Помнится, года два назад я написал для «Бизнес-журнала» статью под названием «Гонка разоружения». В ней я подметил тогда еще новую тенденцию: по мере развития рынка платежных систем и вовлечения в него все большего числа участников, уровень их уровень их технической защищенности и безопасности не растет, как можно было бы ожидать, а падает. На тот момент многие платежные системы отказались от криптографических мер по защите транзакций, ограничившись в лучшем случае SSL, а достоверная идентификация личности клиента стала чуть ли не дурным тоном.
Помнится, года два назад я написал для «Бизнес-журнала» статью под названием «Гонка разоружения». В ней я подметил тогда еще новую тенденцию: по мере развития рынка платежных систем и вовлечения в него все большего числа участников, уровень их уровень их технической защищенности и безопасности не растет, как можно было бы ожидать, а падает. На тот момент многие платежные системы отказались от криптографических мер по защите транзакций, ограничившись в лучшем случае SSL, а достоверная идентификация личности клиента стала чуть ли не дурным тоном.
Особенно меня тогда поразил онлайновый интерфейс Ситибанка, где для авторизации в качестве логина надо было тогда ввести номер кредитной карты, а качестве пароля… ее пин-код (сейчас этот ляп устранен, по дошедшим до меня слухам – после продаж денег клиентов).
Представители платежных систем объясняли тогда эту тенденцию тем, что применение мер криптографической и технической защиты – это усложнение интерфейса, а в интересах пользователя его надо, наоборот, упрощать.
По моему же разумению интересы пользователя не поменялись и по-прежнему состояли в другом — в том, чтобы обеспечить сохранность его денег.
А потому я для себя обозначил причину непрекращающегося падения безопасности онлайн-платежей несколько иначе.
Расширение онлайновых форм а вызвало потребность в новых кадрах, и квалифицированного персонала стало просто не хватать. В индустрию хлынули представители вездесущего офисного планктона, которые хорошо воспроизводили наработанные бизнес технологии, но при этом плохо представляли суть того, что они делают, и зачем это нужно. В результате платежные технологии в конце концов были перестроены на уровень понимания и разумения новой формации «специалистов».
Так я думал до недавнего времени. Но вот на РИФе этого года произошло одно событие, которое заставило меня несколько переосмыслить мою позицию. Один из участников круглого стола, посвященного перспективам платежных систем, обронил замечательную фразу: «Это очень здорово, что российская финансовая система отличается от мировой до такой степени, что мы работаем в фактической финансовой изоляции от остального мира. Именно это обстоятельство создает благоприятные условия для развития российских платежных систем. Не будь этой изоляции, нам бы не дали подняться и развиться».
Вот тут-то меня и тюкнуло – Чучхе!
В моем мозгу все российские платежные системы тут же четко распались на две категории. Одна их часть, вопреки только что услышанному, активно пытается продраться на мировой финансовый рынок и даже достигает определенных успехов. Другая часть стремится всячески отгородиться от всего зарубежного, и даже от СНГ-шного.
Все сразу стало по своим местам. Граница, которая разделяет платежные системы по отношению к мировой финансовой системе, на 100% совпала с другой границей, которая разделяет платежные системы по политике безопасности. Именно те, которые не поддались «гонке разоружений» и не снижают уровень своей безопасности, сейчас активно рвутся в мировую финансовую систему. Те, что включились в «гонку разоружений» и опустили собственную безопасность почти до нуля, наоборот, бегут от мировой финансовой системы, как черт от ладана.
Вот она, истинная причина «гонки разоружений» – Чучхе.
Вы знаете что такое Чучхе?
О нет, вы не знаете, что такое Чучхе!
Газеты переводят это корейское слово, которое является официальной идеологией государства Северная Корея, как «упование на собственные силы».
Это – неправильный перевод. Неправильный по сути. В уповании на собственные силы нет ничего плохого. Упование на собственные силы – это хорошо! А вот Чучхе – плохо!
Когда в 20-е годы Советский Союз все силы бросил на индустриализацию и создание собственной тяжелой промышленности, это был пример упования на собственные силы. И это было хорошо.
Это делалось, чтобы не зависеть от зарубежных поставок. Чтобы в случае войны или каких-то других форс-мажоров, в случае вынужденной изоляции, можно было обойтись собственными силами и ресурсами. В итоге Советский Союз стал мощной промышленной державой и выстоял в войне, благодаря наличию собственной промышленности.
Это было упование на свои силы, но это не было Чучхе.
Уповая на себя в те годы, Советский Союз отказывался действовать сообща с союзниками, но не отказывался от их помощи. Маршал Жуков после войны заметил: «Американцы нам гнали столько материалов, без которых мы бы не могли формировать свои резервы и не могли бы продолжать войну».
А вот после войны началось Чучхе.
Тогда Советский Союз не просто стал уповать на собственные силы, это самое «упование на собственные силы» стало целью существования страны! Упование во имя самого упования – именно в этом и заключен смысл Чучхе.
Чучхе – очень соблазнительная вещь. Выстроить свой собственный мирок, и никого туда не пускать, и делать там все что хочешь. И это все будет гарантировано получаться, потому что законы, по которым все происходит, ты в этом мирке сочиняешь и устанавливаешь сам, как в детской игре – что может быть привлекательнее. Подвох тут в том, что эти придуманные законы являются законами только внутри Чучхе, а в реальном мире они не законы, а пшик. Любому же Чучхе рано или поздно приходит конец…
Огромное, просто неприлично огромное, количество российских «платежных систем», большинство из которых в условиях мировой финансовой системы просто не могли бы возникнуть и существовать, и до сих пор продолжающий падать уровень их безопасности, – это и есть последствия нашего русского финансового Чучхе.
Результаты чучхизма очевидны. Весь денежный оборот сосредоточен всего в нескольких реально работающих электронных системах, количество которых меньше чем пальцев на одной руке. Остальные же десятки не работают, а просто существуют. С какой целью существуют? Да кто их знает!
В условиях глобального финансового рынка каждая система нашла бы себе уникальную нишу, которую обслуживала бы, и в которой неплохо бы существовала. В условиях же чучхизма ниша лишь одна – Чучхе, и когда ее кто-то уже поделил, втиснуться в нее практически нереально.
Вот жила-была до недавнего времени такая платежная система RU-pay. Одна их немногих систем возникших и развившихся вне рамок Чучхе. Ей было присуще множество симпатичных мелочей, которых не было у других систем, за счет чего она быстро набрала большой круг клиентов и создала собственную рыночную нишу, в которой ей никто не мешал. Она давала мелким предпринимателям и частным лицам очень простой способ создать на своем сайте систему приема платежей без каких-либо бюрократических препонов, она не требовала свидетельства о регистрации или доказательства прав на предпринимательскую деятельность. Она предоставляла своим пользователям самостоятельно решать вопросы о своем предпринимательстве и своих налогах со своим государством и не вмешивалась в этот процесс, как, собственно, это происходит во всем мире. «Со своим государством» — не оговорка, потому что государство было не одно, а логика работы Ру-пэя не изолировалась рамками российской финансовой системы.
А надо всей этой финансовой вольностью стоял жесткий контроль над пользователями, через систему аттестации. Воспользоваться всеми благами системы можно было только в том случае, если идентифицируешь свою личность и докажешь, что ты – это ты. Предъявив свою физиономию и паспорт, либо, по крайности, отослав ксерокопии документов. Любой, кто мог потенциально злоупотребить финансовым либерализмом Ру-пэя, заранее знал, что он не анонимен, и к нему, случись чего, запросто могут заглянуть на огонек люди в погонах.
Все это привлекло в рамки Ру-пэя большое число, так скажем, «супермелких предпринимателей», для которых нулевая стоимость решения по приему платежей через свой сайт, которую давал Ру-пэй, была воистину палочкой-выручалочкой.
А в параллельном с Ру-пэй мире существовала огромная благополучная корпорация – «Росбизнесконсалтинг» или, попросту, РБК. У РБК было все, кроме одного — не было собственной платежной системы. А ее наличие – ой как не помешало бы, такое наличие еще больше подняло бы и без того весьма недурную капитализацию корпорации.
Самым разумным решением было не создавать платежную систему с нуля, а прикупить готовую. По здравому изучению рынка выходило, что кроме Ру-пэя прикупать нечего. Это была на тот момент единственная платежная система, которая имела небольшой процент рынка (и, стало быть, была доступна для приобретения) и при этом – очень важно – реально работала и имела реальную клиентскую базу.
Сказано – сделано.
РБК приобрела Ру-пэй и та стала называтся RBK Money.
Но переименованием дело не ограничилось. Купив Ру-пэй, РБК втиснула ее в привычные рамки «российской финансовой системы». И для Ру-пэя наступило Чучхе.
В результате в обновленной системе не осталось ни одной из тех мелочей, которые были привлекательны для старой клиентуры. С финансовым либерализмом было жестко покончено. Принимать через RBK Money отныне могли только российские юридические лица, и лишь после того, как их проверит служба безопасности системы. Денежный поток в системе радикально изменил свою структуру, и те, кто был в системе раньше, оказались вне его.
А вот те, кто мог бы прийти на смену этой самой старой клиентуре, оказались уже давным-давно охвачены ветеранами рынка: WebMoney и Яндекс.Деньгами. Более того, функционально RBK Money вообще оказалась скопированной с Яндекс.Денег, и внешне для пользователя отличается только дизайном сайта. Какой резон менять шило на мыло, если шило вполне справляется со своей задачей?
Нет, конечно, RBK Money не пропадет. За ее спиной стоит мощнейшая структура с огромными финансовыми и PR-ресурсами. И то и другое позволит мало-помалу набрать свою клиентскую базу. Но новые клиенты будут, увы, привлекаться не за счет уникальных особенностей системы, а за счет финансовых вливаний. Стоимость привлечения и обслуживания клиента будет в разы, если не на порядки выше, чем у конкурентов, а отдача от них – увы, в разы меньше.
Отказавшись от прежних отличительных черт Ру-пэя, RBK Money логично сделала следующий шаг и отказалась от другой ключевой особенности — системы аттестации.
В Ру-пэе я был аттестованным клиентом, то есть тем, кто лично продемонстрировал свою физиономию и паспорт. Для RBK Money я стал анонимным клиентом. У меня теперь так называемый «стандартный» кошелек. То есть кошелек с усеченными возможностями. Для того, чтобы он стал «расширенным», то есть нормальным, я должен ввести через форму свои паспортные данные.
И все!
Видите, как просто!
А если я введу липовые данные?
Или настоящие данные, но не свои, а другого человека? В России, где охрана бизнес-центров фиксирует паспортные данные всех посетителей в больших амбарных книгах, добыть таковые – раз плюнуть.
Эти вопросы и многие другие вопросы я задал менеджеру по рекламе и PR RBK Money Дмитрию Базилевичу. Кстати, хочу сказать Дмитрию спасибо, за то, что он терпел мои каверзы на протяжении длительного времени и честно пытался ответить на мои вопросы. Но я копал очень глубоко, до уровня, когда Дмитрий не мог мне ответить. Вернее, ответ всегда был один и сводился он примерно к следующему: «В распоряжении нашей службы безопасности есть эффективные методы, чтобы устранить эту опасность, но как вы сами понимаете, она же не будет их разглашать».
Я действительно понимаю. Я, в общем-то, в теме.
Я знаю, что легальных методов проверки «правильности» клиентов не так много, и придумать что-то новое в этой области не то, что сложно, просто нельзя. Мешает закон.
Все существующие законные методы обозначены в законодательной базе, и они не секретны. Бывают, конечно, еще и не вполне законные методы, бывают и совсем незаконные, но я далек от мысли, что служба безопасности такой серьезной структуры, как RBK Money может использовать какие-то методы кроме абсолютно законных.
Но, проблема в том, что все законные методы за небольшим исключением, ой как не просты и не дешевы, и не реализуемы в массовом порядке.
Например, чтобы проверить, правильные ли паспортные данные ввел человек, надо обратиться в милицию. А милиция, чтобы ответить на этот вопрос, должна открыть дело, по закону – иначе никак. А чтобы открыть дело, у милиции должна быть хоть какая-то уверенность, что действительно имеет место преступное деяние, а не ваша голая подозрительность… Конечно, если у вас в милиции есть, так сказать, «особые связи», то можно и без этих формальностей, но это не вполне законно, а я, как уже сказал, далек от мысли…
А если установлено, что паспортные данные правильные, то надо проверить, не терялся ли этот паспорт, и вообще, не ввел ли заполнивший форму чужие паспортные данные. И единственный надежный способ – это спросить у самого обладателя паспортных данных, причем обязательно предварительно сверившись с фотографией в этом самом паспорте, имея сам паспорт или его ксерокопию. А для этого обладателя надо найти… И встретиться… И еще получить от него ответ, ибо отвечать он вам не обязан…
Ой, как все сложно. И долго. И дорого.
По большому счету, простых, надежных и дешевых способов есть только два. Первый – не проверять всех подряд, а составить так называемый профиль поведения клиента и, в случае нарушения этого профиля, экстренно запускать проверочную машину на полную катушку. Например, если человек в течение года платил только за свет, газ и воду, а потом вдруг купил акций на бирже на полтора миллиона да еще на другую фамилию – это повод для приостановки всех операций по кошельку и запуска полномасштабной проверки клиента. Составление профиля клиента и его контроль легко автоматизируется и может быть поручено роботу.
Второй способ совсем прост и широко используется во всем мире, в том числе и в России. Он, правда, позволяет только определить соответствие фамилии и адреса проживания – но уже это – вполне надежная верификация. По адресу, на который ввел клиент, отсылается заказное письмо, на те имя и фамилию, что он ввел. В письме – проверочный код, который клиент должен ввести на сайте. Если почта не нашла такого адресата по этому адресу, значит имеет место . Если почта нашла адресата, но проверочный код не был введен, значит получатель настоящий, но регистрировался в системе не он.
Подобные способы проверки используют службы безопасности и гугля и молотока.ру и многих других служб, имеющих дело с финансами и ничего другого пока не придумали.
Но никакой проверочной формы и описания подобных процедур я на сайте RBK Money не нашел.
А потому, прошу прощения у Дмитрия, мой вопрос остается открытым.
Я остаюсь в подозрении, что так называемый «стандартный» кошелек анонима ничем де факто не отличается от «расширенного» кошелька идентифицированного клиента. И в реальности проверки насчет того, честно ли клиент указал свой паспорт, не производится. Во всяком случае до тех пор, пока жареный петух не клюнет.
Я понимаю, что излишне дотошен и, по большому счету, для RBK Money в ее нынешнем виде, где официальными получателями денег являются только проверенные российские юрлица, идентификация клиентов-физиков вовсе и не нужна.
Но зачем тогда заявлять о ее наличии?
А если уж заявлено, какой смысл засекречивать ее механизм?
Подобные вопросы, какими бы мелкими они не казались, вызывают недоверие к системе и вызывают смутные подозрения относительно добросовестности тех, кто ее ваял.
Я буду рад разочароваться, но мой богатый опыт говорит о том, что если я не получил ответа на вопрос сразу, то он так и останется без ответа и в последующем.
Ну и в заключение вернусь к тому с чего начал. К перманентному снижению безопасности российских финансовых интернет-сервисов.
Хотите украсть миллион?
Спросите меня как.
Я отвечу, но в следующем материале.
