Вопросы безопасности при работе с банком всегда вызывают интерес. Сейчас самая модная тема — безопасность при работе со счетом через Интернет. Сообщения на форумах, статьи в прессе и разговоры на кухнях по большей части приводят их участников к одному и тому же печальному выводу: нет никакой гарантии, что ваши деньги, к которым имеется доступ через Интернет, не попадут в карман мошенникам. А виноваты в этом, конечно же, банки, не обеспечивающие должный уровень безопасности.

У меня складывается ощущение, что клиенты немного зажрались. Банк, как и любая организация, работающая с массой пользователей, технически не в состоянии отвечать за действия этих самых пользователей. Ведь очевидно, что любые подобные отношения имеют две закрытые друг от друга стороны: банк не пустит клиента в свой бэк-офис и серверную, а клиент вряд ли обрадуется, если банк начнет контролировать каждое его действие в обычной жизни. Обе стороны «по умолчанию» (или даже вполне явно, на основании договора) рассчитывают, что партнер относится к обеспечению взаимоотношений с разумной ответственностью. Проще говоря, если банк выдает клиенту карточку с одноразовыми паролями, то он полагает, что клиент не будет счищать защитный слой со всех паролей сразу и бросать ее потом где попало.

Сохранность паролей, ограничение доступа посторонних к флешке с ЭЦП или USB-брелку — задача клиента, а не банка. Понятно, что любая разумная организация старается «защититься от дурака» (это не оскорбление, а технический термин), то есть предусмотреть, что пользователь по незнанию или недомыслию нарушит то или иное правило. Но даже самую надежную «защиту от дурака» можно обойти, было бы желание. А желание такое у клиентов возникает часто, ведь увеличение количества степеней защиты приводит к усложнению пользования услугой. Поэтому люди записывают ПИН-коды на кредитках, запоминают пароли к интернет-банку в браузере и держат флешку с ЭЦП на столе на виду у всех.

С другой стороны, ситуация с безопасностью интернет-доступа к счетам очень похожа на ситуацию с безопасностью при работе с наличными. Если, снимая в банкомате пару тысяч рублей, вы получите кирпичом по голове и потеряете деньги, то вряд ли будете обвинять банк в том, что он вас не защитил. Собственно, он может защитить — за ваш счет. Если вы готовы нанимать взвод автоматчиков для каждого похода к банкомату, банк, скорее всего, пойдёт вам навстречу. Но готовьтесь к тому, что такой сервис будет очень дорогим.

То же самое и с безопасностью в «виртуальном мире». Для проведения удаленных операций со счетом можно поставить отдельный компьютер, проложить специальный бронированный кабель от этого компьютера до банка, использовать редкую операционную систему (чтобы под нее не было вирусов) и применять сложное шифрование сигнала. Без проблем. Но стоить это будет столько, что сами же клиенты никогда на такой вариант не согласятся.

В реальной жизни пользователям интернет-банкинга приходится делать классический выбор «два из трех»: удаленная работа со счетом может быть либо удобной и безопасной, но дорогой; либо удобной и дешевой, но опасной; либо дешевой и безопасной, но неудобной. Совместить все три пункта, к сожалению, невозможно. Другое дело, что банк должен обеспечить клиентам возможность выбора и пояснить, чем грозит тот или иной вариант. И при этом, конечно, постоянно улучшать параметры каждого из трех факторов.

Как это ни банально, но главный враг человека — он сам, а спасение утопающих — таки дело рук самих утопающих. Инфантильное отношение некоторых клиентов к своим обязанностям при работе со сложными информационными системами банков — это проблема клиентов. Если человек не в состоянии следить за своими действиями и отвечать за их последствия, то ему лучше не связываться с интернет-банкингом. Но, надеюсь, таких людей все-таки не очень много, большинству же достаточно один раз понять, что банк — равноправный партнер, а не заботливый родитель и в отношениях с ним надо принимать часть ответственности на себя.