Продолжая тему, начатую презентацией про обоснование финансовых инвестиций в ИБ, которую я читал на питерской Payment Security, я бы хотел привести кейс, который с цифрами в руках доказывает, что безопасность может мешать бизнесу, снижая его доходы. Если мы "продаем" ИБ под соусом борьбы с угрозами или выполнения регулятивных требований, то эта тема обычно не всплывает и безопасник может думать, что он делает благое дело. Но когда мы начинаем оперировать цифрами и деньгами, ситуация может поменяться и поменяться кардинально. В этом обратная сторона медали под названием "финансовое измерение ИБ" - может оказаться так, что ИБ наносит ущерб бизнесу, увеличивая потери, а не противодействуя их снижению.
Я не буду приводить скучные и набившие оскомину примеры про блокирование выхода в Интернет или торможение персонального компьютера антивирусом (хотя они тоже измеримы). Поговорим о системе защиты финансовых транзакций по платежным картам 3D Secure, используемой как Visa, так и Master Card. Считается, что эта технология призвана защитить от мошеннических операций и это верно. Но значит ли это, что применять ее надо всегда и везде? Например, приложение "Парковки Москвы" от Электронной Москвы не использует 3D Secure. И Аэрофлот при покупке билетов тоже. А еще AppStore, Amazon, Одноклассники и куча других ресурсов. Значит ли это, что эти компании не беспокоятся о своей безопасности? Ни в коем случае. Просто бизнес важнее.
Посмотрите на статистику социальной сети Badoo. В России 3D Secure была включена принудительно с самого начала. После ее отключения число успешных платежей выросло на 20% (!). В Италии включение 3D Secure привело к падению объема платежей на 10-15%. В США включение 3D Secure привело к тому, что пользователи Badoo перестали платить вообще, а в Южной Африке число успешных платежей после отключения 3D Secure привело к положительной динамике.
Это очень хороший пример того, как технология безопасности, которая призвана помогать бизнесу, может ему мешать. Разумеется, данные Badoo не означают, что 3D Secure плоха и не нужна. Совсем нет. Просто надо четко осознавать место и область применения 3D Secure. Необходимо проводить соответствующие исследования, чтобы иметь на руках цифры, помогающие принять нужное решение. Например, на конференции Payment Security, на круглом столе, посвященном дилемме "Удобство или безопасность" представитель Сбербанка привел интересные цифры. Оказывается, число опротестований платежей в "Парковки Москвы" составляет всего несколько... десятков рублей (!) за 3 года работы сервиса. Несколько десяткой рублей! И зачем при таких цифрах внедрять 3D Secure?
В случае с Аэрофлотом ситуация схожая. Зачем там 3D Secure? Есть ли там мошенничества при продаже билетов? Ведь все равно билет будет выписан на конкретного человека с паспортными данными, позволяющими его идентифицировать. Да и этот покупатель физически придет на рейс и его можно задержать, если он мошенник. Видимо в Аэрофлоте посчитали объем мошенничества и конверсию (то есть отношение числа покупателей билетов с числом посетителей сайта Аэрофлота или с числом тех, кто билеты забронировал) и оказалось, что снижение конверсии от включения 3D Secure приводит к бОльшим потерям, чем мошенничество при отключенной 3D Secure.
Аналогичная ситуация с конверсией и для других сайтов с большим числом клиентов и покупок по картам - Amazon или AppStore. Снижение числа успешных платежей на 20% - это огромные деньги в масштабах этих компаний, которые они не готовы терять. Тем более, что существуют и другие способы защиты от мошенничества, без 3D Secure. Например, в платежной системе ASSIST работает своя антифрод система, которая снижает число мошеннических операций без снижения конверсии и без 3D Secure (по данным ASSIST процент успешных платежей при использовании 3D Secure ниже на 15-20%, чем без этой технологии). Badoo тоже разработала свою антифрод-систему, чтобы не ухудшать бизнес-показателей.
Еще один пример, когда ИБ мешает бизнесу, - это различные проверки, которые раздражают пользователей сайтов электронной коммерции. Чем больше кликов и операций заставляют сделать пользователя (даже с благой целью повышения защищенности и защиты от мошенничества), тем ниже конверсия и число успешных оплат.
Аналогичная ситуация с временем загрузки страница - чем дольше грузится сайт из-за тех же проверок безопасности, тем ниже лояльность пользователя, выше их отток и ниже конверсия (если сайт что-то продает). В качестве примера возьмем сайт ФСБ. Я не знаю, как у других, но у меня главная страница грузится просто омерзительно долго и длительное время (десятки секунд) выглядит вот так:
С сайтом ФСБ, правда, ситуация с конверсией не работает, - он не зарабатывает денег и никакой альтернативы этому сайту нет. Поэтому приходится подолгу ждать отображения контента. На других же сайтах долгая загрузка приводит к потерям. Допустим сайт продает в день на 100 тысяч рублей. Всего одна секунда задержки загрузки страницы из-за проверки WAF или встроенными в сайт модулями проверки вводимых в поля форм значений приводит к годовым потерям в 2,5 миллиона рублей. 1 секунда = 2,5 миллиона рублей! А если это не 100 тысяч рублей, а столько же тысяч долларов? Потери составят уже 2,5 миллиона долларов! По статистике односекундная задержка в загрузке странице приводит к снижению конверсии на 7%, то есть к прямым потерям. И кто в такой ситуации будет положительно относиться к безопасности?
Понятно, что на конверсию влияет не только и не столько безопасность, сколько множество других параметров - дизайн страницы, навигация, контент, юзабилити, отсутствие персонализации, отсутствие призыва к действию и т.п. Но и ИБ тоже вносит свой вклад в общие потери, которые нужно учитывать и, не отказываясь от безопасности, предлагать альтернативные варианты. Как это было сделано в случае с Badoo или ASSIST. В противном случае говорить о вкладе ИБ в бизнес не приходится и лучше эту тему вообще не ставить на повестку дня - получится только хуже.
Я не буду приводить скучные и набившие оскомину примеры про блокирование выхода в Интернет или торможение персонального компьютера антивирусом (хотя они тоже измеримы). Поговорим о системе защиты финансовых транзакций по платежным картам 3D Secure, используемой как Visa, так и Master Card. Считается, что эта технология призвана защитить от мошеннических операций и это верно. Но значит ли это, что применять ее надо всегда и везде? Например, приложение "Парковки Москвы" от Электронной Москвы не использует 3D Secure. И Аэрофлот при покупке билетов тоже. А еще AppStore, Amazon, Одноклассники и куча других ресурсов. Значит ли это, что эти компании не беспокоятся о своей безопасности? Ни в коем случае. Просто бизнес важнее.
Посмотрите на статистику социальной сети Badoo. В России 3D Secure была включена принудительно с самого начала. После ее отключения число успешных платежей выросло на 20% (!). В Италии включение 3D Secure привело к падению объема платежей на 10-15%. В США включение 3D Secure привело к тому, что пользователи Badoo перестали платить вообще, а в Южной Африке число успешных платежей после отключения 3D Secure привело к положительной динамике.
Доля успешных платежей до и после включения 3D Secure в разных странах присутствия Badoo |
В случае с Аэрофлотом ситуация схожая. Зачем там 3D Secure? Есть ли там мошенничества при продаже билетов? Ведь все равно билет будет выписан на конкретного человека с паспортными данными, позволяющими его идентифицировать. Да и этот покупатель физически придет на рейс и его можно задержать, если он мошенник. Видимо в Аэрофлоте посчитали объем мошенничества и конверсию (то есть отношение числа покупателей билетов с числом посетителей сайта Аэрофлота или с числом тех, кто билеты забронировал) и оказалось, что снижение конверсии от включения 3D Secure приводит к бОльшим потерям, чем мошенничество при отключенной 3D Secure.
Аналогичная ситуация с конверсией и для других сайтов с большим числом клиентов и покупок по картам - Amazon или AppStore. Снижение числа успешных платежей на 20% - это огромные деньги в масштабах этих компаний, которые они не готовы терять. Тем более, что существуют и другие способы защиты от мошенничества, без 3D Secure. Например, в платежной системе ASSIST работает своя антифрод система, которая снижает число мошеннических операций без снижения конверсии и без 3D Secure (по данным ASSIST процент успешных платежей при использовании 3D Secure ниже на 15-20%, чем без этой технологии). Badoo тоже разработала свою антифрод-систему, чтобы не ухудшать бизнес-показателей.
Еще один пример, когда ИБ мешает бизнесу, - это различные проверки, которые раздражают пользователей сайтов электронной коммерции. Чем больше кликов и операций заставляют сделать пользователя (даже с благой целью повышения защищенности и защиты от мошенничества), тем ниже конверсия и число успешных оплат.
Аналогичная ситуация с временем загрузки страница - чем дольше грузится сайт из-за тех же проверок безопасности, тем ниже лояльность пользователя, выше их отток и ниже конверсия (если сайт что-то продает). В качестве примера возьмем сайт ФСБ. Я не знаю, как у других, но у меня главная страница грузится просто омерзительно долго и длительное время (десятки секунд) выглядит вот так:
С сайтом ФСБ, правда, ситуация с конверсией не работает, - он не зарабатывает денег и никакой альтернативы этому сайту нет. Поэтому приходится подолгу ждать отображения контента. На других же сайтах долгая загрузка приводит к потерям. Допустим сайт продает в день на 100 тысяч рублей. Всего одна секунда задержки загрузки страницы из-за проверки WAF или встроенными в сайт модулями проверки вводимых в поля форм значений приводит к годовым потерям в 2,5 миллиона рублей. 1 секунда = 2,5 миллиона рублей! А если это не 100 тысяч рублей, а столько же тысяч долларов? Потери составят уже 2,5 миллиона долларов! По статистике односекундная задержка в загрузке странице приводит к снижению конверсии на 7%, то есть к прямым потерям. И кто в такой ситуации будет положительно относиться к безопасности?
Понятно, что на конверсию влияет не только и не столько безопасность, сколько множество других параметров - дизайн страницы, навигация, контент, юзабилити, отсутствие персонализации, отсутствие призыва к действию и т.п. Но и ИБ тоже вносит свой вклад в общие потери, которые нужно учитывать и, не отказываясь от безопасности, предлагать альтернативные варианты. Как это было сделано в случае с Badoo или ASSIST. В противном случае говорить о вкладе ИБ в бизнес не приходится и лучше эту тему вообще не ставить на повестку дня - получится только хуже.