Почему многие банки и платежные системы слабо переживают за безопасность своих клиентов?

Я уже длительный период в аутсорсинге. Однажды, в одном финансовом проекте перед моей командой стоял вопрос усиления защиты аккаунтов пользователей путем внедрения двухфакторной аутентификации. Вариант такой системы был выбран нашим заказчиком, называть ее не буду из этических соображений. Как я понял через время, выбор оказался не очень удачным: служба поддержки реально плохо ориентировалась во всем многообразии своих продуктов, инструкции по развертыванию системы превышали тысячу страниц, софт их работал только под определенную операционную систему, мне даже пришлось побывать на их курсах. Мы, конечно, внедрили эту систему, но средств и времени было потрачено уйма.

Через некоторое время я столкнулся с сервисом, который полностью отличается от того, с которым я познакомился раньше: удобный интерфейс, получение аккаунта в системе за минуту, цены ясны без дополнительных запросов, поддержка всевозможных OATH токенов, можно использовать как платформу, так и сервис, и многое другое. Суппорт заслуживает отдельной благодарности. Еще важный момент для клиентов — решение сертифицировано и стоимость реально доступная. После внедрения его в один из наших аутсорсинговых проектов я решил стать их партнером. Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Кстати, поэтому я и пишу эту статью.

Теперь мы подобрались к сути статьи. В первую очередь, свой взор я обратил на финансовые системы и банковский сектор, так как они обладают двумя компонентами, которые присущи моим потенциальным клиентам: наличие данных, несанкционированный доступ к которым недопустим и большое число клиентов. После многочисленных коммуникаций с представителями банковского и фин. сектора я немного разочаровался. Опишу по пунктам, какие преграды я встретил на пути продвижения любых ИТ-решений в банковскую сферу:

1. Многие считают, что сейчас не время для внедрения дополнительной защиты, так как многие из банков подвержены стагнации или под угрозой полной ликвидации. Они считают, что лучше купить средства физической защиты, такие как броне-двери, защитный туман, экипировку для инкассаторов и другой инвентарь. Я отчасти согласен с такими суждениями, но кибер-преступления никто не отменял.
2. Если речь идет об иностранном банке, то их местные представители мало что решают, т.к. все решения приходят от головных офисов.
3. Руководители ИТ-подразделений не всегда заинтересованы в дополнительном бремени внедрения новых продуктов в свою инфраструктуру.
4. У руководителей банков нет достаточной компетенции и времени, чтобы уделить должное внимание данному вопросу.
5. Большинство банков используют уже готовые решения (клиент-банки и другое) от провайдеров банковского ПО. А они (провайдеры) просто так не пошевелятся и поддерживать будут третье-сторонние решения только, если увидят свою прямую заинтересованность. Внедрение подобной поддержки в решение от провайдеров дорогостоящие и за все это платит банк. Зачастую следующий банк платит снова за это «внедрение». Почему это дорого не ясно, т.к. стандартное внедрение, описанного выше решения, не представляет собой сложностей и может быть произведено в короткие сроки.

А самое главное, что касается конкретно защиты аккаунтов пользователей и о чем публично не распространяются, это то, что банкиры считают, что кража средств с аккаунта клиента это, скорее, проблема клиента, чем самого банка: «надо было следить за своими сотрудниками, а бухгалтерам не лазить по кулинарным сайтам, на которых были заражены их компьютеры ».

В этой статье я хотел поднять вопрос не только проблемы переноса ответственности на плечи клиентов банка, но способа борьбы с подобной ситуацией. Так что, если у кого-то есть идеи, как преодолеть застой в сознании наших банкиров, то буду рад услышать Ваше мнение.

Автор: Sordi

Источник ^[1]