Риск моды: экосистемы могут грозить утечкой персональных данных

Центробанк планирует расширить регуляторные меры по кибербезопасности экосистем, сообщили "Известиям" в регуляторе.

Пока Банк России изучает риски, связанные с их развитием. Как рассказал "Известиям" вице-президент Ассоциации банков России (АБР) Алексей Войлуков, финансовые экосистемы несут угрозу утечек персональных данных клиентов. Это может произойти через небанковские сервисы, поэтому требования безопасности к ним должны быть высокими, считает он. По словам экспертов, основной проблемой может стать передача информации от материнской компании к дочерним.

Неличные данные

Экосистемы, которые сейчас активно развиваются в финансовом секторе, могут обернуться утечками персональных данных клиентов.

— Уровень безопасности небанковских сервисов, а также каналов, по которым персональные сведения передаются, должен быть сопоставим с требованиями к банкам. Иначе есть риск проникновения мошенников через небанковские системы в кредитные организации и утечки персональных данных клиентов, — объяснил Алексей Войлуков.

Он уточнил, что некоторые банки, сотрудничая с сервисами, например, по заказу билетов, передают туда данные клиентов — в том числе паспортные.

Центробанк изучает риски, связанные с развитием экосистем, и в 2021 году опубликует доклад о том, как они влияют на финансовый рынок и на уровень конкуренции на нем, рассказали в пресс-службе регулятора.

— Сейчас Банк России обсуждает с участниками рынка возможности расширения регуляторных мер по обеспечению информационной безопасности и операционной надежности на финансовые экосистемы, — заявили в ЦБ.

В ФАС "Известиям" сообщили, что появление крупных объединений на банковском рынке сформирует устойчивые группы потребителей, что вызовет сложности для других игроков. Регуляторам было бы полезно выработать принципы такого взаимодействия. На настоящий момент ФАС не находила признаков нарушения антимонопольного законодательства со стороны экосистем, но подобные риски в будущем возможны.

Экосистема — это набор собственных или партнерских сервисов, объединенных вокруг одной компании. Например, такие сейчас строят Сбербанк и "Яндекс".

Потенциал развития

Меры регулирования в сфере кибербезопасности экосистем должны касаться платежей, а также передачи и хранения клиентских данных, считает директор департамента информационной безопасности МКБ Вячеслав Касимов. В первом случае возникает риск того, что в пределах экосистемы один субъект даст указание другому списать определенную сумму денег со счета клиента, и такое действие будет совершено без его согласия. Во втором — проблема состоит в возможной утечке данных у одного из сервисов, что создаст сложности для всех участников экосистемы.

Банк "Дом.РФ" и ПСБ поддерживают разработку ЦБ нормативных актов, которые будут регулировать рынок экосистем, и активно участвуют в обсуждениях, рассказали в компаниях.

Банки видят большой потенциал в развитии экосистем. Например, в РСХБ в 2020 году создали несколько новых сервисов для физических и юридических лиц: платформу для старшего поколения с элементами Life Style, систему розничных продуктов, услуг банка и партнеров, а также экосистему для фермеров, рассказали в пресс-службе кредитной организации.

В ПСБ строят экосистему, ориентированную на финансовые продукты для малого и среднего бизнеса. В них входят, например, страхование, бухгалтерия, расчетно-кассовые операции, регистрация компании, электронная подпись, документооборот онлайн — всё то, что кредитная организация может предложить бизнесу, чтобы упростить работу. В дальнейшем ПСБ также планирует разрабатывать сервисы для военнослужащих.

Экосистемы становятся всё более популярны у населения и предприятий. В пресс-службе ВТБ сообщили, что за 2020 год спрос на небанковские сервисы для бизнеса вырос на 70% среди их клиентов. Они помогают автоматизировать бизнес-процессы и снизить издержки. Самой популярной категорией, которой воспользовалась почти половина пользователей платформы, стала "безопасность бизнеса" с услугами по проверке контрагентов и аудиту сайта, а также с юридическими сервисами.

Пандемия существенно повлияла на рост спроса к таким услугам, рассказал директор анализа и поддержки продаж массового корпоративного бизнеса банка "Санкт-Петербург" Павел Колчин. Самыми популярными небанковскими продуктами в прошлом году стали электронный документооборот и онлайн-бухгалтерия.

В пресс-службе Ак Барс Банка сообщили, что наиболее высокий рост за это время показал сервис правовой дистанционной помощи, количество его пользователей увеличилось в три раза.

В "Тинькофф" в прошлом году запустили первый банковский аутсорсинговый кол-центр для бизнеса, рассказали в пресс-службе компании. С помощью него клиенты могут, например, организовать собственную справочную службу по своим услугам, горячую линию, линию технической поддержки или воспользоваться помощью "виртуального секретаря".

Опасности роста

Эксперты рассказали о рисках экосистем, связанных с информационной безопасностью. По их мнению, одна из важных проблем — передача информации от материнской компании к дочерним.

Крупные компании подходят к передаче доступа к базам данных очень аккуратно. В таких случаях используется не копия информации, а обработанная, анонимная и обобщенная статистика, рассказал ведущий эксперт "Лаборатории Касперского" Сергей Голованов. Однако полностью исключить опасность утечки нельзя. Были случаи, когда злоумышленники получали доступ к копии данных на серверах дочерних компаний. Однако если все процессы выстроены в соответствии с требованиями регуляторов и правилами кибербезопасности, такие риски существенно снижаются, сообщил эксперт.

Заместитель гендиректора Zecurion Александр Ковалев считает, что одна из основных проблем экосистем заключается в циркуляции данных. Их безопасность может зависеть от самой слабой точки систем, между которыми информация передается.

При транспортировке данных они могут быть перехвачены, поэтому замкнутые экосистемы более безопасны, чем те, где большое число сервисов автоматически взаимодействуют друг с другом. Чем больше систем, тем выше риски атаки и утечки информации. В дополнительных сервисах могут храниться, например, адреса клиентов, данные по налогам, о наличии недвижимости, машины и т.д.

Основная идея регулирования Центробанка, по мнению эксперта, — предотвратить передачу избыточных данных, стандартизировать их обмен, обеспечить безопасность при построении экосистем и создать такую архитектуру, чтобы в случае взлома одного сервиса злоумышленник получил только ограниченный объем данных.