Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.
Миф: для сотрудника банка слив клиентской базы — простейшая операция
На практике все не так просто, как кажется. Внутренние системы банка построены с учетом защиты клиентской информации — это определяют приказы регулятора. При этом в крупнейших банках, по крайней мере в ТОП-10, используется не какой-то единственный инструмент, а всесторонний подход, сложная многоступенчатая защита. Клиентские данные защищены сразу несколькими средствами.
Доступ к данным организован по ролевой модели. То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей. Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт. Ролевая модель учитывается во всех операциях, вплоть до сборки back-офисом консолидированных отчетов — сотрудники просто не видят отчеты, которые «не положены» им по должностным обязанностям.
Помогли поставщику взыскать 15 млн рублей со своего клиента. Бизнес и налоги
Информацию, к которой сотрудник по должности все-таки имеет доступ, нельзя просто так скопировать.
Во-первых, о запросе информации моментально станет известно. Весь доступ к данным журналируется. Фиксируются даже запросы администраторов и суперпользователей. Кстати, рабочие места тех, кто связан с настройкой системы, контролируются еще и внешним оборудованием — так всегда можно узнать, зачем администратор заходил в систему.
Во-вторых, результаты запроса не «вынести». Все рабочие станции защищены от создания скриншотов и оборудованы системой контроля периферийных портов, которая блокирует подключение любого стороннего устройства и отслеживает копирование на незаблокированные. Данные даже на печать нельзя отправить без разрешения и внешнего контроля.
Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности. К сожалению, их уровень зрелости защиты информации ниже. Понимая, что это дыра в системе безопасности, банки зачастую выдают подрядчикам доступ к синтетическим или обезличенным данным, нарушение конфиденциальности которых не приведет к наступлению финансовых рисков для банка.
Миф: легальные сотрудники вне игры, но есть же хакеры
Банковские системы действительно постоянно атакуют извне. В первую очередь это касается фронт-офиса, доступного через интернет: порталов, мобильных приложений, систем электронного диалога между банками и клиентами, клиентов для дистанционного обслуживания. Доля атак на внутренние системы (бэк-офис) составляет не более десятой процента.
Цель атаки — получение дохода прямым или косвенным путем (например, через продажу данных). При этом атакующий может работать не один, а в хакерской группировке, где участники подобраны по необходимым навыкам. Члены такой группы могут даже не знать друг друга лично, отыгрывая четко прописанную роль.
Работающие инструменты маркетинга. Верни Своего клиента! И еще кое что от самого сердца ❤️
Банки научились сражаться и с такой организованной преступностью. Каждый из компонентов банковской инфраструктуры защищен по-своему. Применяются и антивирусы, и средства защиты от всплывающих окон или удаленного доступа на рабочих местах сотрудников, и анти-DDoS, и системы выявления инцидентов внешними путями, и масса других инструментов.
Идеальных систем не существует. Я готов спорить, что в любой лучшей системе безопасности можно найти бреши. Но сегодня инфраструктура российских банков настолько развита, что взлом их систем будет стоить дороже, чем доход от этого мероприятия
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Атаки на фронт-офис всегда реализуются через клиентские профили, поэтому противодействовать преступникам помогает выявление аномалий в поведении клиентов. Так можно заметить взлом еще до того, как о нем сообщит клиент.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.
В нашем банке и у целого ряда крупных коллег созданы Ситуационные центры по информационной безопасности. Кстати, мы одни из первых, кто в России в 2009 году перешел на риск-ориентированный подход и внедрил выявление, анализ и противодействие инцидентам. В нашем ситуационном центре 24 часа в сутки 7 дней в неделю работает более 40 человек. Все это эксперты по безопасности с опытом в отрасли более 10 лет
Для разбора сложных ситуаций привлекаются эксперты профильных подразделений.
Миф: вы отлично рассказываете, но на черном рынке полно клиентских баз российских банков!
Наша практика показывает обратное. Большая часть «товара» — фейк. Привлекая подрядчика, который занимается киберразведкой, мы выходили на диалог со злоумышленниками, предлагавшими базы данных наших клиентов. Контрольная закупка показала, что данные там не скопированы с наших систем, а сформированы на основе информации из открытых источников.
К примеру, юрлицо размещает на сайте реквизиты: номер счета, наименование банка и так далее. Используя их, злоумышленники формируют некую фальсифицированную запись. В ней клиент, счет и расчетные реквизиты — реальные, а движение средств и остатки по счетам — нет. Для физических лиц аналогичные базы можно сформировать на основе интерфейсов систем быстрых платежей. Перебирая номера телефона, можно посмотреть, является ли физическое лицо клиентом нашего банка. Это известный кейс
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Ситуационный центр расследует десятки тысяч сообщений в год, и лишь несколько из них касаются утечек информации. Зачастую это ложное срабатывание — предупреждение о том, что сотрудник скопировал некую информацию. Это могут быть даже синтетические данные, подготовленные для работы подрядчиков. Однако сигнал о подозрительном поведении обрабатывается в любом случае совместно с руководителем сотрудника, который выполнил копирование. Такое расследование помогает обучать систему.
Миф: SMS-сообщения, которые банки используют для уведомлений и подтверждения операций, недостаточно защищены. Это дыра в безопасности платежей по банковским картам?
Использование SIM-карты в качестве инструмента для двухфакторной авторизации действительно открывает мошенникам возможность вывести деньги клиента без его ведома. Для этого надо заменить или копировать привязанную к счету SIM-карту, чтобы перенаправить на себя SMS с подтверждением вывода клиентских денег.
Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами. Крупные банки и крупные же операторы заключили соглашения, что при замене данных клиента — номера телефона, IMEI устройства, уникальных идентификаторов SIM-карты — оператор оповещает банк. Получая такое уведомление, банк связывается с клиентом, чтобы проверить, все ли хорошо. Одни банки звонят через call-центр, другие присылают push-уведомления в нативное мобильное приложение. Незаметно подменить SIM-карту не получится.
У каждого банка действуют ограничения на операции после замены SIM-карты. У одних банков это часы, у других — день-два. Так что сделать все максимально быстро у злоумышленников уже не выходит.
Замена SIM-карты не типовая операция, поэтому в целом на клиентском сервисе это отражается не сильно.
Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере — так организован перехват угроз еще на стадии виртуальных машин. Отказоустойчивость реализована на каждой площадке, плюс катастрофоустойчивость.
В последнее время банки стараются переводить этот риск в разряд страхового. Другие же перекладывают ответственность на сторону мобильного оператора. Заключенное с ним соглашение подразумевает, что именно оператор обеспечивает проверку абонента — мошенник это или нет. Использование того или иного подхода зависит от региона работы
Миф: есть масса способов украсть данные карты, чтобы вывести деньги через покупки в интернете. Деньги потом не вернуть!
Действительно, мошенники разработали массу способов получения данных карт. Но банки пытаются защитить клиента, даже если данные карты утекли в интернет по его вине.
Все крупные банки поддерживают технологию 3D Secure. Конечно, для мошеннических операций без присутствия карты выбираются банки (и подключенные к ним магазины), которые ее не поддерживают. Но по условиям платежных систем ответственность за проведение подобных операций берут на себя именно эти банки. Это схема reliability shift, которая определяет, что деньги при этом теряет банк, не поддерживающий защиту.
Также банки развивают системы антифрода. Базовые требования к ним определяют операторы платежных систем и закон о противодействии легализации денежных средств, полученных преступным путем.
Как защитить своего клиента в бизнесе
Согласно статьям 18 и 22 Закона «О защите прав потребителей», продавец обязан после получения претензии от потребителя в течение 10 дней вернуть деньги за некачественный товар.
Спустя 10 дней после получения претензии на каждый день просрочки начисляется неустойка в размере 1% от суммы требования. Также продавец уплачивает штраф в размере 50% от стоимости присужденной потребителю компенсации.
Иногда потребитель, столкнувшись с дефектом товара, решает выжать из ситуации максимум выгоды и получить как можно большую неустойку.
Пример 1. После того как купленный айфон перестал включаться, Б. направил претензию продавцу. Сам айфон не предоставил. Магазин не ответил, Б. провел экспертизу и обратился в суд.
В результате отсутствие ответа на претензию стоило продавцу, помимо возврата стоимости айфона, еще почти 70 тысяч рублей, которые он выплатил в виде неустойки, штрафа, компенсации морального вреда и возмещения расходов истца. (Апелляционное определение от 14 сентября 2016 г. по делу N 33-7035).
E-Com Heroes: бесплатное закрытое сообщество русскоязычных предпринимателей, которые хотят запустить или развивать зарубежный e-com-бизнес. Подать заявку
Продавцу следует оперативно отвечать на претензии покупателей — лучше по почте — и сохранять подтверждающие документы.
Х. подал в суд на магазин, обнаружив дефект в новом айфоне, — предварительно он направил претензию продавцу и сам провел экспертизу. Продавец в суде доказал, что направлял ответ на претензию по указанному в ней адресу, но письмо не было получено адресатом.
В результате суд взыскал с продавца только стоимость некачественного товара, стоимость экспертизы, 43 рубля почтовых расходов и 500 рублей морального вреда. Надежды покупателя на крупную компенсацию морального вреда и крупную неустойку не оправдались. (Апелляционное определение от 29 августа 2017 г. по делу N 33-6444).
Иногда потребители ради выигрыша в суде готовы идти на подлог.
Пример 2. А. подала в суд на производителя и продавца автомобиля. Она утверждала, что система безопасности не сработала, из-за чего она получила травмы во время ДТП. Но экспертиза выявила, что А. превысила скорость, была не пристегнута, а система безопасности автомобиля исправна. Экспертное заключение, которое подтверждало правоту А., было выполнено ее знакомым — суд не принял его. (Кассационное определение от 24 ноября 2017 г. N 4г/2-13865/17).
В случае, когда есть претензия, но товар не предоставлен продавцу, а тот со своей стороны направил ответ потребителю на претензию, где запросил товар для проведения экспертизы и выразил готовность вернуть деньги, если брак подтвердится, суд, как правило, принимает решение об отказе во взыскании неустойки и штрафа.
Эльвира Иванова, юрист
А вот классический случай манипуляций клиента, в результате которых компании грозят убытки, почти в 30 раз превышающие сумму, уплаченную покупателем. Впрочем, у нее есть все шансы отделаться возвратом предоплаты.
Негативные отзывы
Плохие отзывы в соцсетях и на сервисах-отзовиках используются как с целью шантажа, так и для привлечения внимания к самому клиенту.
90% отзывов в сети — эмоциональная неконструктивная чушь. Зная, что его видят другие пользователи, человек подсознательно начинает работать на них. Помните: какими бы пространными и эмоциональными ни были вопрос или претензия, реагировать надо только на суть. Общайтесь и разговаривайте наравне. Клиент ответит агрессией на агрессию.
Как только вы это поймете, то будет легче всем. Не кормите троллей. Их цель — внимание. Если вы видите тролля — «включайте игнор». Человек поймет, что не достигает цели (его не замечают) и уйдет.
И да, забудьте про старую фразу «Клиент всегда прав».
Андрей Фрольченков, Head of SMM https://rb.ru/opinion/klient-ne-vsegda-prav/» target=»_blank»]rb.ru[/mask_link]
Что такое потребительский терроризм и экстремизм: всегда ли клиент прав, и как защитить репутацию компании.
Нажимая кнопку, я принимаю условия публичной оферты и даю свое согласие на обработку персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года, на условиях и для целей, определенных в Согласии на обработку персональных данных.
Оставьте заявку
Для приглашения в тендер, пожалуйста, оставьте свои контактные данные, чтобы мы могли с Вами связаться
Нажимая кнопку, я принимаю условия публичной оферты и даю свое согласие на обработку персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года, на условиях и для целей, определенных в Согласии на обработку персональных данных.
План статьи
- Что такое потребительский терроризм?
- Какие сферы в зоне риска?
- Как действовать в такой ситуации, примеры
- Как бизнесу бороться с потребительским терроризмом?
- Алгоритм действий, если вы столкнулись с репутационным шантажом
- Методичка по борьбе за сильную репутацию в Интернете
- С терроризмом бороться нужно, но нужно бороться правильно
«Клиент всегда прав!» – главное правило бизнеса. Но иногда потребитель злоупотребляет своими правами и от этого страдает предприниматель. Что делать в такой ситуации и как бороться с потребительским терроризмом, расскажем в нашей статье.
Что такое потребительский терроризм?
Потребительский терроризм – это недобросовестные действия клиентов против компании, чьими услугами они воспользовались.
Используя закон РФ N 2300-1 «О защите прав потребителей» человек получает от исполнителя финансовую или другую компенсацию за малозначимые нарушения или вообще за отсутствие таковых.
Чтобы бороться с потребительским терроризмом, в статью «О защите прав потребителей» в 2019 году были внесены правки, помогающие защитить бизнес от необоснованных атак клиентов. Теперь часть денежной компенсации будет выплачиваться не истцу, а государству. По мнению правительства, в таком случае в суд будут обращаться только те люди, чьи права были нарушены, а не ради выгоды.
Первые случаи потребительского экстремизма: когда и почему он появился?
Впервые о потребительском терроризме заговорили в 1992 году. Пожилая женщина заказала в «McDonald’s» чашку кофе. Напиток был очень горячим, и она получила ожог третьей степени. Компания предложила 800$ компенсации, за это Стелла Либек подала на компанию в суд и выиграла дело, получив компенсация в 640 тысяч долларов!
Когда появились первые случаи в России сказать сложно. Многие эксперты считают, что в 90-тые годы, когда открылись юридические организации, защищающие права клиентов. Если брать более свежую статистику, то в 2018 году Роспотребнадзор получить около 3265 тысяч обращений от неудовлетворенных потребителей. Больше 50% из них связаны с нарушениями в договорах и других правовых документах. Примерно такое же количество обращений поступало в период с 2015 по 2017 году.
Главной причиной появления экстремизма со стороны потребителей эксперты видят в несформированной системе взаимоотношений между клиентом и продавцом. У многих до сих пор жив в памяти образ женщины за прилавком из советского гастронома, которая хамит покупателям. В постсоветское время появился утверждение: «Клиент всегда прав!», которое и стало «детонатором» для появления клиентов-«террористов».
Какие категории бизнеса чаще всего подвержены атакам потребителей?
В «группе повышенного риска» находятся две категории бизнеса:
- Сфера обслуживания (отели, салоны красоты, частные медицинские кабинеты, рестораны и так далее);
С потребительским экстремизмом могут столкнуться практически все ниши, например, банковская сфера. Руководитель отдела коммуникации с клиентами «Альфа-банка» рассказал о клиенте, который находил мелкие недочеты в работе банковских сервисов и обращался на горячую линию, сообщая о проблемах. А после просил компенсацию за свои труды: фирменную кружку, флешку или другую мелочь.
Приведем в пример еще один случай со строительной фирмой. Подрядчик закончил ремонт в квартире, когда клиент отсутствовал в городе. Акт сдачи проекта подписала его жена в виду отсутствия нанимателя. Через пару месяцев фирма получила повестку в суд.
Истец жаловался, что работа была выполнена некачественно, а подпись жены недействительна, так как на смете расписывался клиент, который и считается заказчиком. По решению суда компания выплатила компенсацию в несколько раз больше, чем сумма выполненных работ.
Как действовать в ситуации потребительского экстремизма: примеры Gett, iGooods и Aliexpress
Одним из последних проявлений потребительского терроризма можно считать скандал с «Gett». Директор креативного агентства «MDK» Мария Вылегжанина-Донская заявила, что один из таксистов службу «Gett» пытался ее изнасиловать. Об этом она написала в своем аккаунте в соц.сети и приложила фото синяков, которые выступали фактом нападения.
Ситуация разрешилась в пользу компании, когда таксист предоставил доказательства своей невиновности – видео, снятое во время поездки. На нем зафиксировано, что клиентка вела себя неадекватно, оскорбляла водителя.
Сотрудники «Gett» пытались связаться с Марией, но ответа не получали. А затем выложили видео с камер машины в открытый доступ. На данный момент оригинальный ролик был удален, но контент репостнули много пользователей в «ВКонтакте» и «Facebook».
В свою очередь один из основателей MDK Роберто Панчвидзе осудил действия главы «Gett» Анатолия Сморгонского, выложившего видеоролик в сеть, но при этом подчеркнул, что не поддерживает действия сотрудницы.
На что Сморгонский ответил так:
Его поддержали многие пользователи и другие бизнесмены, например, представитель компании «Ситимобил»:
Руководитель «iGooods» Григорий Кунис считает, что лучшая защита от потребительского экстремизма – это попробовать договориться с клиентом. Компания часто меняла продукцию за свой счет. Один из ярких примеров: покупатели жаловались на качество доставляемых арбузов, считая их невкусными и незрелыми. Фирме пришлось заменить большое количество товаров, а потом и вовсе приостановить доставку.
iGooods дорожит каждым клиентом, так как бизнес относится к низкомаржинальным. Им приходится часто довозить товары, которые клиенты забыли положить в «Корзину». За счет такой политики компании удается минимизировать количество негативных отзывов в свою сторону и попыток вымогать компенсацию за доставку некачественной продукции в суде.
Продавцы Aliexpress часто сталкивается со случаями потребительского терроризма. Даже незначительная царапина на поверхности товара может стать причиной для требования о возврате средств. Но нередко покупатели сами портят продукцию, чтобы получить компенсацию, но при этом оставляя покупку себе.
Бывают и совсем нелепые случаи, например, когда клиент заявил, что вместо своего заказа получил дрова и газеты. В качестве доказательства прикрепил фото посылки. Фотография была отличного качества, и на изображении четко видно, что газета из Воронежа – города, где проживает покупатель, а товар отправляли из Москвы. Была хорошо видна и более поздняя дата издания, хотя заказ поступил на почту раньше. В этом случае Aliexpress встал на сторону продавца.
Как бизнесу бороться с потребительским терроризмом?
Рассмотрим способы борьбы с терроризмом в современном мире.
Обеспечьте себе прочную правовую базу
При открытии бизнеса, проработайте все этапы взаимодействия с потребителем. Избегайте неоднозначных утверждений, которые могут быть использованы в суде против вас. Например, всегда указывайте точную дату выполнения договора, вместо слов «своевременно» или «в кратчайшие сроки». Также стоит включать в договор ссылки на правовые нормы, чтобы в случае претензий вы могли на них ссылаться.
Случаи потребительского экстремизма в судебной практике часто связаны с ошибками или недочетами в договорах. Чтобы перестраховаться, разработайте свой регламент управления компанией, договора с клиентом, учитывая специфику бизнеса.
Вы можете попросить потенциального клиента подписать документ, подтверждающий, что он ознакомился с инструкцией или отказался от консультации специалиста. Это станет вашей страховкой в случае иска.
Обеспечьте безопасность потребителю
Поводом подать на вас в суд может стать сколький после мытья пол или неправильная эксплуатация продукции. Установите предупреждающие знаки и таблички: «Осторожно – сколько!» или «Осторожно – стеклянная дверь!». Чтобы снизить риск несчастных случаев прописывайте все нюансы эксплуатации продукции, даже если они кажутся очевидными. Например, надпись на тюбике зубной пасты: «Не глотать!».
Будьте вежливыми в диалоге с покупателем
На любой негатив со стороны клиента нужно отвечать вежливо. Всегда оставайтесь профессионалом для любого потребителя.
Заранее разработайте алгоритмы действий для сотрудников, работающих с клиентами.
Для этого привлекаются специалистов, которые создадут скрипты диалога с потребителем и Tone of Voice бренда.
Это поможет грамотно осуществлять комьюнити-менеджмент. Чтобы действовать более эффективно в будущем, нужно разбирать с компанией причины, методы решений и итоги споров для проведения работы над ошибками.
Обезопасьте себя в онлайн-пространстве
Уведомляйте посетителей сайта, что вы обрабатываете их персональные данные и cookie.
Публикуйте дисклеймеры – отказ от ответственности. Например, пометка к косметическим препаратам или БАДам: «Есть противопоказания. Требуется предварительная консультация специалиста!». Так вы обезопасите себя, если потребитель нанесет вред здоровью или не получит должного эффекта от использования продукта.
Следите за репутацией бренда в сети
Нередко скандальные клиенты публикуют негативные отзывы о компании в социальных сетях или на сайтах-отзовиках.
Для защиты имиджа вам нужно постоянно мониторить все упоминания о фирме в сети, чтобы вовремя реагировать на плохие комментарии и решать конфликты с потребителем еще до обращения в суд.
Этими вопросами должны заниматься специалисты.
Чаще всего недовольный клиент не идет в суд, а идет в интернет и выливает свое недовольство в сеть. Суды – это долго, дорого и, скорее всего, не закончится успешно для потребителя. Поэтому клиенты-экстремизмы начинают заниматься репутационным шантажом.
Нужно обработать негативные отзывы?
Нажимая кнопку, я даю свое согласие на обработку моих персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года, на условиях и для целей, определенных в Согласии на обработку персональных данных
Алгоритм действий, если вы столкнулись с репутационным шантажом
В этом случае вам нужно действовать следующим образом:
Не потакать злоумышленнику.
Стоит один раз пойти на уступки, как вы тут же превратитесь в «дойную корову».
Не откупаться, чтобы дать себе возможность продумать план действий.
Злоумышленник предварительно сделает скриншоты вашей переписки и финансовых поступлений на счет, чтобы продолжать держать вас на «крючке»;
Не угрожать.
Шантажист выкрутит ситуацию так, чтобы оно подходило под статью про угрозы в сети, например, 119 УК РФ.
Пример как НЕ нужно отвечать репутационному шантажисту
Методичка по борьбе за сильную репутацию в Интернете
Не идите на уступки потребительскому терроризму.
Заплатив один раз, вы будете делать это всегда. Злоумышленник не станет удалять негативный отзыв, ведь это его «козырь» против вас.
Не угрожайте судом или другими действиями.
Шантажисты уже готовы к таким действиям с вашей стороны и уже сделали скриншоты, которые смогут предъявить в ответ на ваш судебный иск.
Обращайтесь сразу к модераторам сайтов.
Если человек не идет на контакт, а начинает шантажировать вас, делайте скриншоты переписки, и отправляйтесь жалобу администрации ресурса, прикрепив доказательства.
Нанимайте профессиональных комьюнити-менеджеров.
Именно эти специалисты возьмут на себя постановку правильного диалога со злоумышленником.
Вывод
В отличие от западного рынка, в России только учатся, как бороться с потребительским экстремизмом. Еще пока не отлажен алгоритм действий предпринимателей в случае возникновения конфликта с клиентом и передачи дела в суд.
У многих бизнесменов нет штатных юристов, из-за чего отсутствует правильно составленная документация и договора с партнерами и потребителями. Неправильно составленные документы, обтекаемые и общие формулировки могут стать причиной проигранного дела в суде и наложения выплаты штрафа и компенсаций. А неверно выбранная стратегия взаимодействия с клиентом-«террористом» может повлечь за собой скандальные посты в соц.сетях и СМИ, что окончательно испортит репутацию компании. Как компании разорялись после конфликтов с покупателями и как подсчитать сколько денег вы упускаете из-за негативных отзывов, читайте в нашей другой статье.
Репутационное агентство поможет уладить конфликт с недовольным клиентом, восстановить и укрепить имидж компании в сети, выдавить негативный отзыв из топа поисковой выдачи и перекрыть его положительными комментариями.
Источник: topfacemedia.com
