Не смог не запостить еще и сюда ;-) Идет в LinkedIn дискуссия. Одна из многих. Местами жаркая. Обсуждаем, как водится, технический подход к ИБ и бизнес-подход. Доходит дело до отчета Digital Security о безопасности приложений для мобильного банкинга. И Илья Медведовский делает такое заявление: "Что касается мобилок,
то в самих мобильных банкингах масса проблем и их актуальность на
практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а
деньги уходят Пети и всего делов - и никакой конопли не нужно :).
И никакого тут FUDа впомине нет. Потому что мобильный банкинг набирает
ход по полной и при этом пока абсолютно дырявый на практике. И надо
помочь обратить на это внимание."
К технической стороне отчета у меня претензий нет; да и не может быть - я же бумажный безопасник. Но в дискуссии мы дисскутируем на тему, насколько бизнесу важны технические вопросы, уязвимости, демонстрации взломов и т.д. Я считаю, что в массе своей нафиг не нужны, а уж в отношении приложений для мобильного банкинга тем более. И поскольку мой тезис надо как-то обосновать, пришлось потратить 15 минут на подготовку аргументированного ответа. Не хочется его терять - поэтому и копирую сюда (чуть причесав).
Итак. Возможность сделать что-то, еще не означает, что это будут делать. Это проблема всех исследователей дыр. Наличие дыры не означает ее использование на практике. В ряде случаев ее вообще можно не закрывать, т.к. этот риск можно либо принять (технарям это бывает сложно понять), либо переложить на чужие плечи, например, застраховав. А может быть и такая ситуация, что хакерам вообще наплевать на найденную кем-то дыру. И происходить это может по разным причинам. Нафиг не надо, есть варианты проще, есть варианты выгоднее...
В случае с мобильными клиентами ДБО применимы все три случая. Попробую это показать в цифрах. Во-первых, надо развенчать мнение, что мобильный банкинг - это наше все и у него большое будущее. Как показало исследование рынка ДБО, проведенное AnalyticResearchGroup, мобильный банкинг в России встречается крайне редко. И то преимущественно в крупных городах. В регионах, по мнению специалистов АnalyticResearchGroup, даже кризис не подтолкнул жителей небольших городов к использованию дистанционных банковских услуг; обычных, не говоря уже о мобильных. При этом три четверти россиян не только не пользуются мобильным и интернет-банкингом, но даже не знают о существовании таких услуг. Об этом свидетельствуют результаты опроса, проведенного Фондом «Общественное мнение» (ФОМ). Постоянными пользователями услуг мобильного банкинга является всего 3% россиян. Но это же может быть именно те 3%, которым принадлежат все богатства страны?! Может. Поэтому посмотрим на распространенность мобильного банкинга применительно к объемам денежных средств, которые там циркулируют.
Работающие на российском рынке кредитные организации ориентированы, в большей степени, на корпоративный рынок. Только 30,4% из них используют системы дистанционного обслуживания физических лиц. Системы типа мобильный банк установлены только в 6,8% банков. Почему? Потому, что деньги в мобильном банкинге смешные. Всего 8.1 млрд. рублей в 2012-м году по данным J’son & Partners Consulting. Это все деньги. Из них доля денежных переводов составляет всего 30%. Т.е. на денежные переводы, о перехвате и подмене которых указывается в отчете, как основной угрозе, приходится всего 2.7 млрд.рублей. К слову, объем рынка электронных платежных систем в России в 2012-м году по оценкам J’son & Partners Consulting составляет 1811 млрд.рублей. Т.е. мобильные переводы денежных средств - это всего 0.14%. Ну если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%. Это в рамках статистической погрешности ;-) И не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов.
Я не смог быстро найти в открытом доступе объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 2012-й год. Нашел только за 1-е полугодие 2010 года. Это значение превысило 101 трлн руб. (из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга). Я не буду прикидывать, сколько этот объем составлял в 2012-м году. Допустим столько же (хотя по всем оценкам он должен быть больше). Но сделаем допущение, что столько же, т.е. 200 триллионов рублей в год. А дальше посмотрим, какова доля мобильного банкинга на фоне переводов денежных средств юрлицами через системы ДБО. 0.0013%!
Доля мобильного банкинга (а им пользуются только физики) в объеме рынка ДБО для юриков - 0.0013%! И после этого кто-то будет рассказывать о значительной угрозе мобильных приложений? Какой смысл ломать физика через мобильный телефон, когда ломая юрика можно получить на порядок-другой больше денег? Я не понимаю. Только гики будут ломать таким образом физиков со смартфонами, гоняясь за их копейками. "Нормальная" киберпреступность, входящая в состав оргпреступности, будут работать по-крупному - т.е. на рынке ДБО для юридических лиц. И эта тенденция еще долго не будет переломлена.
Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков. Но беря соотношение денег в обоих сегментах злоумышленнику по всем законам выгоднее ломать юридических лиц. Тем более, что если примут 9-ю статью ФЗ-161 в нынешней редакции и внесут поправки в ГК РФ, то мошенникам даже ломать ничего не надо - достаточно просто заявить в банк, что платеж проведен не по распоряжению клиента и банк должен будет вернуть деньги. И зачем при таком "узаконенном мошенничестве" заниматься поиском дыр и их использованием, получая дополнительные риски по ст.272 УК РФ? Никакого резона.
Вот и получается, что не умаляя технических достоинств отчета Digital Security, даже с точки зрения злоумышленников ломать приложения мобильного банкинга смысла нет. Разумеется в массовом порядке (если взломать конкретного человека, то ему будет очень неприятно). А если это угроза незначительная, то зачем вкладываться в ее нейтрализацию? Этого не будет делать разработчик ДБО (если ему на навяжут эти требования), этого не будет делать банк-покупатель таких решений (бизнес там копеечный и запускается, как правило, ради имиджа, а не заработка).
Резюмируя: с точки зрения технической тема интересная и с ней можно попробовать даже выступить на каком-нибудь Blackhat. С точки зрения бизнеса тема не стоит и выеденного яйца и в ближайшие годы ситуация не изменится. В этом и есть разница в подходах к ИБ с точки зрения технического и бизнес-взглядов.
К технической стороне отчета у меня претензий нет; да и не может быть - я же бумажный безопасник. Но в дискуссии мы дисскутируем на тему, насколько бизнесу важны технические вопросы, уязвимости, демонстрации взломов и т.д. Я считаю, что в массе своей нафиг не нужны, а уж в отношении приложений для мобильного банкинга тем более. И поскольку мой тезис надо как-то обосновать, пришлось потратить 15 минут на подготовку аргументированного ответа. Не хочется его терять - поэтому и копирую сюда (чуть причесав).
Итак. Возможность сделать что-то, еще не означает, что это будут делать. Это проблема всех исследователей дыр. Наличие дыры не означает ее использование на практике. В ряде случаев ее вообще можно не закрывать, т.к. этот риск можно либо принять (технарям это бывает сложно понять), либо переложить на чужие плечи, например, застраховав. А может быть и такая ситуация, что хакерам вообще наплевать на найденную кем-то дыру. И происходить это может по разным причинам. Нафиг не надо, есть варианты проще, есть варианты выгоднее...
В случае с мобильными клиентами ДБО применимы все три случая. Попробую это показать в цифрах. Во-первых, надо развенчать мнение, что мобильный банкинг - это наше все и у него большое будущее. Как показало исследование рынка ДБО, проведенное AnalyticResearchGroup, мобильный банкинг в России встречается крайне редко. И то преимущественно в крупных городах. В регионах, по мнению специалистов АnalyticResearchGroup, даже кризис не подтолкнул жителей небольших городов к использованию дистанционных банковских услуг; обычных, не говоря уже о мобильных. При этом три четверти россиян не только не пользуются мобильным и интернет-банкингом, но даже не знают о существовании таких услуг. Об этом свидетельствуют результаты опроса, проведенного Фондом «Общественное мнение» (ФОМ). Постоянными пользователями услуг мобильного банкинга является всего 3% россиян. Но это же может быть именно те 3%, которым принадлежат все богатства страны?! Может. Поэтому посмотрим на распространенность мобильного банкинга применительно к объемам денежных средств, которые там циркулируют.
Работающие на российском рынке кредитные организации ориентированы, в большей степени, на корпоративный рынок. Только 30,4% из них используют системы дистанционного обслуживания физических лиц. Системы типа мобильный банк установлены только в 6,8% банков. Почему? Потому, что деньги в мобильном банкинге смешные. Всего 8.1 млрд. рублей в 2012-м году по данным J’son & Partners Consulting. Это все деньги. Из них доля денежных переводов составляет всего 30%. Т.е. на денежные переводы, о перехвате и подмене которых указывается в отчете, как основной угрозе, приходится всего 2.7 млрд.рублей. К слову, объем рынка электронных платежных систем в России в 2012-м году по оценкам J’son & Partners Consulting составляет 1811 млрд.рублей. Т.е. мобильные переводы денежных средств - это всего 0.14%. Ну если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%. Это в рамках статистической погрешности ;-) И не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов.
Я не смог быстро найти в открытом доступе объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 2012-й год. Нашел только за 1-е полугодие 2010 года. Это значение превысило 101 трлн руб. (из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга). Я не буду прикидывать, сколько этот объем составлял в 2012-м году. Допустим столько же (хотя по всем оценкам он должен быть больше). Но сделаем допущение, что столько же, т.е. 200 триллионов рублей в год. А дальше посмотрим, какова доля мобильного банкинга на фоне переводов денежных средств юрлицами через системы ДБО. 0.0013%!
Доля мобильного банкинга (а им пользуются только физики) в объеме рынка ДБО для юриков - 0.0013%! И после этого кто-то будет рассказывать о значительной угрозе мобильных приложений? Какой смысл ломать физика через мобильный телефон, когда ломая юрика можно получить на порядок-другой больше денег? Я не понимаю. Только гики будут ломать таким образом физиков со смартфонами, гоняясь за их копейками. "Нормальная" киберпреступность, входящая в состав оргпреступности, будут работать по-крупному - т.е. на рынке ДБО для юридических лиц. И эта тенденция еще долго не будет переломлена.
Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков. Но беря соотношение денег в обоих сегментах злоумышленнику по всем законам выгоднее ломать юридических лиц. Тем более, что если примут 9-ю статью ФЗ-161 в нынешней редакции и внесут поправки в ГК РФ, то мошенникам даже ломать ничего не надо - достаточно просто заявить в банк, что платеж проведен не по распоряжению клиента и банк должен будет вернуть деньги. И зачем при таком "узаконенном мошенничестве" заниматься поиском дыр и их использованием, получая дополнительные риски по ст.272 УК РФ? Никакого резона.
Вот и получается, что не умаляя технических достоинств отчета Digital Security, даже с точки зрения злоумышленников ломать приложения мобильного банкинга смысла нет. Разумеется в массовом порядке (если взломать конкретного человека, то ему будет очень неприятно). А если это угроза незначительная, то зачем вкладываться в ее нейтрализацию? Этого не будет делать разработчик ДБО (если ему на навяжут эти требования), этого не будет делать банк-покупатель таких решений (бизнес там копеечный и запускается, как правило, ради имиджа, а не заработка).
Резюмируя: с точки зрения технической тема интересная и с ней можно попробовать даже выступить на каком-нибудь Blackhat. С точки зрения бизнеса тема не стоит и выеденного яйца и в ближайшие годы ситуация не изменится. В этом и есть разница в подходах к ИБ с точки зрения технического и бизнес-взглядов.
39 коммент.:
отсюда вывод - если эта проблема не интересна банкам, она должна стать интересной регулятору.
если пойти чуть дальше в таких размышлениях, то можно сделать вывод, что не надо заниматься защитой карт - оборот налички (в России, по крайней мере) в ТСП больше на порядки. Да и нет смысла защищать не только мобильный банк, да и просто интернет-банк физиков, там совсем смешные деньги по сравнению с юриками крутятся.
Вывод не правильный. Ломают не там, где доля рынка большая, а там, где ломать выгодно, т.е. расходы на взлом ниже, чем полученный доход с учётом рисков. И если мобильный банк взломать очень легко - его будут ломать, несмотря на долю рынка 0,0013% или сколько там. И будут ломать много. А это уже удар по репутаци.
Карты ломают, потому что проще и денег больше, что в мобильном банкинге
Mikhail, вывод-то вы и не увидели :). Банкам проще будет компенсировать клиентам потери от взломов, чем внедрять какие-то затратные меры по нейтрализации этой угрозы. На данном этапе.
А не стоит ли конкретному банку рассматривать свою собственную статистику для учета рисков? А урон репутации, недовольство физиков низкой безопасностью? В целом меры-то в основном будут связаны с тем, что надо трудоустроить 1-2 безопасника или внедрить практики (мб сходить на семинары/консультации/обучение) безопасного кодинга, обучить отдел тестирования тестировать также на безопасность. Варианты есть.
Rebz, не смешите.
Приложения разрабатывают отдельные компании разработчики.
Надо включать требования по ИБ в ТЗ на приложение.
Но разработать ПО для мобильного банкинга по простому ТЗ стоит 1 млн.
Разработать или доработать ПО по сложному ТЗ, включающему много требований по ИБ будет стоить 3 млн.
Вот тут банку и надо думать.
Вообще-то неблагодарная это тема - численно измерять защищенность систем.
Если в системе закрыто 99.999% потенциальных уязвимостей она защищена? Непонятно - потому что, если будет найден эффективный способ эксплуатации той 0.001% уязвимости, то этим способом все начнут пользоваться и система окажется "дырявой".
Здесь тоже самое. Рынок может и маленький, но его же развивают банки зачем-то? Значит он интересен бизнесу...
А если там будет полный швах с безопасностью (это сказать легко про компенсацию от банка - на практике это куча времени и нервов клиента) - то это рынок умрет.
Поэтому, если его все-таки развивать, то делать это надо сбалансировано - в том числе, уделяя внимание вопросам ИБ.
Сергей, ну это детали, софт пишется своими силами или отдан на откуп аутсорсерам. А вот 3 млн для банка не шибко большие деньги.
Поймал себя на мысли, что Алексей оценивает динамику в целом по России и бизнес он анализирует по такому же критерию, на сколько это достоверно? С точки зрения аналитики - все красиво написано. Конечно, все познается в сравнении, необходимо знать общую динамику (статистику) и вообще другие заложенные риски в бизнесе. Каким рискам уделять внимание - другой вопрос.
Reds, "внедрить практики (мб сходить на семинары/консультации/обучение) безопасного кодинга, обучить отдел тестирования тестировать также на безопасность." - курсы хорошие не подскажите...
"А не стоит ли конкретному банку рассматривать свою собственную статистику для учета рисков?" - за сколько лет будет эта статистика? У иностранных банков будет, а у российских? Японцы 100 летней пользовались, построили средства для борьбы с 2х (или 4х, не помню точно) метровыми волнами, а Факусиму всё ж смыло...
Алексей, МинФин хочет всех на карты перевести в 2014 вроде, думаю, это "подстегнет" и использование мобильного банкинга.
Tomas, анекдот в тему:
Пожилая графиня, услышав шум на улице, отправляет служанку узнать, что да как. Та возвращается и радостно заявляет: "Сударыня, это большевики!" "А чего они хотят?", спрашивает графиня. "Чтобы не было богатых", довольно отвечает служанка. "Да?...", задумавшись говорит графиня. "А мой дедушка боролся, чтобы не было бедных" ;-)
Это к хотению Минфина ;-)
Doom, а почему ты решил, что банки его развивают? Как раз наоборот. По всем исследованиям, в России всего 3-4 банка продвигают эту тему активно, остальные не делают ничего, рассматривая мобильный банкинг как имиджевую составляющую
Tomas, у тех же ИБ-практиков типа позитива или дсека есть обучающие курсы, на сколько мне известно. По крайне мере, рекомендации экспертов всегда можно получить + полно информации в открытом доступе, надо только понять и научиться пользоваться.
Про статистику - да в целом неважно откуда черпать информацию, это могут быть опросы, маркетинговые исследования, данные росстата и т.д. Лишь бы заинтересованность была.
2 Алексей Лукацкий
>Как раз наоборот. По всем исследованиям, в России всего 3-4 банка продвигают эту тему активно, остальные не делают ничего, рассматривая мобильный банкинг как имиджевую составляющую
1. Есть тренд на "всеобщую мобилизацию" - скоро будут смотреть как на ретрограда, если не будет поддержки мобильного банкинга
2. Цитата "Т.е. число мобильных платежей будет очевидно расти. И расти оно может быть даже быстрее, чем объемы средств, переводимых через ДБО для юриков." - из этого я делаю вывод, что изыскания все же показали развитие рынка.
Вот если iPad'ы и прочие BYOD'ы выйдут из моды, тогда да - сомнительна будет судьба мобильного банкинга, а пока я вижу явный тренд в его сторону, причем сейчас, с точки зрения ИБ, делается все криво (типа одноразовго ключа, высылаемого SMS на тот же самый телефон).
Rebz, заинтересованности нет, так как денег в сегменте нет
Doom, я написал "может быть даже" ;-) Я взял оптимистический сценарий
И что, предлагается не обращать внимания на мобильную безопасность до тех пор, пока мобильный банкинг через несколько лет не станет релевантен на финансовой карте в России? А как же "готовь сани летом"?
Сани готовят летом, если на них будут ездить и ездить этой зимой, а не через 5 лет ;-)
Вообще на такие вещи надо смотреть не ретроспективно, а перспективно, У циско есть отчет, уверен, ты его знаешь, где прогнозируется рост мобильного трафика в России в 30 раз к 2015 году. А уже сейчас рост составляет около 50% каждый год.
Ну а где мобильники, там и услуги. Это не то же самое, что банкинг из браузера. Во всех странах всплеск мобильного банкинга был лавинообразен - также будет и у нас. Просто позже, как обычно.
Банковское ПО, в тч мобильное, ничем не отличается от любого другого. 5 лет - отличный срок, чтобы выстроить у себя SDLC и код ревью ;) как раз к росту рынка.
Так что дсек с отчетом совсем не поторопился, я думаю
>А как же "готовь сани летом"?
На это можно ответить "везде солому не подложишь"
Бизнес должен быть готов оперативно отреагировать на новый вызов, но вовсе не обязан реагировать заранее.
Поэтому, все же, тут основной вопрос - "взлетит - не взлетит".
Алексей считает, что мобильный банкинг умрет, не родившись.
Мне кажется, что лет через 5 это будет весьма заметный кусок рынка.
Ну, думать, что мобильный банкинг не выстрелит - более чем наивно. В России, как и в цивилизованных странах, наблюдается сильный рост именно мобильного трафика, а не продаж мобил - это вам не Индия какая-нибудь.
> Бизнес должен быть готов оперативно отреагировать на новый вызов, но вовсе не обязан реагировать заранее.
А кто вообще говорит про value для бизнеса "райт факинг нау?" У Дсеков - совершенно не бизнесовое, а техническое исследование. Это исследование скорее нужно не бизнесу, а вендорам мобильных приложений, ведь мало какие финансовые институты пишут софт сами, обычно все аутсорсят.
"Вызов для бизнеса", как вы говорите, будет через те самые пять или раньше лет, и будет он - найти самое дешевое и надежное решение.
Вот те вендоры, кто сейчас взращивают SDLC, code review, вот
это все, будут лидерами рынка, когда банки вдруг будут отрывать с руками более дешевые и надежные решения. Безопасность ведь не рождается с нуля за месяц.
А это будет, мне кажется. Никакого "особого пути" тут у России нет, просто мы отстаем лет на пять.
>Это исследование скорее нужно не бизнесу, а вендорам мобильных приложений
А вендоры мобильных приложений это не бизнес что ли? У нас как раз разработчики клали болт на безопасность, так как пока их бизнес не видит в этом профита (хоть тенденции и есть).
>Вот те вендоры, кто сейчас взращивают SDLC, code review, вот
это все, будут лидерами рынка, когда банки вдруг будут отрывать с руками более дешевые и надежные решения. Безопасность ведь не рождается с нуля за месяц.
Безопасность не рождается с нуля за месяц - это факт.
И никто из значимых игроков рынка не будет делать ничего сильно заранее - это тоже факт. Потому что надо тратить существенные усилия с пока непонятным результатом - инвестиционные риски.
А могут ли работы, типа упоминаемого исследования повлиять на мнение бизнеса? Возможно. Я думаю, что вода камень точит - интерес к теме надо раздувать иначе точно ничего не будет.
Doom, я так не считаю. Мобильный банкинг будет. Я писал о том, что вывод о серьезности проблем в мобильных приложениях сильно преувеличен. Всего навсего. И это не то, чем надо заниматься в первую очередь ;-)
Toxa, я же не спорю ;-) Если ты видел продолжение дискуссии в LI, то я не имею претензий к отчету. Я придираюсь к словам Ильи, что этот отчет позволит зацепить топов. Вот и все ;-)
Евгений, вы про то, что пользователей мобильного банка мало и даже если они постоянно будет потерпевшими, банку ничего не будет стоить компенсировать им убытки? В принципе да, банки от этого не разорятся. Вот только зачем им такая услуга, почти не приносящая дохода (рынок то мал), зато кучу расходов?
Алексей, то есть вы всё же соглашаетесь с тем, что ломают не то, где большой рынок, а то, что легко сломать?
Я смотрю у вас тут не скучно без меня и все уже сказано :).
Моя фраза была в ответ на реплику:
"А если смотреть совсем уж профессионально, то окажется, что пытаться украсть что-то через уязвимое мобильное приложение будет только какой-нибудь гик под коноплей".
Ну это так, чтобы понимать :).
Буду краток.
1. http://www.cnews.ru/news/line/index.shtml?2013/03/12/522150
2. На PCI DSS Russia мейл.ру сообщили, что сейчас объем мобильного трафика составляет уже 25%
3. Прогресс не остановить
4. Слабая защищенность моб. приложений говорит о том, что украть деньги легко. А хакеры всегда выбирают самые легкие пути.
5. Вне зависимости от объема платежей, как только банк запускает мобильный банкинг он несет, как минимум, огромные репутационные риски, которые на порядки превышают копейки, которые он может потратить на его безопасность и которые на порядок меньше стоимости внедрения самого мобильного банкинга и его годовой поддержки. Это как зубная паста, которая стоит на порядки меньше стоимости зубного врача.
И еще важный момент. Не стоит путать тяжелые интеграторские решения, требующие серьезного обоснования, с аудитом, который сегодня на практике является единственным (!) для банка способом оценить защищенность своего ДБО (не важно какого) и ткнуть производителей носом в баги, который тот должен просто исправить и всего делов - вот и все затраты, которые снизят риски ДБО на >95%. А уж потом, при желании, можно пошаманить с WAF и тд.
Ну ты бы постеснялся тут такие доводы приводить. Мы ж не технари, нас этот булшит не проймет. По пунктам:
1. Объем рынка мобильных приложений это совсем не то, что объем мобильного банкинга. Деньги, зарабатываемые на продаже приложений, и деньги, переводимые через мобильные приложений - это две очень больших разницы.
2. Я могу сообщить прогноз роста мобильного трафика до 2020 года. Только причем тут мобильный банкинг? Особенно в контексте Мейл.ру. Ты лучше приведи цифры роста объемов денежных средств, переводимых через мобильный банкинг.
3. О, да ;-) Это очень обоснованное заявление ;-)
4. Еще раз. Мошеннику проще заявить, что он не переводил средства и банк по ст.9 ФЗ-161 и проекту ГК РФ будет обязан вернуть ему деньги. На ЗАКОННЫХ основаниях. И ломать ничего не надо, подставляясь под ст.272 УК.
5. С цифрами можно показать мне репутационные риски? Прежде чем делать такие заявления, ты бы посмотрел исследования либо J'son либо ARG, в которых написано, что для большинства банков мобильный банкинг - это как "надо сделать, чтобы все думали, какие мы крутые". Не более, чем для имиджа инновационного банка. Реально мобильный банкинг продвигает всего 3-4 банка в России; из 950+.
Про последний абзац вообще молчу ;-)
Я не вижу смысла спорить - ни о чем с точки зрения практики ;).
Очевидно, что любое внедрение любой новой технологии и системы, которую ты выставил в инет, требует в любом случае решения вопросов с ее безопасностью. Особенно, если ты банк и это платежная система. Но каждый волен действовать как хочет и защищать что и как хочет и обосновывать свое действие или бездействие любым способом :). Можно ждать пока там появятся больше деньги, можно не ждать. Каждому свое. А аргументы за то или иное действие или бездействие можно найти всегда.
Блекхаты всех рассудят :).
И время покажет что будет с моб банкингом. Про ДБО вначале говорили также :). Прогресс не остановить.
И у нас нет задачи кого-то в чем-то здесь убеждать или разубеждать - это бессмысленно. У нас сугубо технический отчет, как тут верно заметили.
А умные люди делают вывод сами. Какой? А каждый свой.
И я бы еще добавил следующий афоризм, не знаю существует он или нет, но он сейчас пришел мне в голову:
"Очень легко найти 100 аргументов для бездействия; и очень сложно найти хотя бы один для действия".
Это очень точно описывает всю подоплеку данного обсуждения, потому что бездействие сидит в самой природе человека. "Пока петух не клюнет ..." и тд.
И еще раз по поводу "Очевидно, что любое внедрение любой новой технологии и системы, которую ты выставил в инет, требует в любом случае решения вопросов с ее безопасностью". Это очевидно только технарям. С точки зрения анализа рисков, сначала надо оценить потенциальный ушерб, а уж потом думать о защите. Пример того же ib-bank.ru очень ярко иллюстрирует этот довод. Но тебе его уже приводили столько раз, что даже как-то и неудобно вновь его вспоминать.
Пишите еще отчеты - обсудим ;-)
Вырвать из контекста конечно можно, но есть ли смысл, брат ... :)
"Очевидно, что любое внедрение любой новой технологии и системы, которую ты выставил в инет, требует в любом случае решения вопросов с ее безопасностью. Особенно, если ты банк и это платежная система."
А что касается иб-банк, кстати, то когда я читал ваше умное, научное и очень правильное (в теории) бизнес-рисковое обсуждение (которое, в целом, то верное на самом деле - тут глупо спорить), веришь, реально плакал, детально зная истинную ситуацию :))).
И я тогда тоже приведу в очередной раз один довод, который также просто ну неудобно даже вновь вспоминать :).
"Никогда не будь категоричным"(С) Конфуций
Можно, я тоже в наброс добавлю, с маркетинговой стороны?
Мобильный банкинг сейчас ничтожен как бизнес, он может вырастет, а может и нет: может быть, именно эту ступеньку к прогрессу, который не остановить, можно будет перепрыгнуть. Перепрыгнули же в свое время wap-технологии. Вдруг какой-то новый, встроенный в OS инструмент появится и не придется приложения на коленке под разные телефоны писать.
Большинство больших банков выжидает, своих мобильных приложений не выпуская совсем или выпускает мобильные приложения без возможности платить - только смотреть состояние и получать уведомления. Я сам именно таким и пользуюсь.
Стоимость выхода на рынок мобильно банкинга соизмерима со стоимостью не самого дорогого внедрожника, поэтому когда и если банки решат, что пора - все там будем. Добавят еще по внедорожнику для Ильи- и все будет мегабезопасно. Для банка первой сотни - ваще не деньги. Так что на исследование банкам должно быть и правда, фиолетово.
А вот кого должно напрячь исследование, так это разработчиков. Исследование четко говорит, что надо двигать безопасность как конкурентное преимущество, делать не приложение, а безопасную платформу для тиражирования заказных платежных приложений. Чтобы принять все заказы от банков первой сотни, когда и если мобильный банкинг взлетит. И потом принести эту платформу Илье и попросить написать про них хорошо.
Я бы на месте Ильи, раз он столбит за собой эту тему, придумал бы штамп: "Approved by DS" 1-й, 2-й и 3-й степени, за который бы боролись разработчики. Как Ашманов рейтингует поисковики, а Вирус Бюллютень - антивирусы.
Время покажет.
>> А вот кого должно напрячь исследование, так это разработчиков. Исследование четко говорит, что надо двигать безопасность как конкурентное преимущество
боюсь, что для "не-технарей" это не сработает. в плане интернет-банков сейчас тренд не на надежную и безопасную систему, а на рюшечки. Пофиг на функционал, пофиг на безопасность, пофиг на доступность сервиса. Главное, чтобы были красивые виджеты, пусть даже они показывают неверную информацию. И этот тренд поддерживают "эксперты". на банки.ру была очень забавная дискуссия по этому поводу.
Мне страшно от таких тенденций, правда, страшно. Обращаясь в банк, я в первую очередь полагаю, что в этой организации мои деньги будут в безопасности. И используя мобильный банк, как сервис банка, я думаю, что банк принял все необходимые меры, чтобы я безопасно мог использовать этот сервис.
Спасение утопающих...
утопающие - это банки, теряющие клиентов?
не надо советовать банкам выкидывать на рынок дырявые продукты. Даже если этот рынок - 0,0013%. Намного полезнее для репутации не предлагать такой продукт вовсе.
Разговор слепого с глухим :)
Полагаю, важное замечание, которое мало кто заметил - это стоимость защиты против величины потерь в денежном эквиваленте. Или в любых других идентичных единицах. Пока первое больше второго - никто не убедит кредитные организации делать свой мобильный банкинг безопаснее. Основа бизнеса - деньги делать, а не тратить их на защиту непонятно чего от непонятно кого.
Про сани тож понравилось )) Но тут уж каждый [банк] выбирает для себя.
Технологии меняются, становятся разнообразнее, и защищаться от того, что завтра будет неактуально/неинтересно/не пользуется популярностью - попахивает паранойей.
в каждой крупной организации есть ген и финансовый директора, который принимают решение в каком банке обслуживать свои счета.
давайте посмотрим на ситуацию, когда у такого частного лица есть карта в условном банке на букву А, В и С. с этой карты украли деньги.
станет ли юр лицо в таком случае продолжать обслуживать свой счет на 100 млн, если с карты украли 1000 уе?
Отправить комментарий