
банка. Вся информация, которой клиент обменивается с банком,
приходит и уходит в зашифрованном виде. При этом используются
средства защиты информации, установленные на рабочем месте
клиента.
Онлайновые системы – с так называемым «тонким клиентом» – не требуют установки специального программного обеспечения. Клиент получает доступ к информации, которая хранится на центральном сервере банка, через интернет-браузер с помощью «ключей» электронно-цифровой подписи. Все, что нужно сделать клиенту для управления счетом, это зайти на специальную ссылку на сайте банка и воспользоваться «ключами» для входа в систему. Именно это различие определяет степень мобильности при работе с банком: первый вариант привязывает руководителя предприятия к компьютеру, на котором установлено клиентское программное обеспечение, в то время как второй вариант позволяет получить доступ к своему счету даже из интернет-кафе.
Третий вид решения – системы на мобильной платформе. Это разновидность онлайнового банкинга, позволяющая владельцам компании управлять счетом с карманных персональных компьютеров (КПК) и коммуникаторов. На этом предложения производителей систем дистанционного банкинга для юридических лиц исчерпываются: пользоваться тем спектром предложений, который доступнен физическим лицам, компании не могут технически. Полноценное управление счетом через call-центр, через sms-сервис банка или через WAP для юридического лица невозможно. «В отличие от физических лиц компании делают платежи по так называемым свободным реквизитам, то есть они могут переводить средства куда угодно на огромное количество разных счетов. Число реквизитов при этом слишком большое, чтобы можно было вводить их с клавиатуры мобильного телефона»,– говорит зампред правления СДМ-банка Владимир Луценко.
Call-центр, SMS- и WAP-банкинг компании могут использовать только в качестве информационных сервисов. Так, сейчас некоторые банки начинают внедрять у себя систему оповещения клиентов о поступлении средств на их счета. «Владелец компании или, по его решению, другой человек в компании будут получать sms-сообщения на свой мобильный телефон,– рассказывает Владимир Луценко.– Клиент сможет сам решать, какие фильтры для сообщений выставить: скажем, он может получать сообщения только о кредитных операциях, или только о дебетовых, или сообщения о переводе на счет сумм свыше миллиона рублей. У активно работающей компании очень много платежей, контролировать которые не имеет смысла».
По словам банкиров, компании, которые только сейчас начинают устанавливать у себя системы дистанционного банкинга, в 90% случаев выбирают системы с «тонким клиентом». Главная причина – простота установки и удобство использования. Однако, по словам производителей, офлайновые системы дистанционного банкинга тоже имеют право на существование и востребованы рынком. «Есть две причины, по которым компании продолжают пользоваться „толстым клиентом”,– говорит директор компании „Бифит” (один из крупнейших в России производителей систем дистанционного банкинга) Дмитрий Репан.– Во-первых, когда компания по техническим причинам не имеет доступа в интернет. Во-вторых, некоторые бизнесмены все еще не воспринимают интернет как среду для финансовых транзакций».
«Часто использование системы „толстый клиент” оправданно,– добавляет Владимир Луценко.– Дело в том, что бухгалтерия крупной компании, у которой недостаточно сильный ИТ-департамент, нередко сознательно не имеет доступа в интернет, чтобы максимально снизить риск занести в систему какой-нибудь вирус».
Удобство использования систем «тонкий клиент», обусловливающее их популярность среди юридических лиц, связано с отсутствием необходимости технической поддержки системы: нет программного обеспечения – нет и поломок в системе. «Банки стремятся использовать интернет-технологии, сокращая свои издержки на техническую поддержку программного обеспечения, которое они устанавливают у клиентов»,– считает Дмитрий Репан.
Онлайновые системы также позволяют крупным холдингам (скажем, «Роснефти», которая обслуживается в БИН-банке) вести мониторинг и финансовый контроль дочерних структур в рамках холдинга. При использовании онлайн-системы работать в ней могут одновременно несколько человек, находящихся на большом расстоянии друг от друга. «Если головная компания, например компания „Балтика”, которая имеет помимо главного офиса несколько заводов и дочерних предприятий, хочет контролировать все транзакции, то интернет-технологии очень упрощают ей работу,– говорит Дмитрий Репан.– В этом смысле интернет-система с использованием технологий „тонкого клиента” может обеспечить поддержку банком крупных корпоративных клиентов с территориально удаленными подразделениями».
По мнению вице-президента Гута-банка Андрея Ванина, с точки зрения возможности пропажи информационной базы в случае форс-мажора онлайновые системы надежнее офлайновых. «Если у клиента установлена система „толстый банк-клиент”, то вся база данных хранится у него в компьютере. Если же он пользуется системой „тонкий банк-клиент”, то база данных хранится на сервере банка. Это во много раз надежнее: в банке существует соответствующая процедура дублирования информации,– считает Андрей Ванин.– Таким образом, гарантий, что в случае форс-мажора или заражения вирусом клиентского компьютера (даже при отсутствии доступа в интернет компьютер может быть заражен, например, через обычную флэш-карту) информационная база сохранится, при использовании „тонкого-клиента” гораздо больше».
Защита отношенийПо мнению Андрея Ванина, от вирусов наиболее защищены коммуникаторы и карманные КПК – хотя бы потому, что пока существует совсем немного вирусов, которые могут поразить эти средства связи. Специалисты в один голос утверждают, что с точки зрения проникновения в систему извне офлайновые и онлайновые системы практически одинаково безопасны. «Хакеру взломать систему очень сложно,– считает Владимир Луценко.– Если брать соотношение стоимости этой операции и выгоды, которую получает от нее злоумышленник, то это нерентабельная задача. Дело в том, что в случае применения систем „тонкий банк-клиент” банки могут устанавливать лимиты активности по суммам, исходя из требований безопасности. Это обеспечивает защищенность клиента от внешнего проникновения в систему, потому что, как правило, лимиты не покрывают затрат хакера на взлом системы. Но, на мой взгляд, все равно система „толстый банк-клиент” безопаснее, чем система, работающая в интернете. Она надежнее с точки зрения устойчивости к атакам злоумышленников извне».
По свидетельствам опрошенных СФ банков, серьезных случаев хакерских взломов систем дистанцинного банкинга в России пока не было. Все злоупотребления и мошенничества, которые происходят в компаниях, связаны с банальной кражей или копированием кодов доступа у клиента. В том числе и сотрудниками компании. «С точки зрения проникновения извне у всех систем дистанционного банкинга, которые существуют на рынке, риски примерно одинаковые,– говорит Андрей Ванин.– Поэтому определяющим фактором является скорее то, как работает комплекс организационно-технических мероприятий, обеспечивающих безопасность систем, установленных в банке».
Мошенники – всегда свои
По словам банкиров, какая бы
система ни стояла – с «толстым» или «тонким клиентом», компания
должна серьезно относиться к вопросам информационной безопасности и
следить, чтобы коды доступа в систему хранились вне досягаемости
сотрудников. «Когда мы начинаем работать с клиентской компанией, то
даем ее владельцу комплект информационных материалов, где на первом
месте – „Памятка о безопасности”,– рассказывает Владимир Луценко.–
В последнее время у клиентов нашего банка случаи мошеннического
использования „ключей” не происходили, но несколько лет назад в
одной компании, которая являлась клиентом нашего банка, сотрудники
украли коды доступа к системе „толстый банк-клиент” и совершили
мошеннический платеж. Впрочем, преступление было раскрыто и все
закончилось хорошо». Опрошенные СФ банки подтверждают, что
атаки на системы дистанционного банкинга, похищение и копирование
«ключей» почти всегда производятся работниками компании-клиента
из-за несерьезного отношения топ-менеджмента к этой информации.
«Ключи» электронно-цифровой подписи для доступа к системам могут храниться как на бумажных, так и на электронных носителях, например на дискете. Согласно регламентам банков, в целях безопасности «ключи» создаются на срок от полугода до 14 месяцев, а затем меняются на новые. Банкиры советуют в случае появления каких-нибудь сомнений в «ключах» незамедлительно их заблокировать, генерировать новую пару «ключей» и зарегистрировать ее в банке, услугами дистанционного банкинга которого пользуется эта компания.
Как выбирать
Основными лидерами-разработчиками
систем дистанционного банкинга для юридических лиц в России
являются две компании: «Бифит» и «Банк’c софт системс» (БСС). По
данным директора департамента маркетинга компании БСС Дмитрия
Барсукова, системы «банк-клиент» сегодня используют почти 100%
банков. При этом около 60% из них применяют онлайновые системы. И
разработчики, и банкиры сходятся во мнении, что оба типа систем –
«банк-клиент» и «интернет-клиент» – наиболее оптимальны по
бизнес-функциональности и практически одинаковы по уровню
информационной безопасности. Кроме того, системы «толстый
банк-клиент» по уровню удобства пользования постепенно приближаются
к системам «тонкий банк-клиент». Поэтому при выборе системы
дистанционного банкинга, не важно – офлайновая она или онлайновая,
и кредитным организациям, и их клиентам нужно обращать внимание на
одни и те же параметры: кто является ее производителем, с помощью
каких средств криптографии было написано программное обеспечение
системы, а также на удобство использования системы на практике.
«Когда мы думали, какую систему установить в банке и у клиентов, в
первую очередь мы решили работать с лидерами в этой отрасли,–
рассказывает Владимир Луценко.– Затем мы выбрали такую систему,
чтобы программное обеспечение для нее было написано с
использованием сертифицированных в ФАПСИ (теперь этим занимается
ФСБ) средств криптографии. Ну, и третье – это гибкость системы и то
удобство в использовании, которое она представляет для нас и наших
клиентов».