Безопасность по требованию

Объем банковских онлайн-платежей россиян в 2012 году увеличился в полтора раза, однако привлекать клиентов лишь новыми функциями становится все труднее. Пользователи ждут от дистанционного банковского обслуживания большей защищенности, к этому же банкиров подталкивает Банк России

Фото: photogenica.ru
Объем банковских онлайн-платежей россиян в 2012 году увеличился в полтора раза

Клиенты банков все чаще используют дистанционные банковские сервисы в повседневной жизни. На объеме рынка онлайн-платежей позитивно отражаются как маркетинговые кампании банков, так и непрерывное совершенствование функциональной начинки систем интернет-банкинга. Активность пользователей обуславливает и общая тенденция к увеличению объемов их накоплений в кредитных организациях, наряду с активизацией банками потребительского кредитования. Все это поспособствовало росту спроса на услуги дистанционного доступа к счетам.

В 2012 году каждая третья банковская транзакция физлиц совершалась через интернет (+4 п. п. по сравнению с 2011 годом). Доля удаленных платежей в общем объеме транзакций увеличилась до 12%, в то время как на протяжении 2009–2011 годов этот показатель составлял 8–9%. Замедление роста числа интернет-платежей (см. график 1), с одной стороны, обусловлено постепенным исчерпанием эффекта низкой базы, а с другой — значительной конкуренцией со стороны платежных терминалов. По оценкам «Эксперт РА», более 35% всех платежей физических лиц осуществляются именно с их использованием.

Средние и передовые

Как и прогнозировал «Эксперт РА», рост функциональности в прошлом году обеспечили в основном системы интернет-банкинга второго эшелона, а не передовые дистанционные сервисы, в которых основной функционал и обширная база получателей платежей уже были реализованы годом ранее. К началу 2013 года существенно выросла доля банков, предоставляющих возможность оплатить посредством интернет-банкинга штрафы ГИБДД (+14 п. п.), приобрести железнодорожные (+17 п. п.) и авиабилеты (+10 п. п.), совершить платеж в погашение кредита, взятого в другом банке (+9 п. п.). Для банков же с более совершенными системами дистанционного обслуживания следующим шагом стало внедрение упрощенного формата проведения платежей (например, SMS-банкинга или облегченного решения внутри интернет-банкинга) и демонстрационного режима доступа к интернет-банку. В частности, такие услуги предоставляют система HandyBank, Альфа-банк и Уральский банк реконструкции и развития.

В 2012-м — начале 2013 года передовые банки в поисках новых конкурентных преимуществ на рынке интернет-банкинга один за другим обновляли интерфейсы своих систем. Переработке подверглись системы Сбербанка России, Альфа-банка, ТКС-банка и других крупных игроков рынка дистанционных услуг. Прежде всего они стремились сделать интерфейсы своих онлайн-систем более дружественными: например, ТКС-банк реализовал в своей системе ДБО виджеты (блоки данных), которые пользователь может настроить под себя, а Альфа-банк добавил в интерфейс панель избранных платежей.

По сравнению с прошлым годом топ-5 рейтинга почти не изменился: по-прежнему с заметным отрывом лидирует мультибанковская система HandyBank. Следом идут Банк24.ру и Альфа-банк. Четвертое место на этот раз заняла финансовая группа «Лайф», значительно нарастившая функциональные возможности своего интернет-банкинга. Замыкает пятерку лидеров, как и в 2012 году, система Faktura.ru.

Невысокие результаты показали некоторые розничные банки. Причиной тому стало отсутствие отдельных сервисных функций, которые в большинстве систем конкурентов уже реализованы. Например, ХКФ-банк и ВТБ24 не предоставляют возможности выпустить виртуальную карту и совершать денежные переводы «в офлайн», а система Райффайзенбанка к тому же не позволяет совершать автоплатежи и платить штрафы ГИБДД. Всего в 20% систем реализована функция демонстрационного доступа к системе ДБО.

Любопытно, что лидеры и аутсайдеры рейтинга распределились по местам значительно более плотно, чем годом ранее: разрыв между первым и последним местом в рейтинге уменьшился с 77 баллов до 54, а стандартное отклонение по выборке опрошенных банков — с 12,6 до 10,1 балла. Отчасти это связано с тем, что некоторые банки, занявшие невысокие позиции в прошлогоднем рейтинге, отказались от участия в исследовании. Другая часть бывших аутсайдеров переработала свои системы и показала более высокие результаты (среди них, например, ТКС-банк, разместившийся на шестой строчке рейтинга). Жесткой остается конкуренция и в рамках топ-10, где некоторых участников разделяет наличие или отсутствие в системе всего лишь двух-трех опций.

Мобильная защищенность

По мере того как функциональная составляющая систем интернет-банкинга постепенно приводится к общему знаменателю, растет роль их безопасности и удобства. Как показало исследование, проведенное Национальным агентством финансовых исследований (НАФИ) в июле 2012 года, среди этих факторов для пользователей приоритетна безопасность: по данным опроса, около четверти российских интернет-пользователей не уверены в надежности банковских онлайн-систем. Это неудивительно, ведь большая часть публикаций на тему интернет-банкинга в средствах массовой информации связана с фактами взлома систем ДБО. И хотя команды разработчиков уже сделали многое, чтобы защитить пользователя от несанкционированного вторжения (повсеместно применяются и SSL-соединение, и виртуальная клавиатура, и двухфакторная аутентификация), новые сообщения о прецедентах интернет-мошенничества продолжают появляться снова и снова. Конечно, за несколько лет методы защиты стали более совершенными, однако бюджеты на информационную безопасность в банках остаются достаточно низкими, а число транзакций, проводимых через интернет, постоянно растет, открывая новые просторы для киберпреступности.

На этом фоне массовым стал переход банков на технологию двухфакторной защиты, когда клиент вводит не только логин и пароль, но и одноразовый SMS-код. По данным, полученным «Эксперт РА» в результате исследования, к началу 2013 года уже порядка 80% систем применяли этот способ аутентификации (годом ранее таких систем было 59%).

Повысить уровень безопасности интернет-банкинга помогло бы проведение удаленного аудита компьютера клиента и повышение информированности пользователя о мерах предосторожности при совершении онлайн-платежей. Не прошел аудит — плати повышенную комиссию по операциям или вноси символическую абонентскую плату. Однако этот метод остается экзотикой для российских банков. Небольшим остается и число банков, которые страхуют риски, связанные со злоумышленными действиями третьих лиц, — всего 6 из 65 рассмотренных банков и систем; 7 респондентов страхуют риски потерь, вызванных действиями или бездействием своих сотрудников.

В то же время некоторые российские банки уже используют продвинутые методы обеспечения безопасности. Например, Банк24.ру предлагает пользователю установить индивидуальное приветствие, которое является защитой от фишинга. В отдельных системах реализован механизм контроля смены SIM-карты, на которую приходят временные пароли для совершения транзакций.

Безопасность в приоритете

Подтолкнуть банки к повышению защищенности онлайн-платежей с большой вероятностью поможет растущий интерес к мониторингу их безопасности со стороны Банка России. Одним из нововведений регулятора в 2012 году стало утверждение формы отчетности 0403203, в которой банки начиная с лета прошлого года отчитываются обо всех нарушениях, связанных с переводом денежных средств по разным каналам (в том числе посредством мобильного и интернет-банкинга). Была и попытка ЦБ РФ обязать кредитные учреждения документировать сведения об IP- и МАС-адресах устройств, с которых осуществляется доступ пользователей к интернет-банкингу. Однако публикация проекта соответствующего указания вызвала множество критических отзывов, и идея была признана нежизнеспособной.

Вряд ли помогут укрепить доверие пользователей отдельные положения Закона о национальной платежной системе, вступление которых в силу пока намечено на 2015 год. В соответствии с ними банки должны будут выплатить клиенту деньги, если тот не давал своего согласия на конкретную операцию. Это обстоятельство, скорее всего, откроет новые горизонты для мошенничества: даже сейчас значительная доля мошеннических транзакций совершается по схеме, когда владелец счета входит в сговор с третьим лицом и заявляет о несанкционированной операции.

Повысить безопасность можно путем реализации многофакторной аутентификации взамен авторизации по двум факторам. Ее ключевая особенность — дополнительное использование биометрических характеристик для идентификации пользователя. Подтолкнуть разработчиков к подобному совершенствованию систем безопасности способно, например, введение обязательного страхования рисков ущерба клиенту. Сейчас такая практика применяется крайне редко, а ведь банки, подстегиваемые высокими тарифами страховых компаний, куда охотнее начали бы внедрять подобные новшества.    

Методология рейтинга функциональности систем интернет-банкинга

В этом рейтинге мы оценили возможности (функции) и уровень безопасности, которые предоставляют системы интернет-банкинга пользователям. Источником информации для рейтинга послужили анкеты банков и аутсорсинговых компаний. Аутсорсинговые системы оценивались по пакету услуг, включающему наибольший набор функций.

Анализ проводился по трем сегментам: внешний платежный функционал (вес 38%), внутренние операции и сервисные функции (40%), информационная и финансовая безопасность (22%).

Внешний платежный функционал оценивался по виду и количеству поставщиков услуг и товаров (начиная с сотовых операторов и заканчивая продавцами контента), которые можно оплатить без использования платежа на произвольные реквизиты. Кроме того, в эту категорию вошли обязательные платежи в пользу государства и взаимодействие с системами электронных денег.

Основу внутренних операций составляют транзакции между различными типами счетов клиента (включая виртуальную карту), а также отчеты и выписки по этим транзакциям. В сервисных функциях учитывались предоставляемые возможности по автоматизации операций и разнообразие поддерживаемого программного обеспечения.

Информационная и финансовая безопасность интернет-банкинга учитывала способы идентификации, защиты операций, информирования о транзакциях и минимизации ущерба.

Удобство интерфейса, надежность банка и число зарегистрированных пользователей не оказывали влияния на место банка в рейтинге.

Ответы на количественные вопросы нормировались и сглаживались для согласования их влияния с качественными вопросами (предусматривающими ответ «да» или «нет»).

При формировании рейтинга в апреле 2013 года учитывались некоторые функции, которые при составлении прошлого рейтинга не оценивались. В их числе, например, наличие демонстрационного режима работы и функции SMS-банкинга. Корректировки в методике незначительны, поэтому методики сопоставимы.

Была проведена выборочная проверка присланных банками анкет. По ее результатам ряд баллов был скорректирован. Банкам, предоставившим данные, не подтвердившиеся в ходе проверки, были начислены штрафные баллы.