В Штатах прямо сейчас происходит одно знаменательное событие. Клиенты банка, павшие жертвой фишинга и потерявшие на этом $26,000, получили возможность подать в суд... на банк. Суть претензий: отсутствие у банка надлежащих средств обеспечения информационной безопасности. Интернет-банкинг ответчика предоставляет доступ к управлению счетом по логину и паролю.
Это тот случай, когда на лицо прелести свободной конкуренции. Судья, вынесший решение о правомерности подобных претензий, пользуется Интернет-банкингом, использующим средства двухфакторной аутентификации. То есть, сработал механизм "а как у других?"
Чем интересен данный иск? Естественно, прецедентом, который может быть создан в случае вынесения решения в пользу истца. В таком случае, дальнейшее развитие информационной безопасности в частном секторе может круто изменить курс на более клиенто-ориентированный, чем тот, которого все придерживаются в настоящее время. Вмешательство регулятора (в данном случае закона) в неравенство между взглядами экспертов и их боссов на проблемы ИБ (и в частности фишинг) может пойти на пользу. И вот почему.
Допустим, как в приведенном примере, худшее уже случилось, и кто-то (в нашем случае клиент) потерял деньги. Возникает вопрос, кто виноват? Возможно, клиент, но только в том случае, если банк предоставил ему все надлежащие средства безопасного использования системы Интернет-банкинг, а клиент ими не воспользовался. Или же виноват банк, если таковых средств у него нет, а о возникающих из-за этого рисках он клиента не оповестил. Или даже заверил в том, что рисков просто не существует: мол, мы безопасны как Форт Нокс, и никакие там хакеры нам не страшны. В первом случае клиент, а во втором банк, нарушают т.н. принцип "надлежащего усердия" (в оригинале due diligence или due care). Принцип состоит в том, что соблюдая некие стандарты обеспечения информационной безопасности (или, если выйти за пределы контекста, других комплексов мероприятий), компания снимает с себя долю ответственности в случае возникновения инцидента. Ну например, если банк выполняет требования стандарта PCI:DSS и этот факт документально подтвержден авторизованными QSA, то в случае утечки из банка номеров кредиток, убытки держателей карт компенсирует PCI-консорциум (VISA, MasterCard, AmEx etc), а не банк-жертва. То есть, банк сделал все от него зависящее: удовлетворил стандарт PCI. И если что-то все-таки пошло не так, то это не его вина, а наверное стандарт неправильный. Непреодолимая сила, короче.
PCI хорош, но только там, где без него вообще ничего не было бы. Плюс, это лишь стандарт отдельно взятой индустрии - процессинга пластиковых карт. А закон - есть закон. И если ответственность за невыполнение хороших практик информационной безопасности будет установлена в суде, то нашим империалистическим друзьям можно будет только позавидовать.
В Украине я пока встречал двухфакторную аутентификацию Интернет-бакнкинга только в ОТП-банке. Кто-то видел еще где-то? Буду рад комментам.
Ссылка на новостьоб иске.
Еще в этом блоге о мультифакторной аутентификации.
