Finversia-TV
×

Безопасность в приоритете A A= A+

Владимир ТЕТЕРИН

Михаил ДОРОНКИН

«Эксперт РА»

expra

Рост проникновения интернет-банкинга в 2012 году привел к существенному увеличению доли онлайн-транзакций физлиц, однако только новыми функциями привлечь клиента становится все сложнее. В борьбе за пользователя банки начинают уделять больше внимания защищенности систем дистанционного банковского обслуживания, к этому же банкиров подталкивает и Банк России.

Маркетинговые усилия банков и большая доступность Интернета для населения обеспечили устойчивый рост доли активных пользователей интернет-банкинга среди клиентов. По оценкам экспертов, в 2012 году она выросла на 2–2,5 п.п. и составила 9%. Это не удивительно, ведь и для кредитных организаций, и для их клиентов дистанционные услуги использовать весьма выгодно: банкам это позволяет уменьшить нагрузку на операционистов, в то время как пользователи получают возможность оперативно совершать основные банковские операции, составлять свой личный платежный календарь, а зачастую и платить пониженные комиссии по транзакциям. В то же время активность пользователей обуславливает общая тенденция к увеличению объемов их накоплений в кредитных организациях, а также активизация банками потребительского кредитования. Эти явления поспособствовали увеличению спроса населения на услуги дистанционного доступа к счетам.

В 2012 году 30% банковских транзакций физлиц совершалось через Интернет (плюс 4 п.п. по сравнению с 2011 годом). При этом доля удаленных платежей в денежном выражении увеличилась до 12%, хотя на протяжении 2009–2011 годов величина этого показателя составляла 8–9%. Замедление роста числа интернет-платежей, с одной стороны, обусловлено постепенным исчерпанием эффекта низкой базы, с другой — значительной конкуренцией со стороны платежных терминалов. По оценкам «Эксперта РА», более 35% всех платежей физических лиц осуществляются именно с их использованием.

Средние и продвинутые

Как и прогнозировал «Эксперт РА», рост функциональности в прошлом году в большей мере обеспечили системы интернет-банкинга второго эшелона, нежели продвинутые дистанционные сервисы, в которых основной функционал и обширная база получателей платежей уже были реализованы годом ранее. К началу 2013 года существенно выросла доля банков, предоставляющих возможность оплатить посредством интернет-банкинга штрафы ГИБДД (плюс 14 п.п.), покупку железнодорожных (плюс 17 п.п.) и авиабилетов (плюс 10 п.п.), совершить платеж в погашение кредита, взятого в другом банке (плюс 9 п.п.). Для банков же с более совершенными системами ДБО следующим шагом стало внедрение упрощенного формата проведения платежей (например, SMS-банкинга или облегченного решения внутри интернет-банкинга) и демонстрационного режима доступа к интернет-банку. В частности, такие услуги предоставляют система HandyBank, Альфа-Банк, и УБРиР.

По сравнению с прошлым годом Топ-5 рейтинга функциональности почти не изменился: по-прежнему с заметным отрывом лидирует мультибанковская система HandyBank. Следом идут «Банк24.ру» и Альфа-Банк. Четвертое место в этот раз заняла Финансовая группа «Лайф», значительно нарастившая функциональные возможности своего интернет-банкинга. Замыкает пятерку лидеров, как и в 2012 году, система Faktura.ru.

Невысокие результаты показали некоторые розничные банки. Причиной тому стало отсутствие отдельных сервисных функций, которые в большинстве систем конкурентов уже реализованы. Например, ХКФ Банк и «ВТБ24» не предоставляют возможности выпустить виртуальную карту и совершать денежные переводы в офлайн, а система Райффайзенбанка к тому же не позволяет совершать автоплатежи и платить штрафы ГИБДД. Всего в 20% систем реализована функция демонстрационного доступа к системе ДБО.

В 2012 — начале 2013 года передовые банки в поисках новых конкурентных преимуществ на рынке интернет-банкинга один за другим обновляли интерфейсы своих систем. Переработке подверглись системы Сбербанка России, Альфа-Банка, ТКС Банка и других крупных игроков рынка дистанционных услуг. Прежде всего, они стремились сделать интерфейсы своих онлайн-систем более дружественными. Так, ТКС Банк реализовал в своей системе ДБО виджеты (блоки данных), которые пользователь может настроить под себя, а Альфа-Банк добавил в интерфейс панель избранных платежей.

Любопытно, что призеры и аутсайдеры рейтинга распределились по местам значительно более плотно, чем годом ранее: разрыв между первым и последним местом в рейтинге уменьшился с 77 до 54 баллов, а стандартное отклонение по выборке опрошенных банков — с 12,6 до 10,1 балла. Отчасти это связано с тем, что ряд банков, занявших невысокие позиции в прошлогоднем рейтинге, отказался от участия в исследовании. Другая часть бывших аутсайдеров переработала свои системы и показала более высокие результаты (среди таких банков, например, ТКС Банк, разместившийся на 6-й строчке рейтинга). Жесткой остается конкуренция и в рамках Топ-10 рейтинга, где некоторых участников разделяет буквально наличие или отсутствие в системе двух-трех опций.

Мобильная защищенность

По мере того как функциональная составляющая систем интернет-банкинга насыщается, растет роль таких критериев, как их безопасность и удобство. Как показало исследование, проведенное Национальным агентством финансовых исследований (НАФИ) в июле 2012 года, среди этих факторов для пользователей первична безопасность: в соответствии с данными опроса, около четверти российских интернет-пользователей не уверены в надежности банковских онлайн-систем. Это неудивительно, ведь большая часть публикаций на тему интернет-банкинга в средствах массовой информации связана с фактами взлома систем ДБО. И хотя команды разработчиков уже сделали многое, чтобы защитить пользователя от несанкционированного вторжения (повсеместно применяются и SSL-соединение, и виртуальная клавиатура, и двухфакторная аутентификация), новые сообщения о фактах интернет-мошенничества продолжают появляться снова и снова. Конечно, за несколько лет методы защиты стали более совершенными, но с другой стороны, бюджеты на информационную безопасность в банках остаются достаточно низкими, а число транзакций, проводимых через Интернет, постоянно растет, открывая новые просторы для роста масштабов киберпреступности. На этом фоне массовым стал переход банков на технологию двухфакторной защиты, при использовании которой клиент вводит пару «логин–пароль» и одноразовый SMS-код. По данным, полученным «Экспертом РА» в результате исследования, к началу 2013 года уже порядка 80% систем интернет-банкинга для физических лиц применяло именно описанную двухфакторную систему аутентификации (годом ранее таких систем было 59%).

Дополнительно усилить уровень безопасности интернет-банкинга помогло бы проведение удаленного аудита компьютера клиента и повышение информированности пользователя о мерах предосторожности при совершении онлайновых платежей. Не прошел аудит — уплати повышенную комиссию по операциям или символическую абонентскую плату. Однако этот метод остается экзотикой для российских банков. Низким остается и число банков, страхующих риски, связанные со злоумышленными действиями третьих лиц. Такие риски страхуют только шесть из 65 рассмотренных банков и систем, семь респондентов страхуют риски потерь, вызванных действием или бездействием своих сотрудников.

В то же время некоторые российские банки уже используют продвинутые методы обеспечения безопасности. Например, системы Банка24.ру и банка «Санкт-Петербург» предлагают пользователю установить индивидуальное приветствие, которое является защитой от фишинга. В отдельных системах реализован механизм контроля смены SIM-карты, на которую приходят временные пароли для совершения транзакций.

Безопасность по требованию

Подтолкнуть банки к повышению защищенности онлайн-платежей с большой вероятностью поможет растущий интерес к мониторингу их безопасности со стороны Банка России. Одним из нововведений регулятора в 2012 году стало утверждение формы отчетности 0403203, в которой банки, начиная с лета прошлого года, отчитываются о всех нарушениях, связанных с переводом денежных средств по различным каналам (в том числе посредством мобильного и интернет-банкинга). Была и попытка ЦБ обязать банки документировать сведения об IP- и МАС-адресах устройств, с которых осуществляется доступ пользователей к интернет-банкингу. Однако публикация проекта соответствующего указания повлекла за собой множество критических отзывов, и идея была признана нежизнеспособной.

Улучшение безопасности возможно путем реализации многофакторной аутентификации взамен авторизации по двум факторам. Ключевой ее особенностью является дополнительное использование биометрических характеристик для идентификации пользователя. Подтолкнуть разработчиков к подобному совершенствованию систем безопасности способно, например, введение обязательного страхования рисков ущерба клиенту. Сейчас такая практика применяется крайне редко, а ведь подстегиваемые высокими тарифами страховых компаний, банки начали бы переход на улучшенные подходы куда более охотно.

Вряд ли помогут укрепить доверие пользователей отдельные положения закона о национальной платежной системе, вступление которых в силу пока отложено на 2015 год. В соответствии с ними банки должны будут осуществить выплату денег клиенту, если тот не давал своего согласия на конкретную операцию. Это обстоятельство, скорее всего, откроет новые горизонты для мошенничества: даже сейчас значительная доля мошеннических транзакций совершается по схеме, когда владелец счета входит в сговор с третьим лицом и заявляет о несанкционированной операции.

Методология рейтинга функциональности интернет-банкинга

В этом рейтинге мы оценили возможности (функции) и уровень безопасности, которые предоставляет интернет-банкинг пользователям. Источником информации для рейтинга послужили анкеты банков и аутсорсинговых компаний. Аутсорсинговые (клубные) системы оценивались по пакету услуг, предоставляющих наибольший функционал. Оценивалось три группы параметров: внешний платежный функционал, внутренние операции и сервисные функции, информационная и финансовая безопасность.Удобство интерфейса, надежность банка и число зарегистрированных пользователей не оказывали влияние на место банка в рейтинге.Ответы по количественным вопросам нормировались и сглаживались для согласования их влияния с качественными вопросами (предусматривающими ответы «да» или «нет»).

При формировании рейтинга в апреле 2013 года учитывались некоторые функции, которые при составлении прошлого рейтинга не оценивались агентством. В их числе, например, наличие демонстрационного режима работы и функции SMS-банкинга. Корректировки в методике незначительны, поэтому методики являются сопоставимыми.

Была проведена выборочная проверка присланных банками анкет. По ее результатам ряд баллов был скорректирован. Банкам, предоставившим данные, не подтвердившиеся в ходе проверки, были начислены штрафные баллы.

Finversia-TV

Горячая цифра