Греф и его «косяки»: В чём снова совершенно не виноват Сбербанк?

Мы все давно привыкли, что главнее банка, чем Сбербанк, в России просто нет. Его и не могло быть в условиях, когда сам Центробанк, беспристрастный регулятор, расчищал в интересах Германа Грефа банковский сектор страны. И вот в регионах России местный бизнес и население идут кредитоваться вовсе не в местные же частные банки, а в Сбербанк, который стремительно наращивает клиентуру и объёмы выплат акционерам-нерезидентам.

Не может быть банка главнее даже в условиях агрессивной работы в секторе ВТБ Андрея Костина, который за последний год набросил на себя множество банковских «масок», являясь для населения и «Почта банком», а для бизнеса теперь уже и Альфа-банком. Несмотря на стремительную погоню Костина за Грефом, Герман Оскарович, пользовавшийся ранее почти безграничной поддержкой со стороны регулятора, смог уйти почти на недосягаемую высоту.

Быть главным банком в стране – это не только привилегия и доступ к неиссякаемым богатствам, берущим начало в карманах жителей России. Это ещё и очень большая ответственность за «чистоту» и стабильность работы всей гигантской цифровой и аналоговой машины, которой сегодня стал Сбербанк.

И если с первым, то есть с наращиванием собственных активов «Сбер» справляется вполне успешно, то со вторым регулярно возникают проблемы. Притчей во языцех уже стали мошеннические списания с карт, поддельные звонки с номеров «Сбера» клиентам и прочие схемы. Сбербанку следует отдать должное: айтишники банка, конечно, стараются максимально прикрыть возникающие дыры, да и штат этих сотрудников у Грефа – молодой и активный. И это действительно большие профессионалы своего дела. Сам Греф на публичных выступлениях очень любит говорить о цифровой составляющей работы «Сбера», рассказывать о новых способах банкинга, о замене сотрудников роботами. На этом фоне «Сбер» и упустил мошенников, которые вовсе не взламывали никаких систем, а банально крали деньги прямо из-под носа у банка в его же отделениях.

Фото: www.globallookpress.com

Ловушка для клиента

На прошлой неделе, 20 мая, «Коммерсант» сообщил о выявлении Сбербанком принципиально новой мошеннической схемы. Она оказалась крайне неожиданной и простой, как всё гениальное. В её основе – системная ошибка в работе терминалов Сбербанка.

Злоумышленникам удалось вскрыть уязвимость, при которой терминалы списывали деньги с карты одного клиента по запросу клиента вообще без карты. Работало это всё следующим образом. Мошенник, не используя карту, давал команду на списание средств со счёта. После чего он отходил от терминала, который переходил в режим ожидания и давал 90 секунд для завершения операции. Операция заканчивалась, когда карту вставлял следующий клиент – он вводил пин-код, и средства списывались с его счёта.

По данным Сбербанка, по всей России было зафиксировано несколько десятков таких случаев. Безопасники «Сбера» заявили, что речь не идёт о взломе терминалов или серьёзных неполадках в их работе, «виновным», по их словам, оказался сам алгоритм работы устройств самообслуживания.

Терминал работает таким образом, чтобы сначала клиент мог выбрать назначение платежа, потом указать сумму, и лишь затем – способ оплаты. И если предыдущий клиент указал карту в качестве способа оплаты, но не вставил её, то терминал будет ждать карту 90 секунд, чтобы списать с неё средства. Таким образом, следующий клиент мог завершать операцию предыдущего, чем и пользовались мошенники.

В этой ситуации можно выделить несколько ключевых моментов. Сбербанк, будучи главным банком, оказался не способен защитить своих клиентов и их счета, тогда как не такие крупные кредитные организации оказались мудрее и сделали просто по факту невозможной такую ситуацию со своими терминалами.

Фото: www.globallookpress.com

В Газпромбанке, например, пин-код нужно вводить с самого начала работы с терминалом. В Промсвязьбанке клиенту также придётся сначала идентифицировать себя, и лишь потом заказывать ту или иную операцию. Бинбанк оказался ближе к алгоритму работы «Сбера», но инженеры банка решили добавить ещё один контур безопасности, и после ввода карты клиенту предстоит вновь подтвердить сумму платежа и реквизиты. Имей Сбербанк все эти банальные и простые алгоритмы логической, а не технической защиты, всех случаев краж просто бы не было.

Ещё одной проблемой «Сбера» является длительность ожидания операции, которая давала мошенникам необходимое количество времени. В «Сбере», если, например, карта не извлечена из банкомата после операции, она будет автоматически захвачена устройством через те же 90 секунд, которые даются и на завершение операции. В банке посчитали, что такой временной лаг является «универсальным», молодые клиенты вынут карту сразу, а вот пенсионеру может потребоваться больше времени. В других же банках часто встречается стандарт тайм-аута в 30 секунд.

Кто виноват?

В «Сбере», к сожалению, вместо того чтобы признать очевидное, обвинили в хищениях самих клиентов, которые, дескать, проявили невнимательность.

Было зафиксировано всего несколько десятков таких случаев, люди, по сути, признают, что это их собственная ошибка или невнимательность, или не поняли, не разобрались... Когда вы обращаетесь к банкомату – вы должны прочитать то, что на нём написано,

– сказал «Интерфаксу» зампред правления Сбербанка Станислав Кузнецов.

Тут сразу же возникает несколько вопросов. Учитывая частые очереди к банкоматам и терминалам в Сбербанке – пробовали ли вы когда-нибудь вместо того, чтобы поскорее выполнить нужные операции, просто стоять и «читать, что написано на банкомате»? Во-вторых, в каждом отделении Сбербанка, на каждом терминале и банкомате должны быть установлены камеры видеонаблюдения.

Фото: www.globallookpress.com

В-третьих, в отделениях есть сотрудники, которые должны следить за работой клиентов с банкоматами и терминалами. Их обязанность – помогать людям пользоваться устройствами, а также следить за порядком, идентифицировать подозрительных лиц. Однако мы не слышали о том, чтобы полиция задержала кого-либо из злоумышленников или о штрафах и увольнениях сотрудников, следящих за порядком. А ведь у «Сбера», кроме сотрудников в зале, есть и охрана, и служба цифровой безопасности.

Фактически произошла ситуация, когда люди стали заложниками той системы, которая была придумана создателями интерфейса и алгоритма работы терминалов Сбербанка. И если в банке подумали о большом тайм-ауте, чтобы не было случаев несанкционированного захвата карт, то почему-то не задумались о нелогичности алгоритма, который, по сути, и подставил людей под эти кражи. Во всяком случае, лучше бы карту захватил банкомат или терминал, средства остались бы в неприкосновенности, чем при большом тайм-ауте доступ к счёту получали бы злоумышленники.

По словам господина Кузнецова, в отделениях Сбербанка, к сожалению, может происходить настоящий цирк: невзирая на камеры, охрану и сотрудников, клиенты могут пасть жертвами мошенников с талантами артистов:

«А может быть, мошенник или тот человек, который так поступал, имел какой-то уникальный артистичный склад характера, который как-то смог убедить человека не обратить внимания и вставить свою карточку», – предположил зампред «Сбера».

Сейчас банк сообщает о полном устранении «ошибки» и невозможности больше оплатить свою операцию с карты следующего клиента.

«Косяки» Грефа

Г. Греф. Фото: www.globallookpress.com

Сам Герман Греф уже через четыре дня после скандала с мошенничествами решил очень изящно выйти из-под лавины критики. Выступая на годовом собрании акционеров банка 24 мая, Греф сказал, что Сбербанк «ещё много косячит», и призвал ругать его за недоработки. Речь Грефа транслировалась в YouTube-аккаунте «Сбера».

«Если мы где-то, извините за термин, накосячили, значит, мы должны об этом знать, должны исправлять. Мы косячим ещё много, – сказал Греф, но не преминул поправиться. – Сейчас всё-таки косяков стало значительно меньше, это означает, что мы не должны себе позволять реагировать формально на обращения клиентов или критику акционеров».

По словам главы банка, любая критика пойдёт Сбербанку только на пользу, она станет стимулом для работы над ошибками. Раньше, сказал он, банк болезненно реагировал на замечания, однако теперь просто ликвидирует ошибки и работает над ними.

Расчёт Грефа был точен: банк признал недоработку, исправил ошибки, глава организации публично заявил, что неполадки имеют место быть. После этого уже нельзя будет сказать, что «Сбер» открестился от своих огрехов. Вместе с тем открытыми остаются вопросы о том, почему никто не понёс наказания из-за явных недоработок банка, который виноват в том, что у людей крали деньги? Почему сотрудники или служба безопасности не справляются со своей работой? Ведь просто внимание сотрудников к тому, что происходит с терминалом, могло бы предотвратить хищение, да и мошенника можно было задержать. И если у службы безопасности банка есть кадры со злоумышленниками, то почему их никто не ищет?

Приходится констатировать, что параллельно с приобретением гигантской доли в отечественном банковском секторе Сбербанк не смог грамотно оценить все риски, с которыми может столкнуться сам, и, что более важно, которым он подвергает жителей России. Ответственность такого банка – не в зарабатывании денег и не в попытках «запылесосить» как можно больше кредитов по всей стране, предоставляемых по ставке выше темпов роста инфляции. Она даже не в том, чтобы хвастаться своими цифровыми технологиями и тремя контурами безопасности, из которых за всю историю банка киберпреступниками не был пробит даже один (так уверяет Греф). Эта ответственность состоит в грамотном понимании рисков и честной работе с людьми и государством, чтобы не было ситуаций, когда со счетов граждан выносят деньги во время сладких речей Грефа о безопасности, а виновные остаются безнаказанными.