Финансовая сфера

Банковское обозрение


  • Как организовать безбумажный офис, сохранить деревья, деньги и нервы
11.10.2021 FinCorpFinSecurityFinTechАналитика

Как организовать безбумажный офис, сохранить деревья, деньги и нервы

О тенденциях развития сферы ИБ и о важности системы электронного документооборота (ЭДО) нам рассказала Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь сервиса Nopaper.ru


Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь сервиса Nopaper.ru

Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь сервиса Nopaper.ru

— Дарья, какие выводы о влиянии пандемии на бизнес, которые сделала компания SafeTech, вы можете выделить?

— Как бы ни казалось, что локдаун в минимальной степени задел IT — это далеко не так. Для сферы IT пандемия — «бомба замедленного действия».

Во-первых, мы быстро поняли, что отсутствие людей в офисах, физических встреч и очных контактов будет неравномерно действовать на жизнь. Какие-то процессы (например, встречи в ZOOM, неформальные переписки в чатах и работа 24/7) ускорятся и участятся, а какие-то — замедлятся. Так, нас настигли сложные и долгие процессы согласования и подписания документов, выделения бюджетов и ресурсов, ведения проектов в целом.

Во-вторых, пандемия стала настоящей «войной» для специалистов в области ИБ. Запуганные люди на «удаленке» — это самые «вкусные» цели для мошенников. 

По данным ФинЦЕРТ, в 2019-2020 годах количество атак увеличилось на 88%. Также ФинЦЕРТ отметил значительный прирост в разнообразии и эффективности попыток мошенничества: от фишинга до социальной инженерии. 

Атаки стали более кастомизированными, и потому — результативными. И если раньше нам звонили «сотрудники службы безопасности банка», то теперь с нами разговаривают «роботы», мошенники предлагают «рефинансировать» кредит, вуалируя свои действия рассказами о «добре», которое они предлагают. Причем это относится не только к крупным банкам и компаниям, но и к финансовым организациям, которые по списку ниже топ-10. А значит, нам необходимо еще больше повышать уровень защищенности наших продуктов, ведь они стоят на страже безопасности цифровых каналов многих российских банков.

В-третьих, отдаление людей друг от друга повлекло за собой ускорение отдельных направлений цифровизации, а именно — перевод документооборота в электронный формат. Это было связано с необходимостью не только «дистанционного выживания», но и повышения экономической эффективности, ведь все «бумажные» процессы приводят к значительным затратам на печать, логистику и хранение документов, а также ограничивают взаимодействие с клиентами.

— Что нового произошло у вас в связи с пандемией?

— С 2019 года мы усовершенствовали наш продукт PayControl. Это уже не просто решение с атомарной функцией подтверждения банковских транзакций, а полноценная мобильная платформа, позволяющая решать широкий спектр задач по верификации личности пользователя, риск-скорингу, корпоративной аутентификации и электронному документообороту.

В PayControl реализованы самые инновационные технологии и многолетний опыт обеспечения безопасности дистанционных сервисов банков. Решение собирает более 70 параметров мобильного устройства, на котором формируются ключи электронной подписи, геолокацию и реквизиты транзакций, чтобы «на лету» определять их уровень риска и при необходимости отправлять в систему антифрода. Решение позволяет в качестве дополнительных факторов аутентификации использовать биометрические технологии. И, наконец, PayControl позволяет реализовать в каналах дистанционного обслуживания бизнес-процессы, при которых пользователь всегда будет осведомлен о любых изменениях его учетной записи и способах входа в личный кабинет.

Мы регулярно выпускали обновления наших продуктов и рекомендации по обеспечению безопасности цифровых каналов с их использованием. Сейчас мы пошли дальше — у нас появилось консалтинговое подразделение, помогающее крупным организациям и банкам правильно строить архитектуру системы электронной подписи и подтверждения транзакций. Это позволило расширить спектр наших услуг и укрепить наши позиции на рынке. Только за 2020-2021 годы мы реализовали более 30 интеграционных проектов в цифровых банковских каналах и не планируем на этом останавливаться. 

Но главный рывок мы совершили в последний год, когда осознали, что мир изменился слишком сильно, чтобы вернуться к прежнему состоянию. Мы поняли, что людям теперь обязательно нужно иметь возможность заключать сделки и подписывать документы, не встречаясь друг с другом. Это заставило нас придумать и в партнерстве с компанией Abanking, разработчиком ПО в сфере дистанционных банковских каналов, создать новую линейку продуктов. Решение и сервис Nopaper предназначены для перевода любого «бумажного» процесса банка, юрлица или физлица в «безбумажный», мобильный канал обслуживания. В новые продукты встроена усиленная электронная подпись с контролем целостности и авторства документов. Причем коммуникация с использованием Nopaper настолько «безбумажна», что даже первичный договор с клиентом подписывать не нужно. Менее чем за пять минут вы можете начать безбумажное взаимодействие с любым контрагентом, где бы он ни находился.

— Почему, по вашему мнению, надо переходить на «массовое» ЭДО?

— Раньше к системам ЭДО мы относились с долей консерватизма или даже с недоверием. Было принято считать, что они применимы только в рамках корпораций или только для взаимодействия между юрлицами. И действительно, эти «классические» системы работали и продолжают работать на персональных компьютерах со специализированным ПО, требуют использовать USB-токены или смарт-карты, а чтобы начать электронное взаимодействие, необходимо еще посетить Удостоверяющий центр. Для электронного обслуживания в банках тоже необходимо прийти в отделение, а затем отстоять в очереди и подписать множество бумаг. И ведь все настолько привыкли к этому, что изменить ситуацию мог только «идеальный шторм»! Таким штормом стала пандемия. 

Сейчас она заставила крупные финансовые и страховые компании подумать, как сохранить возможность продолжать бизнес, не пригоняя клиента в офис. Стало очевидно, что с помощью ЭДО можно сократить колоссальные затраты на печать, логистику, хранение документов и сберечь время сотрудников. А ведь даже для небольшого банка они исчисляются десятками миллионов рублей в год.

Так давайте перейдем на безбумажное взаимодействие с клиентами! Такая возможность есть, и даже в большем объеме, чем могло бы показаться. Для тех, кому сложно перестроиться или кто хочет посещать традиционные офисы банка, все останется по-прежнему. Но благодаря сочетанию новых безбумажных технологий с привычными отделениями, мы получим офисы нового формата — Phygital-офисы. В них клиенты смогут и физически пообщаться с сотрудниками банка, и совершить все необходимые операции без бумаги на своем смартфоне!

Итак, электронный документооборот с клиентами — это тренд, к которому стремятся все банки. Но далеко не все в состоянии его реализовать с требуемым уровнем ИБ. Дело в том, что подтверждение транзакций и подписание документов в таком ЭДО с помощью, например, SMS-кодов не подойдет. Слишком большие риски. Поэтому для подтверждения волеизъявления в электронном документообороте с клиентами необходима электронная подпись с контролем авторства и целостности документа. Причем желательно, чтобы она работала прямо в смартфоне клиента. Это сделает обслуживание быстрым, удобным и простым как для клиентов, так и для самих банков. Остается добавить, что обычно реализация таких проектов считается сложной, продолжительной и затратной, а вот с использованием решения Nopaper построение безбумажного офиса занимает всего два месяца.

— А как это будет выглядеть для клиента? Как он может начать работу в новом безбумажном банке?

— С действующими клиентами более или менее понятно — у них уже есть средство подписи (пусть даже это SMS-коды). Их можно использовать для подписания акта признания открытого ключа ЭП. А вот онбординг новых клиентов — уже сложнее и, безусловно, интереснее любому банку. В Nopaper поддерживается несколько вариантов.

Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь сервиса Nopaper.ru

Наша задача — сделать так, чтобы, держа в руке один лишь смартфон, любой человек мог юридически значимо подписать любой документ с тем или иным физлицом или юрлицом вне зависимости от местоположения каждого из участников отношений

Первый, наиболее понятный способ (но не до конца «безбумажный») — выпустить ЭП в мобильном приложении и подписать первичный акт признания ключа ЭП на бумаге при очной идентификации клиента. А далее все договоры (например, на открытие счета или выдачу банковских продуктов: кредитов, депозитов, карт) подписывать электронной подписью на мобильном телефоне. Как видите, работа значительно упрощается. Однако по-прежнему остается первичная «бумажка». Как же избавиться от нее?

Второй вариант — использование уже имеющейся у клиента квалифицированной электронной подписи (КЭП). После идентификации по 115-ФЗ клиент ничего не подписывает с банком на бумаге, а подключает к своему компьютеру USB-токен с ключом электронной подписи (или использует мобильную КЭП на базе решения myDSS) и начинает подписывать все документы в электронном виде. Итог — полное отсутствие бумаги! Раньше о таком даже и подумать не могли! Однако у этого способа есть одно «но» — он актуален преимущественно для юрилиц, уже имеющих КЭП. Что же делать обычным гражданам?

Третий, идеальный вариант — выпустить на мобильном устройстве электронную подпись (ЭП), которая будет гарантировать целостность и авторство документов, и при этом не подписать ни одной бумажки.

— Разве это возможно? Все равно потребуется хотя бы первичное подписание бумаги или есть другие, полностью безбумажные варианты?

— Такой идеальный безбумажный сценарий возможен. Для его реализации необходимо доказать факт выпуска ЭП на мобильном телефоне конкретного пользователя. Когда клиент проходит очную идентификацию по 115-ФЗ, он предъявляет паспорт, и все данные заносятся в систему банка. После этого необходимо лишь убедиться, что ЭП на своем мобильном устройстве выпускает именно этот человек с этими паспортными данными. Решение Nopaper, например, позволяет сделать это двумя способами.

Первый — биометрическая верификация. Пользователь с помощью Liveness-теста в мобильном телефоне подтверждает предоставление своего реального изображения (не фотографии, а именно «живого» видео), а его фото из видеопотока сравнивается с фотографией в паспорте, полученной сотрудником банка при очной идентификации.

Второй — аутентификация через учетную запись на официальном портале госуслуг. Пользователь аутентифицируется на портале, а система сравнивает его паспортные данные с теми, которые были заведены при очной идентификации. Если они совпадают, то считается, что пользователь подтвердил свое желание выпустить себе ЭП.

Но именно в этих способах кроется самое интересное. Несмотря на то что такие безбумажные возможности уже существуют на рынке, банки относятся к их использованию с некоторым недоверием. В то же время в недавно вышедшем решении «Госключ», предлагаемом Министерством цифрового развития, связи и массовых коммуникаций, ЭП также выпускается без единой бумажки! Конечно, к способу выпуска ЭП и безопасности конкретно данного решения у профессионального сообщества остаются большие вопросы, но главное, что государство такое направление развития цифрового документооборота активно поддерживает. Более того, эта возможность была давно предусмотрена регулятором, и нужно было лишь правильно и безопасно ее реализовать. К слову сказать, в решении Nopaper удаленный выпуск ЭП реализован удобно и безопасно, да еще и несколькими способами, которые можно между собой комбинировать. Поэтому, если вы еще считаете, что документы с клиентом (или хотя бы первичный документ) нужно обязательно подписывать на бумаге, то пора убедиться в обратном.

— А что делать клиентам, не использующим смартфоны?

— Для клиентов, которые по какой-то причине не могут или не хотят ставить себе приложение с мобильной подписью, мы создали специальное приложение, разворачиваемое на служебных планшетах сотрудников банка. Такой клиент получает на локальный банковский планшет одноразовую ЭП и там подписывает все документы на подключение к безбумажному взаимодействию с банком. После однократного применения ключ подписи удаляется, а все документы оказываются в личном кабинете пользователя и в его электронной почте. Очень удобно! Это еще одна новая фишка Phygital-офисов.

— А почему нельзя таким клиентам, да и всем остальным, использовать SMS-коды в качестве подписи документов?

— Многие, к сожалению, считают, что если в законе написано, что в документообороте можно использовать простую электронную подпись (ПЭП), то подтверждать волеизъявление можно самыми простыми и привычными вариантами ее формирования — SMS или push-кодом. Эта практика создает много рисков! Дело в том, что такой код может быть перехвачен или просто подставлен к документу, к которому не имеет отношения, поэтому грамотный эксперт в суде всегда сможет доказать, что клиент данный документ не подписывал. Все успешные попытки мошенничества строятся на уязвимости этих способов как на «техническом», так и на «социальном» уровнях! Когда речь идет о небольших суммах, например, о пополнении баланса телефона на 100 рублей, то еще можно как-то и с помощью SMS подписать. Но ни один здравомыслящий банк не станет выдавать какой бы то ни было кредит с подтверждением кодом из SMS!

Приверженность такому «минимализму» в вопросах использования ЭП все чаще не одобряется и в судебных инстанциях. Так, в последнее время в ходе судебных разбирательств дел о краже денег, связанных с подтверждением транзакций через SMS, многие решения принимаются в пользу клиентов, а не банков. И неудивительно, что ведущие банки постепенно отходят от парадигмы классических средств подтверждения и отказываются от SMS и push-кодов в пользу мобильной подписи. Использование SMS-кодов расценивается уже как недостаточная защита от мошеннических действий, поскольку, с одной стороны, они могут быть перехвачены, а с другой — потенциально могут быть выведаны у пользователя методами социальной инженерии, получившей сегодня широкое распространение. Я уж не говорю о других способах компрометации кодов подтверждения. Именно поэтому хорошие юристы в партнерстве с экспертами в области криптографии и безопасности все чаще отстаивают в судах позицию клиента банка.

— Какие интересные кейсы были обнаружены вами в ходе реализации проектов, связанных с удаленной выдачей клиентfv электронной подписи в современной банковской сфере?

— Благодаря возможности удаленной выдачи усиленной неквалифицированной электронной подписи в банках, и правда, возникают интересные кейсы. Например, в документах и бизнес-процессах, не требующих очной идентификации по 115-ФЗ, можно и вовсе «не смотреть» на человека и выдать ему электронную подпись «издалека». Так, подписать даже без очного посещения офиса банка можно договор поручительства при оформлении кредита. Ведь поручитель не будет являться клиентом банка, а значит, и по 115-ФЗ его идентифицировать в явном виде не нужно. Ему можно удаленно выдать электронную подпись и подписать необходимый пакет документов, где бы тот ни находился.

Подобные кейсы расширяют возможности развития бизнеса, а таких ситуаций, по-новому раскрывающих привычные процессы обслуживания клиентов, будет больше. Нам остается лишь подвести итог. Во-первых, средства формирования усиленной неквалифицированной электронной подписи можно интегрировать в информационные системы банка, а во-вторых, выдавать ЭП клиентам можно и без физического подписания даже первичного документа.

— Есть ли примеры успешных внедрений вашего нового решения или сервиса Nopaper в экосистему банков? Какие результаты были получены в ходе их реализации?

— Сервис Nopaper был запущен год назад, и сейчас он активно завоевывает банковский рынок. Мы можем поделиться публичными результатами одного из проектов, которые озвучивал сам заказчик. Банк УБРиР после пилотного внедрения Nopaper отметил, что с переходом на новую технологию количество шагов в клиентском пути сократилось с восьми при бумажном обслуживании до пяти при безбумажном, что позволило снизить стоимость обслуживания одного клиента на 86%.

Помимо этого о своем желании перейти на безбумажное обслуживание изъявили сразу 36% клиентов банка. С учетом положительных результатов пилотного запуска банк УБРиР планирует распространить наше решение во всей сети.

— Как вы оцениваете ближайшие перспективы развития компании и направления ИБ в целом?

Наша миссия — создание полноценной цифровой среды, в которой продолжением нашей руки станет смартфон, заменивший для нас ручку и бумагу.

Справка Б.О

Сервис для мобильного электронного документооборота nopaper.ru в Альфа-Банке, разработанный компаниями Abanking и SafeTech стал победителем XI премии FINAWARD 2021 в номинации «Внедрение/решение в бизнес-процессах или клиентских сервисов».

FINAWARD – ежегодная премия инноваций и достижений финансовой отрасли, учрежденная деловым журналом «Банковское обозрение» в 2012 году.

Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь сервиса Nopaper.ru






Новости Релизы