4.8.16

Когда безопасность только мешает бизнесу, нанося ему реальный финансовый ущерб

Продолжая тему, начатую презентацией про обоснование финансовых инвестиций в ИБ, которую я читал на питерской Payment Security, я бы хотел привести кейс, который с цифрами в руках доказывает, что безопасность может мешать бизнесу, снижая его доходы. Если мы "продаем" ИБ под соусом борьбы с угрозами или выполнения регулятивных требований, то эта тема обычно не всплывает и безопасник может думать, что он делает благое дело. Но когда мы начинаем оперировать цифрами и деньгами, ситуация может поменяться и поменяться кардинально. В этом обратная сторона медали под названием "финансовое измерение ИБ" - может оказаться так, что ИБ наносит ущерб бизнесу, увеличивая потери, а не противодействуя их снижению.

Я не буду приводить скучные и набившие оскомину примеры про блокирование выхода в Интернет или торможение персонального компьютера антивирусом (хотя они тоже измеримы). Поговорим о системе защиты финансовых транзакций по платежным картам 3D Secure, используемой как Visa, так и Master Card. Считается, что эта технология призвана защитить от мошеннических операций и это верно. Но значит ли это, что применять ее надо всегда и везде? Например, приложение "Парковки Москвы" от Электронной Москвы не использует 3D Secure. И Аэрофлот при покупке билетов тоже. А еще AppStore, Amazon, Одноклассники и куча других ресурсов. Значит ли это, что эти компании не беспокоятся о своей безопасности? Ни в коем случае. Просто бизнес важнее.

Посмотрите на статистику социальной сети Badoo. В России 3D Secure была включена принудительно с самого начала. После ее отключения число успешных платежей выросло на 20% (!). В Италии включение 3D Secure привело к падению объема платежей на 10-15%. В США включение 3D Secure привело к тому, что пользователи Badoo перестали платить вообще, а в Южной Африке число успешных платежей после отключения 3D Secure привело к положительной динамике.

Доля успешных платежей до и после включения 3D Secure в разных странах присутствия Badoo
Это очень хороший пример того, как технология безопасности, которая призвана помогать бизнесу, может ему мешать. Разумеется, данные Badoo не означают, что 3D Secure плоха и не нужна. Совсем нет. Просто надо четко осознавать место и область применения 3D Secure. Необходимо проводить соответствующие исследования, чтобы иметь на руках цифры, помогающие принять нужное решение. Например, на конференции Payment Security, на круглом столе, посвященном дилемме "Удобство или безопасность" представитель Сбербанка привел интересные цифры. Оказывается, число опротестований платежей в "Парковки Москвы" составляет всего несколько... десятков рублей (!) за 3 года работы сервиса. Несколько десяткой рублей! И зачем при таких цифрах внедрять 3D Secure?

В случае с Аэрофлотом ситуация схожая. Зачем там 3D Secure? Есть ли там мошенничества при продаже билетов? Ведь все равно билет будет выписан на конкретного человека с паспортными данными, позволяющими его идентифицировать. Да и этот покупатель физически придет на рейс и его можно задержать, если он мошенник. Видимо в Аэрофлоте посчитали объем мошенничества и конверсию (то есть отношение числа покупателей билетов с числом посетителей сайта Аэрофлота или с числом тех, кто билеты забронировал) и оказалось, что снижение конверсии от включения 3D Secure приводит к бОльшим потерям, чем мошенничество при отключенной 3D Secure.

Аналогичная ситуация с конверсией и для других сайтов с большим числом клиентов и покупок по картам - Amazon или AppStore. Снижение числа успешных платежей на 20% - это огромные деньги в масштабах этих компаний, которые они не готовы терять. Тем более, что существуют и другие способы защиты от мошенничества, без 3D Secure. Например, в платежной системе ASSIST работает своя антифрод система, которая снижает число мошеннических операций без снижения конверсии и без 3D Secure (по данным ASSIST процент успешных платежей при использовании 3D Secure ниже на 15-20%, чем без этой технологии). Badoo тоже разработала свою антифрод-систему, чтобы не ухудшать бизнес-показателей.

Еще один пример, когда ИБ мешает бизнесу, - это различные проверки, которые раздражают пользователей сайтов электронной коммерции. Чем больше кликов и операций заставляют сделать пользователя (даже с благой целью повышения защищенности и защиты от мошенничества), тем ниже конверсия и число успешных оплат.


Аналогичная ситуация с временем загрузки страница - чем дольше грузится сайт из-за тех же проверок безопасности, тем ниже лояльность пользователя, выше их отток и ниже конверсия (если сайт что-то продает). В качестве примера возьмем сайт ФСБ. Я не знаю, как у других, но у меня главная страница грузится просто омерзительно долго и длительное время (десятки секунд) выглядит вот так:


С сайтом ФСБ, правда, ситуация с конверсией не работает, - он не зарабатывает денег и никакой альтернативы этому сайту нет. Поэтому приходится подолгу ждать отображения контента. На других же сайтах долгая загрузка приводит к потерям. Допустим сайт продает в день на 100 тысяч рублей. Всего одна секунда задержки загрузки страницы из-за проверки WAF или встроенными в сайт модулями проверки вводимых в поля форм значений приводит к годовым потерям в 2,5 миллиона рублей. 1 секунда = 2,5 миллиона рублей! А если это не 100 тысяч рублей, а столько же тысяч долларов? Потери составят уже 2,5 миллиона долларов! По статистике односекундная задержка в загрузке странице приводит к снижению конверсии на 7%, то есть к прямым потерям. И кто в такой ситуации будет положительно относиться к безопасности?

Понятно, что на конверсию влияет не только и не столько безопасность, сколько множество других параметров - дизайн страницы, навигация, контент, юзабилити, отсутствие персонализации, отсутствие призыва к действию и т.п. Но и ИБ тоже вносит свой вклад в общие потери, которые нужно учитывать и, не отказываясь от безопасности, предлагать альтернативные варианты. Как это было сделано в случае с Badoo или ASSIST. В противном случае говорить о вкладе ИБ в бизнес не приходится и лучше эту тему вообще не ставить на повестку дня - получится только хуже.

14 коммент.:

doom комментирует...

С 3D Secure может быть и обратный эффект - пользователь просто побоится делать покупку там, где нет этой технологии, понимая, что потом ничего не мешает этому непонятному мерчанту взять и обнулить его карту.

Страхи у наших советских пользователей в отношении электронных платежей настолько велики, что тут надо смотреть на 3D Secure как на метод привлечения пользователя на сайт, продающий нечто посредством электронных платежей.

Ну а в целом по статье - надо смотреть на технологии ИБ не только, как на метод минимизации потерь бизнеса, но и потерь клиента тоже - иначе он не выберет этот бизнес.

Те же системы безопасности автомобиля - они увеличивают его стоимость, не добавляя при этом какого-то удобства или ходовых характеристик... но клиент выберет безопасный автомобиль при прочих равных.

Алексей Лукацкий комментирует...

Статистика 3DS говорит, что эта технология снижает продажи. На другой чаше весов - величина риска. Она у каждого своя. Поэтому я исхожу из мысли, что обеспечение ИБ - это не всегда хорошо для бизнеса. Надо считать в каждом случае

Алексей К. комментирует...

Пример с 3D secure не очень корректный.
Убытки компании да, но кто посчитает убытки покупателей? Они в этих расчётах, думаю, практически отсутствуют. Ну может быть в виде опротестованных платежей, и то - владелец карты вероятнее всего в свой банк обратится (куда-то ушли деньги), а уж потом к продавцу. Если выяснит, к какому продавцу надо обращаться.
И даже с Аэрофлотом (и РЖД). Билет может быть оплачен моей картой на постороннего человека, никаких преград к этому нет. Пока жертва обнаружила пропажу денег, пока разобрались куда они ушли - уже давно все улетели и вернулись. Да, паспортные данные пассажира есть (а платил может быть тоже не он), тут есть о чём поговорить, но владельцу карты от этого не сильно легче.
То есть 3D secure защищает не продавца в основном, а покупателя.

Алексей Лукацкий комментирует...

Он абсолютно корректный. Прежде чем что-то внедрить бизнес считает прибыли и убытки. Прибыли у нас при 3DS сокращаются. Убытки... А их считают в каждом конкретном случае (как и прибыли кстати). Я привел пример с "Парковками Москвы". Ущерб - десятки рублей (не миллионы, не миллиарды, и даже не тысячи). Поэтому безопасность в такой ситуации только мешает.

Алексей К. комментирует...

Я согласен, бизнес учёл СВОИ убытки и прибыли. И об этом я написал.
А репутация, забота о клиенте - как это оценить? Впрочем, это больше к маркетологам :)
"Парковки Москвы" - речь идёт о заявленных суммах. Сколько просочилось мелких платежей, просто никто не знает. Видимо в массе люди предпочитают ругать Собянина, а не разбираться с небольшими суммами (думаю точно до 1000 рублей в каждом случае).

Алексей Лукацкий комментирует...

Клиент в массе своей вообще не думает о безопасности пока не столкнется с мошенничеством. Но в примерах в заметке как раз были приведены кейсы с ASSIST и Badoo, в которых 3DS была заменена на прозрачную для клиента антифрод-систему

Ronin комментирует...

Без указания методики расчетов примеры не могут быть корректными. Когда проводилось исследование, что еще могло повлиять на конверсию? Конверсия вообще весьма спорный параметр, введенный маркетологами/сеошниками для разводилова клиентов с умным видом. Реально влияет удобство пользования сайтом в плане поиска товара, его качество и цена. Когда товар уже выбран, принято решение его приобрести и нажата кнопка "оплатить", то никакой ввод дополнительного кода не остановит человека - это совершенно несуразные домыслы, а в статье предложен именно такой сценарий. А если человек уже знает, что там нужно еще 4 цифры лишние вбить и принципиально не хочет этого, то он и не пойдет на этот сайт, то есть конверсия не страдает опять же.
Ну и то же самое про пример с заторможенностью загрузки сайта на секунду, из-за которой теряют миллионы. Как это вообще получается? Если человек хочет и решил купить что-то на 100 р. в магазине, то он это там и купит, просто на 1 секунду позже - откуда потери-то?

Алексей Лукацкий комментирует...

Рост времени на одну сделку означает меньшее число сделок за год

Rich62 комментирует...

Алексей, соглашаясь с Вами "в целом", считаю, что Ваше последнее утверждение верно только при работе с одним продавцом (сделки - последовательные). Однако, на сайтах все сделки совершаются параллельно и увеличение длительности сделки на несколько секунд покупатель даже не заметит. Общее количество сделок от этого также не должно пострадать. При наличии достаточных ресурсов.

Алексей Лукацкий комментирует...

Rich62, статистика говорит о другом

Expo 2020 комментирует...
Этот комментарий был удален администратором блога.
Alpha Assignment Help комментирует...
Этот комментарий был удален администратором блога.
Academic Assignment Writing комментирует...
Этот комментарий был удален администратором блога.
Ahmad Khan комментирует...
Этот комментарий был удален администратором блога.