Ощадбанку та його чолі Герману Грефу знову довелося вибачатися за чергову «дірку» в його системі безпеки. По всій Росії відбулися десятки випадків крадіжок грошей з карток клієнтів прямо у відділеннях банку, при невсипущий контроль відеокамер і при безпосередньому використанні добре захищених терміналів. Як це відбувалося і хто винен?
Автор:
Кучер Єгор
Ми всі давно звикли, що найголовніше банку, ніж Ощадбанк, в Росії просто немає. Його і не могло бути в умовах, коли сам Центробанк, неупереджений регулятор, розчищав в інтересах Германа Грефа банківський сектор країни. І ось в регіонах Росії місцевий бізнес і населення йдуть кредитуватися зовсім не в місцеві приватні банки, а в Ощадбанк, який стрімко нарощує клієнтуру і обсяги виплат акціонерам-нерезидентам.
Не може бути банку головніше навіть в умовах агресивного роботи в секторі ВТБ Андрія Костіна, який за останній рік накинув на себе безліч банківських «масок», будучи для населення і «Пошта банком», а для бізнесу тепер вже і Альфа-банком. Незважаючи на стрімку погоню Костіна за Грефом, Герман Оскарович, користувався раніше майже безмежною підтримкою з боку регулятора, зміг піти майже на недосяжну висоту.
Бути головним банком у країні – це не тільки привілей і доступ до безмежних багатств, що беруть початок в кишенях жителів Росії. Це ще і дуже велика відповідальність за «чистоту» і стабільність роботи всієї гігантської цифрової і аналогової машини, якою сьогодні став Ощадбанк.
І якщо з першим, тобто з нарощуванням власних активів «Ощад» справляється цілком успішно, то з другим регулярно виникають проблеми. Притчею во язицех стали шахрайські списання з карт, підроблені дзвінки з номерів «Ощад» клієнтам та інші схеми. Ощадбанку слід віддати належне: айтішники банку, звичайно, намагаються максимально прикрити виникають дірки, так і штат цих співробітників у Грефа – молодий та активний. І це дійсно великі професіонали своєї справи. Сам Греф на публічних виступах дуже любить говорити про цифровий складовою роботи «Ощад», розповідати про нові способи банкінгу, про заміну співробітників роботами. На цьому тлі «Ощад» і втратив шахраїв, які зовсім не зламували ніяких систем, а банально крали гроші прямо з-під носа у банку у його відділеннях.
Греф и его «косяки»: В чём снова совершенно не виноват Сбербанк? россия
.
Пастка для клієнта
Минулого тижня, 20 травня, «Комерсант» повідомив про виявлення Ощадбанком принципово нової шахрайської схеми. Вона виявилася вкрай несподіваною і простий, як все геніальне. В її основі – системна помилка в роботі терміналів Ощадбанку.
Зловмисникам вдалося розкрити вразливість, при якій термінали списували гроші з карти одного клієнта за запитом клієнта взагалі без карти. Працювало це все наступним чином. Шахрай, не використовуючи карту, давав команду на списання коштів з рахунку. Після чого він відходив від терміналу, який переходив в режим очікування і давав 90 секунд для завершення операції. Операція закінчувалася, коли карту вставляв наступний клієнт – він вводив пін-код, і кошти списувалися з його рахунку.
За даними Ощадбанку, по всій Росії було зафіксовано кілька десятків таких випадків. Безпечники «Ощад» заявили, що мова не йде про злом терміналів або серйозні неполадки в їх роботі, «винним», за їх словами, виявився сам алгоритм роботи пристроїв самообслуговування.
Термінал працює таким чином, щоб спочатку клієнт міг вибрати призначення платежу, потім вказати суму, і лише потім – спосіб оплати. І якщо попередній клієнт вказав карту в якості способу оплати, але не вставив її, то термінал буде чекати карту 90 секунд, щоб списати з неї кошти. Таким чином, наступний клієнт міг завершувати операцію попереднього, чим і користувалися шахраї.
У цій ситуації можна виділити кілька ключових моментів. Ощадбанк, будучи головним банком, виявився не здатний захистити своїх клієнтів та їх рахунки, тоді як не такі великі кредитні організації виявилися мудрішими і зробили просто за фактом неможливою таку ситуацію зі своїми терміналами.
Греф и его «косяки»: В чём снова совершенно не виноват Сбербанк? россия
.
У Газпромбанку, наприклад, пін-код потрібно вводити з самого початку роботи з терміналом. В Промсвязьбанку клієнту також доведеться спочатку ідентифікувати себе, і лише потім замовляти ту або іншу операцію. Бінбанк опинився ближче до алгоритму роботи «Ощад», але інженери банку вирішили додати ще один контур безпеки, і після введення картки клієнту доведеться знову підтвердити суму платежу і реквізити. Май Ощадбанк всі ці банальні і прості алгоритми логічної, а не технічної захисту, всіх випадків крадіжок просто б не було.
Ще однією проблемою «Ощад» є тривалість очікування операції, яка давала шахраям необхідну кількість часу. В «Ощад», якщо, наприклад, карта не витягнуть з банкомату, після операції, вона буде автоматично захоплена пристроєм через ті ж 90 секунд, які даються і на завершення операції. У банку вважають, що такий часовий лаг є «універсальним», молоді клієнти виймуть мапу відразу, а ось пенсіонеру може знадобитися більше часу. В інших банках часто зустрічається стандарт тайм-ауту в 30 секунд.
Хто винен?
В «Ощад», на жаль, замість того, щоб визнати очевидне, звинуватили в розкраданні самих клієнтів, які, мовляв, виявили неуважність.
Було зафіксовано лише декілька десятків таких випадків, люди, по суті, визнають, що це їх власна помилка або неуважність, або не зрозуміли, не розібралися… Коли ви звертаєтеся до банкомату – ви повинні прочитати те, що на ньому написано,
– сказав «Інтерфаксу» заступник голови правління Ощадбанку Станіслав Кузнєцов.
Тут одразу ж виникає кілька питань. Враховуючи часті черги до банкоматів і терміналів Ощадбанку – чи пробували ви коли-небудь замість того, щоб швидше виконати потрібні операції, просто стояти і читати, що написано на банкоматі»? По-друге, у кожному відділенні Ощадбанку, на кожному терміналі і банкоматі повинні бути встановлені камери відеоспостереження.
Греф и его «косяки»: В чём снова совершенно не виноват Сбербанк? россия
.
По-третє, у відділеннях є співробітники, які повинні стежити за роботою клієнтів з банкоматами і терміналами. Їх обов’язок – допомагати людям користуватися пристроями, а також стежити за порядком, ідентифікувати підозрілих осіб. Однак ми не чули про те, щоб поліція затримала кого-небудь із зловмисників або про штрафи і звільнення працівників, стежать за порядком. А адже в «Ощад», крім співробітників в залі, є і охорона, і служба цифровий безпеки.
Фактично сталася ситуація, коли люди стали заручниками тієї системи, яка була придумана творцями інтерфейсу і алгоритму роботи терміналів Ощадбанку. І якщо в банку подумали про великому тайм-аут, щоб не було випадків несанкціонованого захоплення карт, то чому не задумалися про нелогічність алгоритму, який, по суті, і підставив людей під ці крадіжки. У всякому разі, краще б мапу захопив банкомат або термінал, кошти залишилися в недоторканності, ніж при великому тайм-ауті доступ до рахунку отримували б зловмисники.
За словами пана Кузнецова, у відділеннях Ощадбанку, на жаль, може відбуватися справжній цирк: незважаючи на камери, охорону і співробітників, клієнти можуть стати жертвами шахраїв з талантами артистів:
«А може бути, шахрай або той чоловік, який так робив, мав якийсь унікальний артистичний склад характеру, який зміг переконати людину не звернути уваги і вставити свою картку», – припустив заступник голови «Ощад».
Зараз банк повідомляє про повне усунення «помилки» і неможливості більше оплатити свою операцію з карти наступного клієнта.
«Косяки» Грефа
Греф и его «косяки»: В чём снова совершенно не виноват Сбербанк? россия
Р. Греф. Фото: www.globallookpress.com
Сам Герман Греф вже через чотири дні після скандалу з шахрайствами вирішив дуже гідно вийти з-під лавини критики. Виступаючи на річних зборах акціонерів банку 24 травня, Греф сказав, що Ощадбанк «ще багато косячит», і закликав лаяти його за недоробки. Мова Грефа транслювалася в YouTube-акаунті «Ощад».
«Якщо ми де-то, вибачте за термін, накосячили, значить, ми повинні про це знати, повинні виправляти. Ми косячим ще багато, – сказав Греф, але не забув поправитися. – Зараз все-таки косяків стало значно менше, це означає, що ми не повинні собі дозволяти реагувати формально на звернення клієнтів або критику акціонерів».
За словами глави банку, будь-яка критика піде Ощадбанку тільки на користь, вона стане стимулом для роботи над помилками. Раніше, сказав він, банк болісно реагував на зауваження, проте тепер просто ліквідує помилки і працює над ними.
Розрахунок Грефа був точний: банк визнав недопрацювання, виправив помилки, голова організації публічно заявив, що проблеми мають місце бути. Після цього вже не можна буде сказати, що «Ощад» відхрестився від своїх огріхів. Разом з тим залишаються відкритими питання про те, чому ніхто не поніс покарання за явних недоробок банку, який винен у тому, що у людей крали гроші? Чому співробітники або служба безпеки не справляються зі своєю роботою? Адже просто увагу співробітників до того, що відбувається з терміналом, могло б запобігти розкраданню, так і шахрая можна було затримати. І якщо у служби безпеки банку є кадри зі зловмисниками, то чому їх ніхто не шукає?
Доводиться констатувати, що паралельно з придбанням гігантської частки у вітчизняному банківському секторі Ощадбанк не зміг грамотно оцінити всі ризики, з якими може зіткнутися сам, і, що більш важливо, яким він піддає жителів Росії. Відповідальність такого банку – не в зароблянні грошей і не в спробах «запылесосить» якомога більше кредитів по всій країні, що надаються за ставкою вище темпів зростання інфляції. Вона навіть не в тому, щоб хвалитися своїми цифровими технологіями і трьома контурами безпеки, з яких за всю історію банку кіберзлочинцями не був пробитий навіть один (так запевняє Греф). Ця відповідальність полягає в грамотному розумінні ризиків і чесній роботі з людьми і державою, щоб не було ситуацій, коли з рахунків громадян виносять гроші під час солодких промов Грефа про безпеку, а винні залишаються безкарними.