Финансовые услуги: договариваться или не договаривать?Подходы российских банков к включению требований по защите информации в формы типовых договоров с клиентами

Банковские технологии и новомодные платежные системы позволяют населению достаточно просто преувеличить собственные денежные средства, получить кредит на неотложные нужды или перевести средства в любую точку земного шара, а также с помощью пластиковой карты совершить безналичную оплату продукта или услуги. Не секрет, что потребители банковских услуг с момента подписания договора с банками находятся в заведомо менее выгодных условиях, чем финансовая организация, предоставляющая данную услугу. Ведь формально содержание типового договора клиенту поменять очень сложно с юридической точки зрения, и чаще всего он соглашается с теми условиями, которые предлагает и прописывает банк. Это касается как функционала и форматов представления банковской услуги, так и требований к обеспечению информационной безопасности применительно к предмету договора.

Существует мнение, что число допускаемых банками нарушений при обслуживании своих клиентов с годами только увеличивается: чего стоит только классическое "неполное информирование клиента о предлагаемой услуге" (фраза в договоре – клиент соглашается со всеми изложенными в приложении требованиями и ограничениями при отсутствии самих приложений) или "навязывание приобретения дополнительных продуктов и услуг" по смежным, зачастую менее выгодным клиентам программам, "взимание с клиента скрытых, замаскированных под стандартные условия договора комиссий и платежей за обслуживание, обработку, рассмотрение и сопровождение" и мн. др.? На фоне этого призывы банков по отношению к клиентам соблюдать элементарные требования по обеспечению защиты информации при получении финансовых услуг и использовании высокотехнологических продуктов практически в 100% случаев разбиваются о глухие стены клиентского непонимания и сложности восприятия.

Исследование ИБ-составляющей в типовых договорах

Готовя материал для данной статьи, я обратился к глобальной сети с вопросом: насколько глубоко различными банками проработаны требования по защите информации при составлении типовых форм договоров на предоставление финансовых продуктов и услуг конечным потребителям? Ранее мне казалось, что это простой вопрос с понятным ответом. Но персональные подходы различных российских банков к ответу на этот вопрос, опубликованные во всемирной паутине, меня в хорошем смысле слова удивили. Ниже я постараюсь рассмотреть этот вопрос с разных сторон и сделать качественную оценку с точки зрения специалиста по информационной безопасности.

В качестве исходных данных для оценки мною выбраны 20 форм типовых договоров на оказание крупными банками схожих по типу и содержанию банковских услуг (10 для физических лиц и 10 для юридических). Не так уж и много, скажете вы, но для формирования выборки и применения математических методов анализа вполне себе достаточно. Не буду приводить наименования банков, они известны, тем более что на результаты анализа их названия никак не влияют, а критерии оценки общие для любого типа банка.

Вот что получилось в итоге. Содержание договоров проанализировано по наличию следующих десяти критериев:

1. Раздел по информационной безопасности.
2. Отдельные пункты, прямо или косвенно относящиеся к требованиям по защите информации.
3. Ссылки на соглашение-оферту или условия обслуживания, предполагающие выполнение требования по защите информации.
4. Раздел по обеспечению сторонами, заключившими договор, конфиденциальности при осуществлении взаимодействия.
5. Отметка о согласии клиента на обработку его ПДн (для 10 форм договоров с физическими лицами).
6. Раздел об ответственности банка перед клиентом в случае нарушения условий договора по линии защиты информации.
7. Ссылка на дополнительные условия, не указанные явным образом в тексте договора.
8. Отдельное приложение к договору с перечисленными требованиями по защите информации.
9. Использование в тексте договора термина "электронная подпись" или "электронный платежный документ".
10. Наличие в тексте договоров ссылок на требования регулятора (ЦБ, ФСБ, ФСТЭК и пр.).

Результаты сравнения форм договоров отображены на графиках в процентном соотношении от 100% = 20 (в некоторых местах – 10) единицам.

Соглашусь с мнением о том, что 20 типовых форм договоров не могут охватить всю банковскую систему России, которая, в свою очередь, динамически меняется. Но считаю, что эта оценка позволит приблизительно определить векторы и формальные подходы финансовых организаций к обеспечению "бумажной информационной безопасности" при заключении договорных отношений с клиентами.

Выводы по результатам проведенного анализа

1. Чтобы не испугать потенциального клиента на этапе до заключения договора, в типовых договорах не указываются явным образом требования банков к клиентам по обеспечению защиты информации при пользовании финансовыми услугами и продуктами.

2. К сожалению, типовые договоры взаимодействия банков с клиентами, в т.ч. в рамках ЭДО, не всегда содержат разделы/приложения с требованиями и/или основными положениями по обеспечению конфиденциальности.

3. В большинстве договоров клиента-обывателя перенаправляют по ссылке на опубликованный в Интернете документ (регламент, соглашение и пр.) с условиями оказания услуг, который не предоставлен лично клиенту для прочтения в момент подписания договора в офисе банка.

4. Многие формы договоров содержат специфические термины и определения, смысл которых неспециалисту понять сложно. Примерное понимание этих "страшных" слов приходит зачастую только при возникновении инцидентов и конфликтных ситуаций между клиентом и банком.

5. Банки в большинстве своем стараются соблюдать требования регуляторов по обеспечению ИБ при предоставлении платежных сервисов клиентам.

6. Регулярно встречаются формы договоров, больше похожие на анкеты или опросные листы, суть и основное содержание в которых указаны мелким шрифтом практически на полях документа. Клиентам с плохим зрением прочтение таких договоров дается с трудом.

7. При предоставлении высокотехнологических услуг банки стараются информировать клиентов о существующих рисках, вынося некоторые постулаты в приложения к договорам в составе дополнительных требований по эксплуатации продуктов. Однако не все банки предоставляют клиенту в момент подписания договора эти приложения. И очень мало кто акцентирует внимание клиентов на содержание таких приложений, считая это избыточным.

8. В 100% случаев в текстах типовых договоров содержатся ссылки с реквизитами и наименованиями на внешние по отношению к договору положения и документы, с которыми клиент должен ознакомиться/быть ознакомлен до подписания документа. В т.ч. это касается требований регуляторов по обеспечению защиты информации, противодействию коррупции и отмыванию денежных средств, полученных преступным путем, а также иные документы, хорошо знакомые банковским работникам, но совершенно непонятные простому обывателю.

9. В договорах с клиентами – физическими лицами многие банки учитывают требование закона № 152-ФЗ "О персональных данных" и размещают раздел/предложение/фразу о согласии клиента на обработку его ПДн в рамках условий данного договора. Но, как видно из анализа, по состоянию на октябрь 2015 г. не все банки выполняют требования закона в части получения от клиентов собственноручного письменного согласия на обработку персональных данных.

10. В подавляющем большинстве договоров представителями банков в разделе "ответственность сторон по договору" используются общие завуалированные фразы, суть которых сводится к тому, что ответственность за нарушение любых условий данного договора возлагается на клиента, при этом банк ответственность за нарушения несет в крайних случаях, вероятность реализации которых в средних широтах в России минимальная (наводнение, оползень, извержение вулкана, цунами и пр.). Таким образом, опытные российские банки многократно "перестраховываются" и стараются возложить все возможные риски по договорам обслуживания, в т.ч. риски по информационной безопасности, на своих нерадивых клиентов.

При этом не нужно забывать о постоянном взаимном (совместно банков и клиентов) противодействии высокотехнологическим целевым атакам.

Повышение грамотности пользователей по информационной безопасности

Поскольку основными причинами успешной реализации высокотехнологического мошенничества в настоящее время являются личная безалаберность и пренебрежение элементарными требованиями по ИБ со стороны клиентов – потенциальных жертв мошенников, самым действенным способом профилактики на сегодняшний день является обучение потенциальных жертв на актуальных примерах, зачастую – на собственном опыте, а также своевременное доведение банками информации о схемах защиты от мошенников до сведения обывателей любым доступным способом: информирование по телефону, SMS или по электронной почте, организация встреч и инструктажей, рассылка тематической литературы и пр.¹

Современные злоумышленники не дремлют, всерьез задумываются об оптимизации своих процессов, приносящих прямую прибыль, и инвестируют материальные средства в разработку новых инструментов и развитие существующих алгоритмов совершения атак в отношении клиентов банков.

Как видно из проведенной оценки, рассчитывать на то, что клиенты будут полностью защищены, при наличии двустороннего договора, содержащего выполнимые требования по обеспечению защиты информации на стороне клиента, не приходится. Именно поэтому клиентам (потенциальным жертвам мошенничества) крупных российских банков нужно уже сейчас задуматься об инвестировании в средства обеспечения защиты информации и о проведении соответствующих организационно-технических мероприятий по профилактике целевых атак.

Вместе с тем, для банков обеспечение ИБ своих клиентов, а также защита финансовых продуктов и услуг являются одними из приоритетных задач на высококонкурентном рынке банковских решений. Привлекательность для потенциальных клиентов конкретных финансовых автоматизированных систем напрямую зависит от их уровня защищенности. А риски, которые банки и клиенты готовы принять, могут быть существенно минимизированы при взаимном соблюдении сторонами условий договоров.