Подводные камни безопасности ДБО. Опыт реализованных проектов
Часть 2

Денис Калемберг

менеджер по работе с корпоративными заказчиками компании Aladdin

Олег Плотников

руководитель отдела маркетинга компании Aladdin

Опровержение первое, или Как сделать информационную безопасность прибыльной

Любой эксперт в области информационной безопасности скажет вам, что безопасность – это всегда затраты. Эту аксиому с первых дней усваивают начинающие специалисты, в этом убеждены опытные специалисты с многолетним стажем. Опираясь на уже полученный опыт, руководители отделов ИБ планируют инвестиции и готовятся "выбивать" бюджеты у заинтересованных бизнес-подразделений и руководства банков, ведь обычно это весьма нетривиальная задача. Тем не менее проекты по повышению безопасности систем ДБО, выполненные в 2009 и 2010 г., показывают неожиданные результаты:   информационную безопасность в системах дистанционного банкинга можно сделать прибыльной! Все дело в том, что клиенты банков в кризисные годы стали более внимательны к финансовым рискам и готовы платить за свою безопасность в ДБО. Наверняка сыграло свою роль и большое количество информации о хищениях у клиентов в прессе и на специализированных форумах.

Таким образом, клиенты стали относиться к услугам безопасности, которые им предлагает оказать банк, не как к "продаже слонов", а как к его конкурентному преимуществу, за которое имеет смысл заплатить некоторое количество денег. Следовательно, банк имеет возможность зарабатывать на услугах по обеспечению безопасности в своей системе ДБО. Для этого ведущие кредитные организации уже предложили клиентам действительно необходимые и качественные услуги, а затраты на приобретение средств обеспечения безопасности пользователей в системах ДБО включили в стоимость обслуживания. Перечислим наиболее удачные варианты такого включения:

• Взимание ежемесячной платы за обслуживание и поддержку подсистемы безопасности в конкретной системе дистанционного обслуживания. В этом случае комиссия взимается с одного счета клиента независимо от количества счетов в рублях или иностранной валюте, открытых в банке. В одном из банков такая комиссия составила около 2000 руб. и была вполне по карману корпоративным клиентам ДБО, имеющим несколько счетов.

•  Однократная оплата услуги предоставления пользователям ключей электронной цифровой подписи (ЭЦП) на защищенных носителях. Такой вариант подразумевает не банальную продажу средства защиты, а полноценный сервис безопасности, стоимость которого включает в себя как затраты на устройство, так и маржу банка. В настоящее время корпоративные и частные клиенты банков могут приобрести такую услугу по цене от 1000 до 1700 руб.

• Включение стоимости технических средств обеспечения безопасности в стоимость подключения к системе ДБО. Этот вариант разработан в большей степени для корпоративных клиентов, для которых затраты на подключение в 2500 или 3000 руб. вполне приемлемы. Как правило, в пакет включаются два защищенных ключевых носителя – для руководителя компании-клиента и для главного бухгалтера.

• Взимание с клиента платы за повторную выдачу ему защищенного носителя ключа ЭЦП или за разблокировку устройства после набора неправильного PIN-кода. Статистика свидетельствует, что корпоративные клиенты и частные пользователи ДБО периодически забывают PIN-коды от своих устройств защиты, а иногда теряют или ломают их. Если это происходит, то банк осуществляет разблокировку или повторную выдачу устройства и взимает за это плату – от 1500 до 2500 руб.

Рассмотренные варианты, конечно же, не являются универсальными. Каждый банк разрабатывает схему распространения средств защиты с учетом "портрета" своего клиента. Пользователями системы ДБО могут быть частные лица, представители среднего и малого бизнеса, индивидуальные предприниматели, крупные компании. Для клиентов VIP-уровня банки могут предоставить необходимое оборудование бесплатно, а основную массу пользователей – заинтересовать удобными и нужными услугами. Неизменным остается только одно – при внимательном подходе к своим клиентам банки сделали информационную безопасность ДБО прибыльной.

Опровержение второе, или Безопасность, удобная для пользователей

Еще одним постулатом информационной безопасности является то, что защита не бывает удобной. Ведь в большинстве случаев она подразумевает "закручивание гаек": уменьшение функциональных возможностей, лимитирование максимальной суммы перевода, несколько комплектов дистрибутивов со средствами безопасности, установить которые сможет только грамотный IТ-специалист, и т.д.

В итоге чем больше рубежей защиты мы возводим, тем больше ограничений возникает у пользователей системы и тем менее удобной становится их работа. До недавнего времени ни у  кого  не  возникало  мысли усомниться в этом положении. Тем не менее ведущие кредитные организации России успешно опровергли этот тезис. Более того, комплексные решения, предлагаемые клиентам банков для обеспечения безопасности финансовых операций, существенно упростили работу пользователей.

Современное решение по защите электронного банкинга является вполне привлекательным продуктом. И дело даже не в том, что оно всесторонне продумано, красиво оформлено и его приятно передать в руки пользователям. Дело в том, что предложение банка учитывает потребности рядовых клиентов, не искушенных в вопросах информационной безопасности, но при этом позволяет обеспечить серьезный уровень защиты и удобства пользователей. Такие продукты, как правило, представляют собой DVD-боксы, содержащие мастер установки дистрибутива системы ДБО, антивирусных программ и систем криптографической защиты информации, ключевые носители, полный комплект необходимой документации – словом, все, что нужно для удобной и безопасной работы. Клиент, приобретая такое решение, получает возможность нажатием одной клавиши установить на свою рабочую станцию все необходимые программы и драйверы в нужной последовательности и без ошибок.

Реклама в ДБО – двигатель торговли?

Изучив подробнее интерфейс решения по защите пользователей ДБО, вы наверняка обратили внимание на полноценный блок маркетинговой информации (листовки, брошюры, специальные предложения и т.д.). И действительно, упаковка продуктов безопасности (например, DVD-боксы), предлагаемых ведущими кредитными организациями, как правило, выступает хорошей рекламной площадкой для продвижения других банковских услуг. И в этом смысле руководители отделов ИБ, реализующие проекты повышения безопасности ДБО, непременно сотрудничают с бизнес- и маркетинговым подразделениями банка и оказывают им существенную помощь.

Что банковские маркетологи доносят до своих клиентов? Информацию о новых финансовых продуктах и услугах, об изменениях в тарифной политике, акциях и о специальных предложениях, новых возможностях клиентов банка – словом, информации всегда очень и очень много. Специалисты по маркетингу ищут все новые и новые каналы доведения этой информации до клиентов: рекламные площади в городах, пресса, радио и телевидение, "личный кабинет" пользователя на Web-сайте, рекламные материалы в самом банке. В случае с упаковкой системы защиты клиента ДБО рекламная площадка интересна еще и потому, что клиент, получающий в руки этот продукт, уже продемонстрировал свою лояльность к банку – он уже купил услугу безопасности. Этот клиент внутренне готов сделать дальнейшие приобретения и расширить свое взаимодействие с банком. Таким образом, использование маркетинговых возможностей проектов повышения безопасности ДБО выгодно бизнес-подразделениям банков, поэтому они готовы выступить союзниками подразделений ИБ, поддержать их.

Учиться, учиться и еще раз учиться!

Одним из ключевых моментов проекта повышения безопасности системы ДБО является обучение менеджеров банка, непосредственно общающихся с клиентами, и сотрудников, продающих продукты и услуги банка. Почему это обучение имеет столь важное значение? Дело в том, что не все клиенты, выбравшие удаленное обслуживание своего счета, осознают все нюансы работы через Интернет и осведомлены о необходимых мерах безопасности. Менеджер банка должен подобрать правильные слова и донести эту информацию до конкретного клиента, не испугать его, а убедить, что для безопасности электронных платежей сделано все необходимое. В конечном счете клиент должен приобрести услугу безопасности.

Опыт нескольких банков показал, что недоработка в этом вопросе может поставить под угрозу реализацию всего проекта. Если клиент при подключении к системе ДБО не поймет, за что с него пытаются взять деньги, то он в лучшем случае не станет приобретать предлагаемую услугу, а в худшем – просто уйдет в другой банк. Очень помогают доносить информацию до клиентов и маркетинговые материалы, подготовленные совместно специалистами по информационной безопасности и бизнес-подразделениями. Улучшению продаж также способствуют специальные акции, например предоставление клиенту антивирусных средств по ценам ниже рыночных, возможность застраховать свои риски, возникающие при работе в системе ДБО, и т.д.

Выводы

Комплексное рассмотрение всех этапов и уроков проектов повышения безопасности систем ДБО, реализованных в 2009 и 2010 г., позволяет сделать очень важные выводы. Во-первых, такие проекты ни в коем случае нельзя рассматривать как простую "закупку" токенов и раздачу их клиентам. Это действительно сложный процесс, при правильном подходе позволяющий банку снизить свои финансовые риски, оптимизировать инфраструктуру, повысить лояльность клиентов и даже заработать вполне приличные деньги.

Во-вторых, в ходе рассмотренных нами проектов кредитная организация получает возможность взглянуть на свою инфраструктуру ДБО по-новому, использовать опыт поставщиков средств безопасности и разработчиков систем дистанционного банкинга. Многим банкам это позволило в целом усовершенствовать свои услуги, предоставляемые в электронном виде:

• оптимизировать схему подключения к системе ДБО (уменьшилось количество визитов клиента, необходимых для подключения, снизилась нагрузка на персонал банка);
• расширить возможности для масштабирования системы ДБО;
• снизить юридические риски, связанные с корректностью договоров на подключение клиентов к системе ДБО, а также с выполнением требований регулирующих органов в части распространения СКЗИ.