Пресса о страховании, страховых компаниях и страховом рынке

Аналитический банковский журнал, 23 апреля 2014 г.

Как защититься от рисков при работе с ДБО

2122 просмотра

Несмотря на огромные усилия и средства, которые тратятся на совершенствование технической защиты от компьютерных преступлений, на повышение компьютерной грамотности ответственных сотрудников, этого недостаточно, чтобы покрыть все возможные риски финансовых потерь. В этой ситуации на первый план выходит страхование кибер-рисков юридических лиц при работе с ДБО (дистанционным банковским обслуживанием), которое, в комплексе с мерами по развитию и оптимизации иных видов защиты, практически полностью перекрывает соответствующие убытки клиентов — пользователей систем ДБО.

С каждым днем, иногда незаметно для нас самих, мы все глубже погружаемся в цифровой мир: все больше времени проводим, уткнувшись в мобильный, планшет или компьютер, все больше услуг становятся электронными, а документооборот уже просто немыслим без автоматизации. За последние 5 лет наблюдается устойчивая тенденция роста доли платежей, совершенных при помощи Интернета. Рост составил 31%, и к 2013 году величина показателя достигла 69% в общей структуре платежей («РБК.Исследования рынков»). Объем российского рынка электронных платежей в 2012 г. составил 1,46 млрд руб. «К 2015 г. объем рынка электронных платежей в России вырастет вдвое», -прогнозируют аналитики платежного сервиса uBank. Это означает, что начиная с 2013 г. и до 2015 г. включительно среднегодовой прирост составит около 30%. То, что еще вчера требовало долгих часов работы, сегодня делается легко, быстро и радостно. Но радоваться все-таки рано — кибер-пространство уязвимо, буквально кишит всевозможными хакерами и хулиганами, и будет оставаться таким еще долго.

По данным независимого агентства B2B International, 72% российских интернет-пользователей из числа тех, что подверглись кибер-атакам и потеряли в итоге реальные деньги, так и не смогли вернуть свои финансовые сбережения назад в полном объеме. Для сравнения, мировая доля таких же пользователей, ставших жертвами финансовых кибер-мошенников, составляет 42%. Около 8% российских пользователей сообщили, что потеряли деньги, попавшись на удочку кибер-преступников. И в России этот показатель в два раза выше общемирового, как отметили в компании. Исследование показывает, что на фоне взрывного роста кибер-угроз, от которых компании защищаются простыми антивирусами, российский бизнес начинает все чаще использовать комплексные инструменты защиты. Во многом по этой причине на 7% увеличилось применение средств шифрования данных на съемных носителях (24%). Кроме того, компании стали охотнее разграничивать политики безопасности для съемных устройств. Возросло и разграничение уровня доступа к различным участкам ИТ-инфраструктуры (49%). Примечательно, что компании малого и среднего бизнеса уделяют большее внимание контролю съемных устройств (35%) и контролю приложений (31%).
По данным компании «Symantec», общий ущерб от кибер-преступлений в России за последние 12 месяцев оценивается в $1 млрд., аналогичный общемировой показатель достигает $113 млрд. Средний ущерб от кибер-преступлений из расчета на одну жертву за последний год составлял $87 в России и $298 во всем мире.

Под понятие «страхование кибер-рисков» подпадает их достаточно большое количество: страхование персональных данных, электронной подписи, банковских карт, от DDOS-атак и т.п.

Наиболее актуальны и интересны большинству финансовых структур и их клиентов кибер-риски при использовании ДБО. По данным аналитического обзора Банка России по инцидентам, связанным с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, мы видим, что в 2012 году данные по распределению инцидентов по типам их последствий за анализируемый период времени выглядят так (в порядке убывания):

43% — осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами;
29,7% — нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами;
9,7% — компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
6,8% — реализация воздействий с целью создания условий невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;
6,4% — воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов;
4,1% — Невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более;
0,2% — воздействие вредоносного кода, приводящее к нарушению штатного функционирования средства вычислительной техники, результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств (2).

Наибольший финансовый ущерб связан с компрометацией ключевой информации средств криптографической защиты информации, несмотря на ее малую долю в общей статистике. Скорее всего, это обусловлено «человеческим фактором» — низкой исполнительской дисциплиной, элементарной халатностью при хранении важной информации. По данным исследования компании «Leta», степень осведомленности в области информационной безопасности сотрудников российских компаний оставляет желать лучшего — так, половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды — при поступлении на работу, и лишь 14% респондентов регулярно проходят инструктаж по информационной безопасности (3).

При этом степень риска достаточно велика: два из трех участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера. Исследование показало, что большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных — 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

Возвращаясь к статистике Банка России, можно оценить распределение инцидентов по типам объектов информационной инфраструктуры (в порядке убывания):

38% — средства вычислительной техники, используемые для осуществления переводов денежных средств;
32,2% — программное обеспечение, используемое для осуществления переводов денежных средств;
24,6% — автоматизированные системы, используемые для осуществления переводов денежных средств;
4% — технические средства по защите информации, используемые для осуществления переводов денежных средств;
1,2% — телекоммуникационное оборудование, используемое для осуществления переводов денежных средств

В январе 2014 г. вступили в силу правки в ст. 9 ФЗ-161 «О национальной платежной системе». Они устанавливают требования возмещения потерь от банковских операций, совершенных без согласия клиента — то есть от кибер-мошенничества. Следовательно, банки становятся самыми заинтересованными лицами в вопросах безопасности системы банк-клиент. Особенно при работе с физическими лицами. В зависимости от того, когда и в каком виде будет окончательно принята эта статья, будет ясно, в насколько строгих рамках окажутся банки в плане возврата средств по таким инцидентам. Что касается юридических лиц, то здесь, скорее всего, ситуация не изменится. В соответствии со ст. 9 ФЗ-161, если банк своевременно уведомил своего клиента обо всех транзакциях, включая мошеннические, а клиент в течение суток не сообщил о них банку, то в таком случае банк не обязан возвращать клиенту украденную сумму. Конечно, при условии, что банк со своей стороны выполнил все требования договора о ДБО. В частности, своевременно информировал клиента о движении средств на счете клиента - это делается ежедневно с помощью выписки по счету. Или не нарушал требования по безопасности системы ДБО со своей стороны.

Не секрет, что системы ДБО чаще приобретаются у известных вендоров, нежели пишутся силами собственных программистов компаний. Но, как недавно выяснила компания «Positive Technologies» (4), уязвимости в приложениях ДБО встречаются почти в 4 раза чаще в разработках от профессиональных компаний, чем в системах собственных программистов. Это объясняется тем, что заказчики либо слишком доверяют таким разработчикам и закрывают глаза на качество кода, либо сами производители софта не могут учитывать все тонкости ИТ-системы конкретного банка, либо злоумышленникам проще подстраиваться под известные и стандартные продукты по ДБО.

По мнению специалистов, уязвимы также абсолютно все приложения мобильного банкинга в России. Об этом сообщила в своем исследовании компания Digital Security(5), работающая в сфере аудита информационной безопасности. По результатам их исследований российских приложений мобильного банкинга для iOS и Android, хотя бы одну уязвимость содержат все изученные приложения. Были изучены мобильные банковские приложения для таких банков, как Альфа-Банк, ВТБ, ВТБ-24, Газпромбанк, МДМ Банк, «Московский Индустриальный Банк», «Московский Кредитный Банк», МТС-Банк, НОМОС-Банк, Промсвязьбанк, РСХБ, Русский Стандарт, Сбербанк, Связь-Банк, «Тинькофф Кредитные Системы», «ЮниКредит Банк» и др. Угрозы безопасности мобильных банков увеличивают финансовые риски клиентов и банков в виде хищения денежных средств, а также наносят ущерб репутации самих банков.

В ситуации, когда суммарное количество транзакций в интернете растет с каждым днем, когда системы ДБО все чаще подвергаются взлому, возникает вопрос — какие средства именно страховой, а не технической защиты наиболее актуальны? Одним из потенциальных решений является полис BBB (от англ. Bankers Blanket Bond, или комплексное банковское покрытие), где, несмотря на множество других покрываемых рисков, ключевым является риск мошеннических действий персонала. Но этот полис либо требует очень серьезного аудита ИТ-системы банка, либо покрытие рисков для него становится слишком дорогим. В итоге, по данным экспертов, не более 10% всех банков России пользуются таким видом страхования.

В таком случае наиболее перспективным становится страхование от финансовых потерь самих клиентов — пользователей систем ДБО, как юридических, так и физических лиц. Подобные продукты существуют или разрабатываются в небольшом количестве страховых компаний. Самым интересным из них является тот, при котором клиент при страховом случае получает от страховой компании украденные при работе с ДБО безналичные средства (в пределах установленного лимита). А именно, объектом страхования являются имущественные интересы страхователя, связанные с риском возникновения непредвиденных расходов/убытков в результате неправомерного доступа к компьютерной информации страхователя и несанкционированного использования третьими лицами компьютерной системы страхователя с целью проведения несанкционированных банковских операций списания денежных средств по банковскому счету страхователя с использованием системы ДБО Банка. Конечно, клиент обязан выполнить и соблюдать в дальнейшем ряд условий и требований, которые снижают риск возникновения страхового случая. Обычно эти условия указаны в договоре с банком по ДБО. Например, обязательная установка и регулярное обновление лицензионной антивирусной программы, запрет использования рабочих станций ДБО в каких-либо других целях, кроме целей ДБО, запрет на удаленное администрирование компьютером, на котором установлена система ДБО, обеспечение блокирования любых сетевых пакетов, передаваемых с рабочих станций ДБО на серверы в сети Интернет, не относящиеся к системе ДБО, поддерживаемой банком, а также к службам обновления установленного программного обеспечения и антивирусного программного обеспечения и т.д. Часть этих требований являются обязательными, а часть - рекомендательными (подробнее - в самом договоре страхования).

Кроме того, при возникновении случая, имеющего признаки страхового, к клиенту оперативно выезжает сюрвейер, который проводит экспертизу, по результатам которой страховая компания выносит заключение — страховой это случай или нет. Если эта экспертиза покажет, что клиент не соблюдал заранее оговоренные условия договора страхования, в первую очередь - в части безопасности, страховщик не будет возмещать украденные финансовые средства. Если же претензий в плане соблюдения условий договора страхования и соответствия реалиям заявления на страхование к клиенту нет, страховщик возмещает клиенту его соответствующие потери. Кроме того, возможен вариант, когда экспертиза прямо указывает на виновное лицо, которое произвело кражу денег. К нему можно применить регресс.

Договоры по этому страховому продукту уже реально заключает страховая компания «ИСК Евро-Полис», и, в частности, совместно с Локо-банком. Сюрвейером при страховом случае выступает «Доктор Веб» - лидер российского рынка интернет-сервисов безопасности для поставщиков ИТ-услуг.

Существует коробочная версия продукта, с фиксированными страховыми суммами 100 000 руб., 1 млн руб. и 5 млн руб. Базовые тарифы, соответственно, 2,5%, 2,5% и 2%. При использовании клиентом АНТИФРОД-ТЕРМИНАЛА от компании «Аладдин Р.Д.» условия страхования следующие: базовый страховой тариф -от 0,5%. страховая сумма - любая. Конечно, риски физического лица, пользующегося системой клиент-банк, ощутимо выше, так как он мобилен, выходит в Интернет на любые сайты, включая соцсети и потенциально опасные ресурсы, и не привязан к стационарному компьютеру. Но и страховые суммы для физических лиц должны быть заметно ниже. Наверное, мало кто из нас заплатит за такой полис более одной тысячи рублей. Скорее всего, банки будут предлагать такой продукт совместно с обслуживанием пластиковых карт, и стоить в таком случае он будет не более 300 руб. в год. В любом случае, стоимость такого полиса как для юрлиц, так и для физлиц вполне привлекательна. Как и для банка, который выступает как агент при такого рода сделках и получает комиссионное вознаграждение. В выигрыше и страховая компания, потому что, несмотря на постоянный рост электронного мошенничества, статистика отношения количества таких инцидентов к общему числу пользователей систем ДБО в стране позволяет считать такой вид страхования малоубыточным. По данным экспертов, средняя сумма украденных средств для юридических лиц не более 500 тыс. руб., а сегмент, на который обычно ориентируются кибер-мошенники, это средний и малый бизнес. То есть те компании, которые не тратят большие суммы на ИТ-безопасность. Считаю, что продукт по страхованию рисков ДБО имеет большое будущее, будет востребован и страховыми компаниями, и банками, которые выступают как агенты, и самими клиентами, особенно с большими остатками на расчетных счетах.

Литература:

1. http://www.cnews.ru/news/top/index.shtml72013/09/25/544215
2. http://www.cbr.ru/today/payment_system/analytics/analysis_12.pdf
3. http://safe.cnews.ru/news/line/index.shtml72013/10/22/546800
4. http://www.ptsecurity.ru/download/Analitika_DBO.pdf
5. http://banks.cnews.ru/top/2013/03/07/vse_prilozheniya_mobilnogo_bankinga_v_rossii_uyazvimy_521778

Алексей ДАЙХОВСКИЙ, вице-президент ООО «ИСК Евро-Полис»

В материале упоминаются: Компании, организации: Евро-Полис 127 [Абсолют Страхование 2089] Персоны: Дайховский Алексей Борисович

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »