Банки не обязаны использовать «лучшую» безопасность?

В мае 2009 года компания из Сэнфорда, штат Мэн, Patco Construction Co, подал иск против Ocean Bank, подразделение Бриджпорта, штат Коннектикут, Народный объединенный банк.

Компания Patco использовала онлайн-банкинг для еженедельных выплат заработной платы и утверждала, что кибер-воры использовали троян (ZeuS) для кражи учетных данных Patco в Интернете, а затем похитили 588 000 долларов в течение семи дней. Банку удалось вернуть около $ 243 000 из украденных средств, но оставшуюся часть возложил на малый бизнес. Иск Патко был направлен на то, чтобы найти банк, ответственный за оставшиеся 345 тысяч долларов. Похоже, что пристально наблюдаемая битва в суде подходит к концу.

27 мая магистрат вынес рекомендацию, которая, если она будет принята окружным судом США в штате Мэн, значительно затруднит оспаривание эффективности мер безопасности, применяемых банками, для других малых предприятий и других жертв. Рекомендация, сделанная после рассмотрения юридических вопросов и предложенного анализа того, что составляет «коммерчески разумную безопасность», заключалась в том, чтобы отклонить ходатайство Патко о вынесении решения в порядке упрощенного судопроизводства и удовлетворить ходатайство банка. Дэвид Наветта, партнер-основатель Information Law Group, объяснил:

«Многие комментаторы закона о безопасности, в том числе и я, давно придерживаются мнения, что разумная безопасность не означает пуленепробиваемую безопасность и что компаниям не нужно быть на переднем крае безопасности, чтобы избежать ответственности».
Частично аргумент Патко состоит в том, что Ocean Bank не выполнил условия своего контракта, когда он разрешил клиентам входить в учетные записи, используя лишь имя пользователя и пароль.

Банк полагался на поставщика услуг Джека Генри для обработки межбанковских переводов. Используемый процесс аутентификации требовал от клиентов входа в систему с идентификатором компании, идентификатором пользователя и паролем. Клиенты также должны были ответить на три «проблемных вопроса», если система оценила транзакцию как «высокий риск». В продукте Джека Генри используется система оценки, разработанная RSA Cyota, и она оценивает рискованность транзакций с использованием различных факторов, таких как местоположение интернет-адреса пользователя и то, как клиент перемещается по сайту, а также когда и как часто пользователь входит в систему, в том числе другие. Оценка риска рассчитывается по шкале от нуля до 1000, и оценка более 750 считается «высоким риском». До 2008 года Ocean Bank устанавливал порог суммы в долларах для автоматического запроса ответа на контрольный вопрос на уровне 100 000 долларов. Однако в июле того же года банк снизил порог до 1 доллара из-за мошенничества с ACH в банке, нацеленного на транзакции на небольшие суммы в долларах. После изменения клиенты должны были отвечать на контрольный вопрос всякий раз, когда они использовали систему банка.

Сари Грин, эксперт по безопасности компании Sage Data Security компании Patco, сообщил суду, что, задавая вопросы по проверке каждой транзакции, Ocean Bank значительно повысил риск того, что мошенник, использующий банковского троянца, сможет скомпрометировать ответы на вызов. вопросы. Патко также утверждал, что вопросы, задаваемые каждому человеку при каждой транзакции, на самом деле не обеспечивают дополнительной безопасности.

Как сказал Наветта, магистрат рассмотрел вопрос о том, была ли безопасность банка достаточной. Руководящие принципы безопасности были установлены в 2005 году банковскими регуляторами в FFIEC, и они требуют использования «многофакторной аутентификации» путем включения как минимум двух из трех проверок: что-то, что пользователь знает (например, пароль), что-то есть у пользователя (например, как код доступа, сгенерированный одноразовым токеном) и что-то, что есть у пользователя, например, биометрический идентификатор. Банк утверждал, что используемая им схема на основе паролей была многофакторной, как описано в FFIEC. По словам Наветты, «в какой-то степени суд признал, что безопасность банка могла быть лучше. Даже в этом случае она была многофакторной с технической точки зрения, как описано в руководстве FFIEC по мнению суда, и« лучшее »не было необходимым». Фактически, постановление мирового судьи, кажется, предполагает, что на самом деле вина Patco была в том, что он недостаточно надежно защитил учетные данные.

Авива Литан, аналитик Gartner по вопросам мошенничества и безопасности банков, назвала это предложение «возмутительным».

«На мой взгляд, это откровенно вопиющая несправедливость по отношению к малому бизнесу в США», — сказал Литан. «Это также полный провал системы банковского регулирования в Соединенных Штатах, что не должно вызывать удивления, учитывая историю регулирующих органов в 21 веке».

Следует поставить под сомнение этичность утверждения, согласно которому банкам не обязательно использовать «лучшую» безопасность. Если решение мирового судьи будет принято судом и движение Ocean Bank будет удовлетворено, оно установит преимущественную силу для оспаривания ответственности в будущем, потенциально оставляя предприятия без права регресса в случае убытков, таких как убытки Патко. Еще неизвестно, каким будет решение судьи, хотя не ожидается, что суд отменит это решение.

Последствия этого решения, если оно будет официально признано судом (а это, скорее всего, будет), имеют далеко идущие последствия и должны заставить задуматься любого потребителя. То, что здесь действительно решается, важнее, чем Patco против банка. На карту поставлено решение об ответственности в будущем: кто несет ответственность за ограбление такого типа: конечные пользователи или банки? Если не ожидается, что банки будут иметь «лучшую» доступную систему безопасности, защищающую их собственные сети от злонамеренного вторжения, какой выход будет у малого бизнеса в случае подобного ограбления?

Эта новость особенно интересна, учитывая сегодняшнее открытие, что Ситибанк был взломан, и информация о 200000 пользователей была взломана, а также из-за недавних выходок LulzSecs, демонстрирующих невероятные недостатки безопасности некоторых из крупнейших компаний в мире.

Нет сомнений в том, что безопасность — огромная проблема, поскольку мы так много делаем в Интернете, и на самом деле нас даже вознаграждают за банковские операции, покупки и т. Д. В Интернете и наказывают, если вы хотите поговорить с человеком или пойти по старомодному пути оплаты в лицом или наличными или чеками. Итак, вопрос в том, что, поскольку учреждения настаивают на том, чтобы мы облегчили их жизнь, делая все в сети, должны ли они придерживаться более высоких стандартов безопасности?