Рейтинг рублевых вкладов

Рейтинг рублевых вкладов
Эксклюзивное исследование Банки.ру — ноябрь, 2016

Дискуссия о рейтинговании банков. Кому нужен дырявый банк?

09.08.2012 13:52 32 2 889 просмотров
Пусть интернет-банк вбирает в себя все мыслимые достоинства, но если он не может устоять против взлома алчного хакера, то этот интернет-банк рынку не нужен.

Тема защиты банковских систем удалённого доступа весьма деликатная. И я не собираюсь погружаться в тонкости этого инструментария. В конце концов здесь не кружок юного хакера. И заранее предупреждаю, что ни я, ни наши сотрудники не будут отвечать на вопросы пытливой молодёжи о том, как организована защита в нашем или каком-либо ином банке. Банковские специалисты не должны усиливать хакерскую эрудицию в деле их проникновения к чужим счетам.

Полагаю, что при рейтинговании для более глубокой оценки защищённости интернет-банка от взлома следует приглашать ведущих экспертов (на эту тему разговор будет идти в следующих моих публикациях).

Здесь же я хочу перечислить лишь базовые требования, без выполнения которых, на мой взгляд, любой банк им не отвечающий выводится за скобки рассмотрения. Как потенциально дырявый.

Итак, обязательный джентльменский набор: многоразовый пароль, электронно-цифровая подпись, СМС-информирование о входе в интернет-банк, токен, хотя бы один вид одноразовых паролей. Без этого набора защитного инструментария вход на рынок надёжных интернет-банков любому банку заказан. Уточню - не что-то одно из этого списка, а всё без исключения. При наличии всего этого инструментария можно уже конструировать весьма мощную защиту. Насколько она будет непробиваемой у конкретного банка - пусть судят специалисты во время рейтингования.

Один из крупнейших российских экспертов по борьбе с IT-мошенничеством Илья Сачков в одном из своих последних интервью оценил состояние дел с воровством денег из российских банков как ужасное и катастрофичное. И причин тому много. Архаичность систем IT-защиты в ряде российских банков, сверх либеральная система уголовного преследования мошенников, недостаточная квалификация полицейских кадров в изобличении таких преступлений.

В сложившихся реалиях банки должны прикладывать максимальные усилия по наращиванию защитных систем. Как говорится, в этом деле кашу маслом не испортишь.

Поэтому крайне желательно присовокупить плюсом, скажем, такую технологию как ограниченный ключ. Или настройку лимитов по всем видам клиентов (физические и юридические лица), по всем временным периодам и по всем клиентским счетам. Естественно с возможностью по окончанию сеанса блокировать все операции путём установления нулевых лимитов.

Кстати, технология ограниченного ключа, генерируемого и отзываемого в онлайне, позволяет с "грязного" компьютера (начинённого всевозможными вредоносными программами) проводить платежи без риска потерять деньги со счета. После завершения транзакции ограниченный ключ сразу же отзывается и его возможная компрометация не приводит к потере денег. Конечно, использование ограниченного ключа для целей защиты денежных средств клиента этим примером не исчерпывается. Но эта тема столь обширна, что в коротком эссе я не могу умножать анализ достоинств этой технологии.

Также некоторые банки уже всерьез начали занимаются разработкой и внедрением систем для предотвращения мошенничеств (фрод-мониторинг). Банк должен уметь анализировать в онлайне насколько поведение его клиента является типовым. При любых отклонениях надо выяснить (через звонок, затребовать дополнительное подтверждение и пр.), действительно ли операция выполняется самим клиентом.

Таким образом, здесь я сформулировал главный критерий рейтинга банковских систем удалённого доступа. В следующих публикациях продолжу перечень требований к интернет-банкам.

Комментарии 32

Иван Миронов  (VanesStalkers)
#
как то все очень далеко от практики... замечательно, конечно, что сотрудники IT подразделений Инбанка знают что такое ЭЦП и токен, по крайней мере это внушает надежду, что им не придется рассказывать на пальцах, что произошло после очередного взлома...
другое дело - зачем придумывать велосипед? существует огромное количество компаний и сервисов, которые используют системы защиты как в личных целях, так и в промышленных масштабах... хоть одна из используемых систем обладает нужным уровнем защиты? если да, то берите ее, платите те деньги, которые просят, и забудьте об этой проблеме как о страшном сне - зачем обсуждать из чего она состоит и как работает, если она работает? если же нет, то не надо тешить себя надеждой, что вы сможете ее создать...

зы кстати, а зачем мне "СМС-информирование о входе в интернет-банк"? к ней будет прилагаться функция блокировки интернет-банка по одной смс, или мне придется девочкам из колл-центра долго и упорно рассказывать что такое интернет-банк?
Александр Ильиных  (detlst)
#
Цитата
как то все очень далеко от практики..

Ну почему же далеко? Я обслуживаюсь в Инбанке более 2,5 лет как ФЛ, так и ЮЛ (ООО).
Выстроил для себя следующую конфигурацию защиты:
- ЭЦП на флешке (позже выпустил огр. ключ на РУ-токене)
- Многоразовый пароль при запуске интернетбанка (ИБ)
- Использую постоянно ограниченный ключ со всеми правами (если вдруг чего- могу его, в нем находясь, заблокировать)
- Наконец, назначил одноразовый пароль- кодик на вход в ИБ. Он прилетает на телефон. Бывает, оператор сотовый тормозит, так у меня карта есть с кодиками, выбираю вариант "пароль с карты" (можно назначить и кодик на отправку платежа, но я этот вариант не использую).
- СМС о входе - я привык к ней. Если ее нет, значит, никто на ИБ не посягает. Если пришла - колл-центр вполне оперативно отреагирует.
- Лимиты на любые операции- как с картой, так и для любого счета в любой версии ИБ- установил минимум. Начал работу- увеличил. Закончил- уменьшил.
Вот и сплю спокойно. И премного благодарен Инбанку, что он предоставил мне такую многоуровневую защиту.
Вот узнал, что в Инбанке еще и фрод- мониторинг реализовали, совсем отлично.
Иван Миронов  (VanesStalkers)
#
а Вы уверены, что все это нужно, для того, чтобы Вы были в безопасности?
я не про психологический фактор "за семью замками, задвижкой и еще маленькой цепочкой, на всякий случай", а именно про подтвержденный факт, что нельзя обойтись, например, одной лишь цепочкой...
Александр Ильиных  (detlst)
#
Цитата
а Вы уверены, что все это нужно, для того, чтобы Вы были в безопасности?

Уверен ли я? Хороший вопрос, Иван. Но ведь все познается в сравнении. Банки, в которых я обслуживался или продолжаю обслуживаться, не предоставляют мне такого комплекса безопасности, как Инбанк.
А ведь все познается в сравнении?... cравнение- и есть рейтингование, не так ли?
Иван Миронов  (VanesStalkers)
#
и что, в других банках Ваши интернет-банкинги регулярно взламывают?
Александр Ильиных  (detlst)
#
Тьфу-тьфу-тьфу (стучу по дереву)- бог миловал. Но о фактах взлома
других банков наслышан и начитан (на некоторых специализированных форумах).
Иван Миронов  (VanesStalkers)
#
так и зачем весь этот "комплекс безопасности"? для галочки, получается?

зы я вот "наслышан и начитан", что систему безопасности Пентагона тоже взламывали... будь я последователен в своей логике, то вообще отказался бы от интернет-банкинга, так как ни один банк не сможет позволить себе такую систему защиты, как главное силовое ведомство США...
Александр Ильиных  (detlst)
#
Это говорит лишь о том, что система безопасности, которую позволило себе
Цитата
главное силовое ведомство США..

не являлась самой надежной.
Я же, следуя своей логике, от интернетбанкинга отказываться не хочу, поэтому предпочитаю наиболее полный "комплекс безопасности"
Иван Миронов  (VanesStalkers)
#
умиляет...
ладно, напишу повторно то, что было написано в предыдущем сообщении между строк - ни у кого, никогда, вне зависимости от "полноты комплекса безопасности" не будет гарантированной защиты от взлома... просто потому что это физически не возможно, если вас захотят взломать - вас взломают...
другое дело, что есть набор защитных мер, которые обеспечивают защиту в определенной доле случаев (70%, 80%, 90%, 95% и т.д.), при это каждая из мер если и дополняет другую, то не суммируется, а лишь повышает предел защищенности другой на несколько пунктов...
так вот... если есть одна мера защиты, обеспечивающая 95-97% защищенности, то зачем ее дополнять другими мерами, уровень защиты которых 50-70% и которые предел защищенности системы в целом не то что не повысят, а скорее понизят (особенно если речь идет не о последовательной обработки запроса всеми элементами системы, а сервисом, который позволяет выбрать одну из - любой хакер, само собой, выберет наименее защищенную, без нужды возиться с самой сложной)...
Александр Ильиных  (detlst)
#
Цитата
есть набор защитных мер, которые обеспечивают защиту в определенной доле случаев (70%, 80%, 90%, 95% и т.д.), при это каждая из мер если и дополняет другую, то не суммируется, а лишь повышает предел защищенности другой на несколько пунктов...

Не могу не согласиться с Вами, Иван.
Игорь Пехтерев  (Pine)
#
Мне не нужен дырявый банк. Критерий для рейтинга несомненно обязательный.
CheckRating.ru  (CheckRating.ru)
#
Анонс следующих частей
Цитата
2. Скорость проведения операция (он-лайн);
a. Скорость исполнения платежного поручения клиента (от момента его подписания
до момента передачи платежа в Расчетную сеть Банка России);
b. Скорость зачисления поступивших средств с корсчета банка на счет клиента с
обеспечением их доступности в интернет-банке);
c. Скорость зачисления на счет и появления в интернет-банке денежных средств,
внесенных клиентом через банкомат;
d. Скорость обработки зарплатной ведомости (от отправки до момента зачисления
на счета сотрудников);
e. Регламент отправки валютных платежей;
f. Режим исполнения операций конвертации;
g. Режим проведения внутрибанковских платежей (включая межфилиальные);
3. Простота и понятность интерфейса (удобство);
a. Наличие режимов для начинающего пользователя;
b. Внешняя привлекательность/дизайн системы;
c. Сервисные функции по снижению трудоемкости операций (шаблоны, группы,
списки последних операций, генерация документов на основе предыдущих,
возможности пакетной обработки поручений, исполнение нескольких шаблонов
одновременно, автоматические платежи и т.д.);
4. Функциональность системы.
Интегральная оценка качества реализации продуктов в системе интернет-банкинга,
включая степень покрытия потребностей клиентов возможностями интернет-банка; их
потребительские свойства, качество реализации, наличие уникальных полезных функций;
5. Клиентоориентированность:
a. длительность операционного дня;
b. простота и понятность тарифов;
c. размер тарифов за операции и за информационные услуги (уведомления);
d. работа тех.поддержки;
e. возможность дистанционного прохождения валютного контроля;
f. полезные информационные сервисы. Например актуальные предупреждения
клиента о:
i. необходимости продления ЭЦП;
ii. необходимости своевременно подтвердить полномочия распорядителей
по счетам;
iii. необходимости обновить информацию об организации;
iv. сроках исполнения требований регулятора по распределению валютной
выручки;
v. о входящей корреспонденции из банка;
Михаил Павличенко  (Mixerr)
#
Уважаемый CheckRating.ru!
Несомненно, Вы получили определенное преимущество, сумев найти предложенную методику. Логично предположить, что можете найти её слабые и сильные стороны, и донести до взволнованной общественности более правильную методику. С нетерпением ждем.

По теме. Самой абсолютной безопасностью будет обладать банк, который при каждом платеже будет проверять наличие актуальной прописки, отсутствие задолженностей по всем каналам, лояльное отношение к военкомату, затем примет платеж, подержит денька два (а вдруг клиент передумает, вот неудобно то будет) и затем, проверив по упомянутой технологии получателя платежа и его контрагентов отправит платеж. В этом случае будет абсолютная безопасность и банк войдет в чемпионы по безопасности.
Поэтому, как мне кажется, вместе с уровнем безопасности должен рассматриваться вопрос об удобстве пользования этими мерами безопасности.
Всего лишь маленькая фраза "Вам необходимо приехать в офис ...." убивает столько планов, сколько не было у Наполеона)))
CheckRating.ru  (CheckRating.ru)
#
Цитата
Вы получили определенное преимущество, сумев найти предложенную методику. Логично предположить, что можете найти её слабые и сильные стороны, и донести до взволнованной общественности более правильную методику. С нетерпением ждем.

http://www.banki.ru/blog/frolovinbank/3021.php#35176
Михаил Павличенко  (Mixerr)
#
Ваша ссылка ведет к предложению Владимира Светлого. Он изложил вкратце свою версию методики и тут же её опроверг. Как ей пользоваться?
CheckRating.ru  (CheckRating.ru)
#
Он не опроверг, а усомнился что такой подход будет куплен или подкуплен.
Опровергнуть, это, а может что то другое, намеревался Владимир Фролов.
Как Владимир Фролов предлагает отбирать экспертов, в методике тоже есть, в моем представлении опасения Светлого там не опровергаются.
Михаил Павличенко  (Mixerr)
#
Если считать, что все и вся могут быть "куплены или подкуплены" - очень пессимистический подход. На самом деле, как мне кажется, самой идеальной методикой было бы изучение внутренней документации банка, рассмотрение количества заявлений на увольнение и числа вакансий, пристальное рассмотрение расходов руководства банка и круга его общения, и многих других "подкожных" вопросов. Но проблема в том, что вряд ли в таком исследовании согласится кто-то участвовать. Поэтому необходимо найти некую грань между объективностью и степенью раскрытия информации кредитной организации.
CheckRating.ru  (CheckRating.ru)
#
Компромиссы это хорошо. Вопрос в том можно ли приняв их объективно оценивать уровень безопасности. Какие бы внешние признаки безопасности не присутствовали в банке, будь то токен, многоразовый пароль,ЭЦП......, важно еще и как это все реализовано внутри банка. У жигулей и мерседеса есть в наличии одни и те же признаки машины, колеса, мотор, тормоза.... Но ведь они очень разные.
Безопасность интернет банка это вопрос комплексный, там и законодательство, и технологии, и внутренние процедуры....
Есть хорошее письмо банка Росии РЕКОМЕНДАЦИИ
ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВОЗНИКАЮЩИМИ
ПРИ ОСУЩЕСТВЛЕНИИ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ ОПЕРАЦИЙ
С ПРИМЕНЕНИЕМ СИСТЕМ ИНТЕРНЕТ-БАНКИНГА

Вот думаю, что с изучения этих рисков, способов их оценки, мониторинга и сравнения и стоит начинать все это обсуждение.
Но это если нужен рейтинг, а не PR замануха.
Олег Марков  (Oleg 1977)
#
«Мне не нужен дырявый банк. Критерий для рейтинга несомненно обязательный».

А критерий-то как сформулирован? «Степень дырявости»?
Ну в таком случае, конечно же, куда без него!
Игорь Пехтерев  (Pine)
#
Как для плохих людей и слова плохие, так и для банка у которого есть дыры в безопасности подходит термин "дырявый". Впрочем в русском языке достаточно слов чтобы подобрать подходящее данному критерию.
Олег Марков  (Oleg 1977)
#
Игорь, если вопросы безопасности денежных средств клиента решаются в Инбанке на том же профессиональном уровне, на каком выполнена обнародованная «методика», и на том же профессиональном уровне, на каком ведется ее «пиар» на данном ресурсе, то хранить в таком банке даже пару сотен рублей – ненужный риск.
Михаил Павличенко  (Mixerr)
#
Уважаемый Олег! Давайте не будем уклоняться от темы разговора - про методику.В данном случае речь не про Инбанк, и не про Ваши подозрения, что Инбанк ведет пиар на данном ресурсе. Если я правильно понимаю, то первые заметки можно тезисно изложить так:
Часть первая - существующие рейтинги необъективны.
Часть вторая - методика рейтингования неоткрыта
Часть третья - методика должна состоять из свойств, свойства - из характеристик, характеристики - из параметров. Под параметрами традиционно понимается независимая переменная. Для юрлиц и физлиц - различные схемы подсчета рейтинга.
Часть четвертая - безопасность банка должна соответствовать современным требованиям безопасности, как необходимое и обязательное условие участия в рейтинговании.
Олег Марков  (Oleg 1977)
#
Уважаемый Михаил! Судя по Вашему же пересказу тезисов, все четыре части – из жанра «лошади кушают овес и сено». Все-таки Чехов – классик на все времена!
Так что обсуждать содержание дискуссии невозможно по причине его отсутствия, а вот обсуждать форму дискуссии можно – по причине ее редкостной причудливости.
И способности дарить веселость и хорошее настроение, в чем она порой не уступает даже фильмам Чарли Чаплина.
Семен Семенович Горбунков  (Семен Семенович)
#
Мои "5 копеек":
в связи с принципиальным желанием автора уклониться от обсуждения
smile:) no coment
Михаил Павличенко  (Mixerr)
#
Уважаемый Семен Семенович! Да не торопитесь вы так, всему свое время.
CheckRating.ru  (CheckRating.ru)
#
А что тянуть то? Методика есть, почему сразу не приступить к обсуждению? smile:)
Михаил Павличенко  (Mixerr)
#
Существуют некоторые нюансы изложения материала, при которых возможно обсуждать отдельные его части. Выдать весь материал сразу считается неправильным методологичесим приемом.
CheckRating.ru  (CheckRating.ru)
#
А почему тогда выложенные части никто не обсуждает?
И просьба на нюансах, не позволяющих обсудить весь материал сразу, просьба остановится поподробней...
Михаил Павличенко  (Mixerr)
#
"И просьба на нюансах, не позволяющих обсудить весь материал сразу, просьба остановится поподробней..."
Существуют некоторые правила подачи материала. В данном случае, как мне кажется формат подачи материала соответствует формату форума и ресурса. Если Вы предлагаете сразу выложить все и обсуждать сразу все, то разговор просто захлебнется. Один найдет там изъян, другой предложит усовершенствовать седьмой подпункт и отменить двадцать третий, заменив его семнадцатым. Поэтому, как мне кажется, и был выбран такой, академический , способ изложения материала.
Первые три пункта замечаний по сути не вызвали, как мне показалось.
Олег Марков  (Oleg 1977)
#
А мне кажется, в данном случае формат подачи материала соответствует исключительно авторскому представлению об «академическом способе изложения материала», где ключевыми терминами являются «борьба за правду – матку», «яйцо Кощеево», «ареал обитания архаичных интернет-банков» и «взлом алчного хакера».
Это демонстрация «математических и инструментальных методов экономики» из арсенала доктора-профессора столь красноречива, что если и может вызывать вопросы, то лишь у «пытливой молодёжи» smile:D
Семен Семенович Горбунков  (Семен Семенович)
#
Семен Семеныч в ПЕРВОМ комментарии к первой части писал:
"- все вопросы (пункты, подпункты) огласить сразу, до начала обсуждения.
- обсуждать каждый пункт последовательно, к следующему переходить только после взаимного согласия.
- участие зрителей в обсуждении не возбраняется, но в пределах темы (вопроса, пункта, подпункта).
- свисток на окончание раунда (вопроса) при явном затягивании обсуждения дает Модератор.
(Желательно сразу получить его согласие на это)
"

Поскольку еще не оглашен "весь список" - я на дачу. smile:achtung: Недельки на две...
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

FINAL CALL 11/16
15 ноября вышли данные по исполнению федерального бюджета за очередной месяц — октябрь. 1. В апреле — августе 2016 года из Резервного фонда изъяли
0
Как вернуть «тетрадочный» вклад?
Короткий ответ: показать документы о вкладе в банке-агенте. Длинный ответ. Наверное, уже практически все вкладчики знают, что во многих банках с
6
Рынок нефти 6 декабря
Ситуация на нефтяном рынке локально не изменилась. Brent консолидируется в районе $54/bbl на нейтральном новостном фоне. Оптимизм после заключения сделки
0
Венера в Козероге
Венера вошла в Знак Зодиака Козерог и пробудет здесь до 09 декабря. Вместо иллюзий и идеализма приходят сдержанность в проявлении чувств, строгость оценок
0
Моспромстрой
Моспромстрой еще и в Глобэксе кредитуется 7) Об одобрении сделки – Дополнительного соглашения № 1 к Договору об открытии кредитной линии № 1-79-НКЛ/15
0

Новые сообщения

  • Рынок нефти 6 декабря
    Ситуация на нефтяном рынке локально не изменилась. Brent консолидируется в районе $54/bbl на нейтральном новостном фоне. Оптимизм после заключения сделки
  • Рынок нефти 5 декабря
    Нефть торгуется в небольшом минусе, отступая от 16 месячных максимумов. Пауза в дальнейшем оптимизме на рынке сейчас выглядит вполне логично. Во-первых,
  • Как связаться с Агентством по страхованию вкладов?
    В разговорах, связанных с отзывом лицензий банков, часто возникает вопрос: как сообщить что-то АСВ, задать вопрос, пожаловаться и т.п. Ниже - справочник
  • Рынок нефти 1 декабря
    ОПЕК после почти годичных переговоров и восьми лет перерыва приняла решение о сокращении добычи нефти. Отдельным успехом для рынка в целом и картеля в
  • FINAL CALL 11/16
    15 ноября вышли данные по исполнению федерального бюджета за очередной месяц — октябрь. 1. В апреле — августе 2016 года из Резервного фонда изъяли