Проблемы в сфере защиты персональных данных при переводе банком своих услуг в онлайн

Эксперт считает, что в случае, если перевод банком своих клиентов на онлайн-обслуживание не был спланирован заранее и имеет элемент неожиданности или вынужденности из-за новых реалий рынка, то основной проблемой будет низкая зрелость самого бизнес-процесса такой услуги. Однако, даже если перевод в онлайн планировался заранее, то и в этом случае необходимо четкое описание самого процесса, а в особенности потоков персональных данных. Отсутствие предельно понятной постановки задачи приведет к тому, что банк получит неготовность подразделений ИТ и ИБ.

Также очевидно, что до принятия решения уйти в онлайн, информационные системы (а также системы защиты) банка были спроектированы таким образом, чтобы обеспечить процесс оффлайн обслуживания клиентов, - поэтому обновление программного обеспечения информационных систем (а в некоторых случаях и разработка принципиально нового) влечет за собой угрозы, связанные с наличием уязвимостей и недекларированных возможностей в программном коде, не говоря уже о необходимости применения новых способов защиты персональных данных.

И последней, но не менее важной проблемой будет являться возможная неготовность и опасения самих клиентов по безопасности дистанционных сервисов, что может повлечь снижение прибыли финансовой организации.

Несколько рекомендаций, как правильно защитить данные:

1. Любой проект по внедрению новых технологий должен носить комплексный характер: необходимо не только назначить ответственных лиц за его управление, но и составить план работ и выделить требуемые финансовые и профессиональные ресурсы и, возможно, обратиться к внешним организациям по разработке и защите новых сервисов, специалисты которых смогут сбалансировать нагрузку на ИТ и ИБ персонал банка.
2. На стадии составления требований по информационной безопасности стоит обратить внимание на обязательные к исполнению положения нормативно-методической документации, которая регулирует защиту информации в финансовых организациях, а также усилить их дополнительными мерами для минимизации рисков.
3. Помимо необходимости оценки новых и переоценке прежних рисков в связи с внедрением онлайн технологий, необходимо спроектировать и внедрить механизмы их защиты: самым уязвимым звеном в инфраструктуре финансовой организации при предоставлении онлайн услуг будет, безусловно, сайт, ДБО, а также мобильные приложения и сами пользователи.
4. Не стоит забывать и про организационную часть защиты: могут потребовать пересмотра и значительной доработки регламента по идентификации и аутентификации клиентов, а также инструкции офицеров информационной безопасности.

Помимо выполнения требований по технической защите информации и актуализации внутренних организационно-распорядительных документов, к обеспечению информационной безопасности необходимо подойти и с точки зрения пользователя: 

• Банку следует позаботиться о повышении осведомленности своих клиентов в сфере самозащиты персональных данных; 
• Повысить доступность инструкции по повышению степени защиты персональных компьютеров и мобильных устройств, которые используются для получения онлайн-услуг; предоставить возможность настройки (а ещё лучше – сделать ее обязательной) двухфакторной аутентификации с понятным алгоритмом действий, которые необходимо совершить пользователю; 
• Обеспечить чётким руководством, что делать при подозрении осуществления мошеннических действий или компрометации персональной информации.
Читайте также:

Новые возможности для развития бизнеса и противодействия мошенничеству обсудили на Технологической конференции НСПК

С помощью этих рекомендаций персональные данные пользователя будут защищены и проблемы с безопасностью должны быть решены. Банк обязан позаботиться обо всех аспектах безопасности данных клиентов для перевода своих услуг в формат “онлайна”.