Так как же банку защищать себя от хактивистов и киберпреступников?
Настоящим вызовом для банковской системы является необходимость, с одной стороны, защитить свои брандмауэры от атак хактивистов, кибершпионажа и киберкриминала, а с другой – предоставить простой доступ к интернет‑банкингу своим клиентам. Это настоящая дилемма.
С одной стороны, всем нужен мобильный доступ к своим счетам и платежам, а с другой – никто не желает болезненных потерь из‑за недостаточной защиты этих счетов. Очевидно, что информационная безопасность банка имеет две узловые точки:
• защита банковской информации от атак;
• удобный доступ к банковской информации для клиентов, когда им это необходимо.
Что касается первого пункта, то хактивизм не является здесь проблемой. Массированная DDoS‑атака со стороны анонимного сообщества может вызывать беспокойство, но вывод из строя сайта не означает вывода из строя системы в целом. MasterCard и Visa продемонстрировали это во время недавних атак Anonymous. Взлом сайта – это скорее неудобство, чем проблема.
Тем не менее намеренный взлом – это реальная угроза, и банки далеко не всегда могут отреагировать на нее должным образом. В 2011 году хакеры получили доступ к клиентским данным Citibank, что привело к потере как минимум 2,7 млн долларов у 3400 клиентов. Это не слишком большая проблема, и с ней можно справиться, но она говорит о том, что уязвимость существует.
Инсайдерская угроза значительно серьезнее; сотрудники в состоянии заработать миллионы, продавая доступ к банковской информации. Подобный случай произошел в 2011 году в The Bank of America, который потерял 10 млн долларов по вине своего сотрудника, передававшего данные аккаунтов группе, специализировавшейся на воровстве персональных данных. Масштаб инцидента не слишком внушительный, но, когда появляется трещина в защите, она очень быстро грозит перерасти в расщелину, каньон или пропасть.
|
|
|
Случай в Sumitomo Bank прекрасно иллюстрирует это. Банк потерял почти 350 млн долларов из‑за мошенничества с применением клавиатурного шпиона[93]. Вы, наверное, думаете, что банк принял надлежащие меры после столь серьезного предупреждения? Нет. В мае 2012 года тот же самый банк был оштрафован Управлением по финансовому регулированию и надзору Великобритании[94] на 3,5 млн фунтов стерлингов за серьезные просчеты в управлении своей IT‑инфраструктурой.
Тем не менее банки осуществляют хранение, передачу и анализ данных. По крайней мере должны это делать. Это означает, что способы, которыми они защищают свои данные от внешних посягательств, должны включать: брандмауэры, безопасную регистрацию, двойную идентификацию с возможностью определения местоположения, отслеживание бизнес‑событий в реальном времени и многое другое. Я имею в виду, что банкам нужно двигаться в направлении отслеживания и анализа своих информационных потоков в реальном времени, что позволит им своевременно получать сигналы о проблемах в системах безопасности. В конце концов большинство банков понимают, что им не избежать прорывов систем защиты. Они знают, что это случится. Вопрос в том, как реагировать и насколько быстро. Это ключевой момент.
|
|
|
Комплексный мониторинг событий в потоке бизнес‑данных и оповещение в режиме реального времени о проблемах – важная точка приложения усилий. Способность банка держать руку на пульсе своего глобального потока транзакций является ключевым механизмом противодействия внутренним и внешним угрозам. И если онлайн‑мониторинг бизнес‑процессов помогает решить первую проблему – внешнего или внутреннего взлома системы безопасности, – то как быть со вторым вопросом? С обеспечением простого доступа для клиентов? Ответ кажется простым, но многие по‑прежнему не справляются с этим.
Я был поражен, прочитав, что четверть всех мобильных банковских приложений от ведущих мировых банков: Wells Fargo, PayPal, CHASE и других – не отвечают основным нормам безопасности[95]. Независимо от того, достоверна ли эта информация, очевидно, что сегодня мобильная безопасность имеет изъяны, хотя, казалось бы, мобильный банкинг должен быть более безопасным, чем интернет‑банкинг. Ведь мобильный телефон сам по себе с его уникальным номером, способностью получения одноразовых паролей через SMS и даже возможностью геолокации клиента является удобным идентификационным ключом. Клиенты всегда будут держать свой мобильный телефон при себе (или знать, где он находится), в отличие от кошелька или кредитной карты, и достаточно быстро смогут обнаружить, что он потерян или украден.
|
|
|
На самом деле, чем больше я думаю о мобильном телефоне как средстве аутентификации, тем более он кажется привлекательным. Во‑первых, можно определить местоположение клиента посредством геолокации. Существуют различные способы сделать это, используя сотовые вышки; таким образом, появляется независимый механизм проверки наличия у клиента при себе телефона. Подобного рода инструменты уже применяются для определения того, что у банкомата находится именно клиент.
Во‑вторых, можно удостовериться, что это клиент, отправив ему одноразовый пароль через SMS. Этот интерактивный процесс обмена одноразовыми паролями, используемый многими банками, позволяет организовать дополнительный, второй уровень идентификации.
|
|
|
В‑третьих, удостовериться, что перед вами именно тот, кто вы думаете, можно с помощью мобильной биометрии; это быстро развивающаяся область аутентификации. Некоторое время назад Bank Intesa в Испании начал использовать мобильное приложение, распознающее радужную оболочку глаза. Ник Огден, основатель WorldPay, создал Voice Commerce – систему распознавания голоса для мобильного телефона. Apple встроила в iPhone 5S и 5С идентификацию по отпечаткам пальцев. А мой самый любимый способ идентификации – Nymi от Bionym – браслет от часов, использующий для проверки ваш сердечный ритм.
Последний способ нравится мне больше всего потому, что мобильность стремительно распространяется на носимые вещи, одежду, украшения, и скоро мы будем иметь мобильные чипы, встроенные в ювелирные изделия, часы, дамские сумочки, обувь и прочие модные аксессуары. Да, здесь мы возвращаемся к интернету вещей, но идем дальше – к знанию обо всем.
Интеллектуальное распознавание и определение местоположения клиентов, а также их проверка и идентификация с помощью интернета вещей станут нормой. Вы будете знать, кто где что делает в реальном времени, и у вас будет возможность удостовериться, что перед вами именно тот, о ком вы думаете, не прилагая никаких усилий, без паролей и PIN‑кодов, просто используя сеть.
Мы все ближе подходим к подобному сценарию, поэтому не будем волноваться о мошенничестве и рисках, связанных с мобильностью, а лучше подумаем о том, как свести риск использования мобильных устройств к минимуму. В контексте обеспечения безопасности вы можете использовать номер мобильного телефона, геолокационную близость мобильного аппарата, SMS и приложения, а также традиционные карту и PIN‑код для того, чтобы удостовериться, что человек, который пытается получить доступ к счету, является именно тем, кто имеет право им пользоваться.
Главная идея обеспечения банковской безопасности состоит в том, что банки никогда не будут опережать криминал. Это задача криминала – непрерывно испытывать и пытаться нарушить систему безопасности банка. А банк должен идти вслед за теми, кто стремится проделать брешь в защите. Это достигается с помощью регулярных обновлений политики информационной безопасности, систем и инфраструктур безопасности, а также лучших актуальных рекомендаций и практик обеспечения сохранности клиентских данных.
И в заключение. Банки должны уверенно поставить себя в центре информационной безопасности и предложить клиентам безопасное хранилище данных. Гарантии и обеспечение безопасности мобильных транзакций и данных – реальный шанс. К сожалению, большинство банкиров отвечают на это: «Не делает ли это нас целями для хакерских атак?» Да, именно так. Банки должны одерживать победу на своей территории и делать уверенные заявления типа: «Мы гарантируем, что ваши деньги и данные будут у нас в полной безопасности». В конце концов если не банки, то кто?
И на это банки нередко реагируют негативно. Они считают, что это не входит в их задачи, а безопасное управление данными следует оставить Google, Facebook и PayPal, которые в этом понимают.
Получается, мы просто отдаем свой хлеб кому‑то другому. Это позиция очень недальновидного банкира – отдать безопасное управление данными на сторону, а самим сконцентрироваться на управлении деньгами.
Что банки могут сделать для этого и каковы решения проблемы безопасности? Безопасность. Уверенность. Доверие. Вот три вещи, которые банки должны обеспечить и гарантировать.
Превращаемся в цифровой банк
На регулярных встречах я беседую с банкирами о том, удаются ли им те изменения, которых ожидают клиенты благодаря широкому распространению смартфонов и планшетов; о том, каковы последствия применения мобильных приложений в банкинге и как может в будущем выглядеть банк, построенный на приложениях, как он будет работать и что это будет означать для клиента.
Уже понятно, что существуют принципиальные проблемы, связанные с применением приложений в банковском деле. Например:
• Некоторые банки были вынуждены полностью заменить свои системы интернет‑банкинга в течение пяти лет эксплуатации.
• Некоторые банки разработали приложения для Apple iPhone, но в течение 18 месяцев их клиенты переключились на Samsung Galaxy.
• Многие банки подавлены быстротой, с какой появляются подобные изменения, а также тем, что в силу этого очень трудно понять, на что делать ставки в будущем.
Куда инвестировать?
Одна из самых больших проблем, с которой сталкиваются банки, – как обеспечить в предусмотренные сроки возврат инвестиций в технологии, особенно когда ситуация меняется достаточно быстро. Например, многие банки теперь проводят различие между смартфонами и планшетами, но со временем планшеты уменьшаются, а смартфоны увеличиваются. Иными словами, смартфоны превратятся в планшеты, и наоборот. Сразу же после этого появятся каналы с неограниченным трафиком и память неограниченного объема, доступные в режиме 24/7 на устройстве, которое всегда находится или в руке клиента, или у него в сумке.
Проблема, следовательно, состоит в том, как вы видите будущее бизнеса и во что инвестируете. Многое сводится к долгосрочным перспективам, но большинство банков не имеют долгосрочных перспектив. Банки живут сегодняшним днем, и краткосрочные инвестиции получают преимущество.
Подобная ситуация также является следствием слабой конкуренции между банками и легкостью копирования опыта. Обратите внимание на «большую пятерку» британских банков: HSBC, Barclays, Lloyds, RBS и Santander. Когда один из них предпринимает нечто необычное, остальные, если это имеет смысл, делают то же самое. Если один банк поднимает волну, остальные копируют ее в течение нескольких месяцев. Поэтому мобильные приложения вроде Pingit от Barclays выделяются на общем фоне; Barclays запустил систему пиринговых мобильных платежей за два года до того, как большинство остальных банков начало рассматривать подобную возможность.
На другом конце спектра находится то, что банкам стоило бы скопировать, например, PayPal или Square, но многие из тех, кто руководит банками, просто не знают о них. Вот здесь и появляется нестыковка.
Если спросить, приведут ли те изменения, которые мы сегодня наблюдаем, к перестройке банковской системы, то большинство банков ответят утвердительно. И поэтому глубокое понимание социальных технологий и инвестирование в них имеют решающее значение.
На протяжении всей своей истории банки высокомерно полагали, что, единожды получив клиента, можно держать его всю жизнь. Банки считали, что только нечто из ряда вон выходящее могло испортить взаимоотношения с клиентом и вынудить его расстаться с банком. И банки годами внедряли новые каналы обслуживания в точном соответствии с подобным типом мышления.
Однако все более широкое использование мобильных планшетов в повседневной жизни привело к сокращению цикла технологических изменений. Поскольку большинство людей владеют хотя бы одним подобным устройством, почти у каждого под рукой оказывается альтернативный способ получения банковских услуг. Таким образом, клиенты в итоге изменят способы функционирования банков в будущем. Клиенты уже могут пользоваться альтернативными платежными механизмами. Они загружают приложения, которые делают, что им нужно и как им нужно. Банкам пора понять: то, что было священным в течение долгого времени, ушло навсегда – и начинать инвестировать в соответствии с новыми реалиями.
Дата добавления: 2018-10-26; просмотров: 189; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!