Банк с безопасным доступом

Фото: Alamy/TASS

Агентство Markswebb Rank & Report составило первый рейтинг безопасности интернет- и мобильных банков. Кто стал лидером, а кто аутсайдером?

За год — с апреля 2014 года по апрель 2015 года — со счетов россиян через интернет-банки украли почти 100 млн руб., говорится в отчете компании Group-IB, которая занимается расследованием киберпреступлений. Большую часть этой суммы — 61 млн руб. — преступникам удалось похитить с помощью вирусов для мобильных телефонов на Android. А оставшиеся 38 млн руб. вывели со счетов с помощью вирусных программ на персональных компьютерах.

Вернуть украденные деньги крайне сложно. Банки часто отказывают в этом клиентам, ссылаясь на то, что те сами передали данные мошенникам. Поэтому самый надежный способ сохранить деньги — не допустить их кражи. Для этого прежде всего хорошо бы знать, насколько безопасен интернет-банк и мобильное приложение вашего банка.

Чтобы ответить на этот вопрос, аналитическое агентство Markswebb Rank & Report провело первое публичное исследование безопасности интернет- и мобильных банков. В него вошли 20 банков с наибольшим количеством пользователей онлайн-версии банка, по данным e-Finance User Index за 2015 год. Еще одна кредитная организация — Интерактивный банк, занимающий 496-е место по объему активов в России — подала заявку на участие в рейтинге самостоятельно.

Во всех банках сотрудники агентства сначала действовали как клиенты, а потом — как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем — пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и т.д. Действия банка оценивали по 43 критериям и на их основе выставляли итоговую оценку.

Результаты

В целом у российских банков не очень жесткие требования к безопасности. К примеру, пять банков из 21 вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках СМС-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только четыре банка — остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Лидеры

Наибольшее количество баллов получили Ситибанк и Интерактивный банк, который минувшим летом купил партнер инвестиционного фонда Deep Knowledge Ventures Дмитрий Каминский. Новый владелец заявил, что планирует сосредоточиться на онлайн-услугах.

У этих банков оказалась самая сложная система идентификации пользователя при оплате. Так, у Интерактивного банка она состоит из четырех ступеней. Две ступени обязательные: клиент вводит «многоразовый» пароль, который придумал сам, и код, который получает по СМС. Еще две — онлайн-аналог скретч-карты (карта со стирающимся защитным слоем, как на лотерейном билете), которую пользователь получает один раз и использует для последующих действий в онлайн-банке, а также обратный СМС-пароль — на экране телефона клиент видит код и отправляет его банку тоже по СМС.

В Ситибанке, занявшем первое место среди 20 крупнейших банков по количеству пользователей в онлайн-версии, ставку делают на одноразовые пароли, говорит руководитель электронного бизнеса Citi Россия Елена Скурятина. Поэтому все операции в мобильном и интернет-банке Ситибанка клиентам приходится подтверждать с помощью мобильного телефона.

Аутсайдеры

Замыкают рейтинг МТС Банк и Бинбанк. В чем заключаются недостатки этих банков, авторы исследования разъяснять не стали. «Мы не должны давать подсказки мошенникам», — говорит Скобелев. Сами Бинбанк и МТС Банк тоже не прокомментировали результаты исследования.

Начальник отдела развития электронного бизнеса Райффайзенбанка, занявшего 17-е место, Наталия Масарская не соглашается с выводами исследования. Райффайзенбанк для входа в интернет-банк не требует дополнительных мер безопасности — достаточно ввести логин и пароль. «Пользователям доступны инструменты полного контроля операций по счетам и событиям при помощи СМС- и e-mail-оповещений по каждой заявке на операцию», — объясняет Масарская.

Безопасность или удобство

Полностью оценить надежность интернет-банка очень сложно, поскольку важно не количество задействованных механизмов для обеспечения защищенности, а их качество, уточняет замглавы департамента аудита защищенности консалтинговой компании Digital Security Глеб Чербов.

Высокая безопасность интернет- и мобильных банков зачастую снижает удобство их использования. Так, самые надежные банки, по версии Markswebb Rank & Report, одновременно являются наименее удобными. Например, Ситибанк занимает 25-е место из 32 возможных в рейтинге эффективности интернет-банков, составленном в апреле 2015 года. Это неудивительно: чем меньше действий нужно совершить для идентификации пользователя, тем проще и клиентам, и мошенникам.