• появление в составе средств обеспечения банковской деятельности разного рода провайдеров, от которых стали зависеть банковская деятельность и выполнение кредитной организацией своих обязательств перед клиентами, а стало быть, и их интересы;

• доступность банковских автоматизированных систем извне, для сетевых хакерских и вирусных атак, попыток несанкционированного доступа и т. п., т. е. кредитная организация со своей банковской автоматизированной системой (БАС) перестала быть «вещью в себе» (не считая инсайдеров).

Учет этих основных новых факторов риска во внутрибанковском процессе управления банковскими рисками в кредитных организациях представляется, безусловно, необходимым, что в первую очередь должно найти свое отражение в таком внутрибанковском документе, как «Положение об управлении банковскими рисками». Последующая адаптация этого процесса на основе такого учета позволит сохранить надежность кредитной организации (или, как минимум, создать почву для этого) в новых условиях банковской деятельности [35] . К сожалению, как показывает практика, до настоящего времени «радикальность» таких изменений недостаточно адекватно осознается во многих кредитных организациях, работающих с клиентами через те или иные представительства в Сети или через «эфир», что существенно повышает вероятность реализации банковских рисков (точнее, их компонентов), связанных с применением технологий электронного банкинга.

Изменения произошли (или должны были бы произойти!) не только в технологическом обеспечении и техническом оснащении банковской деятельности, но во многих случаях и в базовых бизнес-процессах, реализуемых (или подлежащих реализации) кредитными организациями. Во-первых, при внедрении любых новых технологий банковского обслуживания число этих процессов неизбежно увеличивается за счет внедрения новых процедур, из которых могут складываться новые внутрибанковские процессы. Во-вторых, уже существующие процессы приходится пересматривать, адаптируя их содержание, а нередко и их организацию, к новым условиям банковской деятельности. В-третьих, кредитным организациям в ходе развития банковского обслуживания приходится менять и свои бизнес-модели (во всяком случае тем, кто задумывается о сути перемен, а реальные перспективы, к слову сказать, есть только у таких) . Впрочем, если все делать правильно, то ничего страшного или неприятного для кредитной организации, связанного с новыми банковскими технологиями, не происходит, поскольку дело не в самих технологиях, а в способах и условиях их применения кредитными организациями для осуществления ДБО.

Применение технологий ДБО и систем электронного банкинга, безусловно, не означает, что степень рискованности банковской деятельности в целом возрастает. Для сохранения ее надежности (в смысле гарантированного выполнения взятых на себя обязательств перед клиентами и контролирующими органами) необходимо лишь правильно выявить, оценить и проанализировать новые источники рисков, возникновение которых обусловлено новыми факторами риска. Чтобы правильно определить состав источников риска, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, при необходимости, отдельные источники или факторы рисков можно сгруппировать по их возможному проявлению в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше.

6.2. Источники банковских рисков, связанные с зоной клиента

Основной акцент при рассмотрении факторов риска следует делать на выполнении кредитной организацией обязательств перед клиентами и защите их интересов, а также перед контролирующими органами. Это, конечно, не означает, что кредитные организации должны забыть о своих собственных «законных» интересах, но риск-ориентированное рассмотрение проблематики ДБО может считаться полноценным и адекватным только в том случае, если оно одновременно и «клиент-ориентированное». Как бы то ни было, в банковской сфере сосредоточены интересы огромного количества клиентов этой сферы, которая всегда будет оставаться зависимой в плане доверия к ней со стороны клиентов.

Обычно клиент является инициатором удаленного информационного взаимодействия с кредитной организацией. Для этого он пользуется предоставляемым этой организацией либо специализированным, либо универсальным программно-информационным обеспечением электронного банкинга. В случае корпоративных клиентов (юридических лиц) – это разновидность устанавливаемого на каждое автоматизированное рабочее место (АРМ) клиента комплекса ПИО, определяемого как «толстый клиент», в который входят средства доступа к функциональным компонентам ПИО, формирования интерфейса пользователя, связи с БАС, криптозащиты передаваемой информации, специализированных баз данных и другие компоненты. Такие системы, как правило, достаточно надежны, поскольку относятся к системам так называемого закрытого типа, хотя в то же время «тяжеловесны» и дорогостоящи, что не всегда удобно и ограничивает их применение.

В случае обслуживания физических лиц используются системы с так называемым «тонким клиентом», который в предельном, «самом тонком» случае представляет собой обычный web– или WAP-браузер, а все необходимые для сеанса связи клиента с банком функциональные компоненты ПИО закачиваются с используемого кредитной организацией web-сервера на компьютер или средство мобильной связи, которые не представляют собой какое-либо специализированное АРМ. Этот случай наиболее интересен с точки зрения анализа сопутствующих такому варианту ДБО возможных факторов риска, тем более что в первой зоне концентрации источников риска (далее – зона риска) оказывается сам клиент.

Любое обслуживаемое той или иной кредитной организацией лицо (не важно – юридическое или физическое) должно быть в первую очередь уверено, что при использовании им технологии электронного банкинга (ТЭБ) для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда, например, клиент сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, поскольку открытые системы компьютерной связи (Интернет) подвержены атакам со стороны всякого рода «компьютерных мошенников» (кстати, совсем не обязательно хакеров). В частности, в случае интернет-атак типа так называемого фишинга [36] клиент может быть введен в заблуждение относительно того, что он имеет дело с известным ему банком, с последующей «выдачей» данных своей персональной идентификации, которые затем будут использованы мошенником для хищения финансовых средств или в каких-то других целях. При фишинге используются ложные сообщения электронной почты, имитирующее сообщение от кредитной организации, и, чаще всего (но не обязательно!) своего рода «web-сайты-муляжи», разработанные таким образом, чтобы ввести в заблуждение клиентов кредитных организаций и, как минимум, выманить их личные регистрационные данные, с помощью которых осуществляется доступ к их счетам и финансовым средствам. По статистике, на это попадаются примерно 5 % клиентов [37] (кажущаяся незначительность этой цифры не должна вводить в заблуждение – смотря какие клиенты!).

Например, одна из наиболее опасных атак этого вида осуществляется следующим образом. Фишер, воспользовавшись широко доступными справочниками (базами) web-адресов, рассылает сообщение, в котором под благовидным предлогом говорится о необходимости подтверждения клиентом той или иной персональной информации, и предлагает гиперссылку, через которую как бы инициируется соответствующий диалоговый интерфейс. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент, представляет собой фальшивый элемент изображения, формируемый JavaScript\'ом и наложенный на изображение настоящей адресной строки, в которой теперь стоит (но, понятно, не виден) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https: //), на изображении также присутствует программная кнопка «Переход», а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Java.

Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но кто из атакуемых об этом думает?! Это только один из вариантов мошенничества в Сети, и в связи с появлением все новых угроз доверчивым клиентом Банк России начал выпуск предупреждающих писем для кредитных организаций [38] .

Что касается фактически атакуемых кредитных организаций, то их специалистам уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ИБ о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т. п., проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из перечисленных выше рисков. Прежде всего будет поддержано доверие клиентов к ДБО через Интернет (а за ним скрыты компоненты стратегического риска), конечно, при сохранении функциональности системы ИБ. Далее, клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией, и «как оказалось, ненадежная», технология ИБ (компоненты правового и репутационного рисков). Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (компоненты тех же двух рисков и риска ликвидности).

Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и под держании информационной безопасности. Во-первых, клиенты кредитных организаций являются «всего лишь людьми», весьма склонными к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил формирования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, привлечение посторонних лиц к участию в конфиденциальных операциях и пр. Соответственно, в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе – перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т. п., претензии такой клиент предъявляет прежде всего к кредитной организации.

Поэтому во избежание реализации опять-таки связанных с подобными ситуациями компонентов правового, репутационного, операционного и стратегического рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии поведения клиента ДБО, составить соответствующие модели угроз (и для кредитной организации, и для клиента) и предусмотреть соответствующие меры и средства защиты. Понятно, что все это должно быть документально оформлено и утверждено, начиная с такого основного внутрибанковского документа, как «Политика обеспечения информационной безопасности» кредитной организации. Как и мошенничества в Интернете, с использованием банкоматов и т. п., так и любые инциденты информационной безопасности [39] являются обширной темой, требующей специального рассмотрения, поэтому здесь и далее будут сделаны лишь отдельные замечания в связи с конкретными видами банковских рисков.

Во-вторых, интенсивное развитие банковских информационных технологий, в особенности технологий ДБО, и наблюдающаяся в последнее время достаточно острая конкуренция на рынке таких технологий потенциально могут способствовать применению не полностью проверенных (протестированных), а следовательно, и недостаточно надежных с точки зрения обеспечения информационной безопасности программно-информационных комплексов. В разработках, предназначенных для ДБО клиентов, необходимо предусматривать множественные способы, меры и средства защиты сетевых ресурсов, начиная с доступа к программно-информационным ресурсам СЭБ и связанных с ней банковским автоматизированным системам и продолжая циркулирующей в ИКБД финансовой и другой информацией (имея в виду безопасность сетевого трафика) и, как отмечалось ранее, предупреждением ошибок клиента, приводящих к инцидентам информационной безопасности, а также самой кредитной организации, для которой факторы риска, концентрирующиеся в зоне риска клиента, могут действовать опосредованно.

Переход к работе через открытые системы означает такое ДБО, которое изначально предполагает и для клиента, и для кредитной организации взаимную анонимность, поскольку клиент работает с банком фактически виртуально. Выше шла речь об ухищрениях фишеров, использующих такую анонимность для клиента (т. е. клиент не всегда может быть полностью уверен в том, что работает с известным ему учреждением), но это не единственное проявление анонимности. Именно на таких эффектах основываются разнообразные противоправные операции, совершаемые с использованием технологий ДБО (когда кредитная организация не может быть полностью уверена в том, что к ней обращается именно официально зарегистрированный клиент). Тем самым и кредитная организация может оказаться незаметно для нее вовлечена в ту или иную противоправную деятельность (например, отмывание денег).

Рассматриваемые технологии могут быть использованы и уже достаточно активно используются для легализации доходов, полученных незаконным путем, совершения различных экономических преступлений и другой противоправной деятельности. Что касается отмывания денег, то оно в последние годы по всему «цивилизованному миру» получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Особенно активно для этих целей используется технология интернет-банкинга. Во многих зарубежных публикациях отмечается, что в настоящее время имеет место неизбежное отставание законодательной базы от практики, регулирующей, в частности, новые интернет-технологии и инструменты, что создает идеальные условия для их незаконного использования в целях отмывания денег. Анонимность используется для различной противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или «мертвые души», а также так называемые «бумажные банки» (хотя на самом деле они скорее «виртуальные») и т. п.

Опасность для кредитных организаций заключается в том, что следствием незаметной вовлеченности в незаконную деятельность является реализация компонентов правового и репутационного рисков со всеми вытекающими отсюда последствиями. Таким образом, необходимо еще раз подчеркнуть, что в современном мире при изучении и анализе банковских рисков акцент смещается с вида и содержания операционной банковской деятельности в сторону организации и условий такой деятельности. Безусловно, руководству и специалистам кредитных организаций необходимо учитывать особенности ДБО в этой части при адаптации внутрибанковских процессов, начиная с процесса управления банковскими рисками. Этот учет в свою очередь в оптимальном варианте должен подтверждаться соответствующими внутрибанковскими документами.

Пока в борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле, например устанавливаются требования увеличения объема и видов необходимых данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов ведения расследований подозрительных ситуаций. Таким образом, основная задача выполнения кредитными организациями принципа «знай своего клиента» оказалась при работе в виртуальном пространстве неожиданно сложной прежде всего из-за неполной реализации принципа «знай свои технологии», о чем, как свидетельствует практика, нередко забывают советы директоров и высшее руководство кредитных организаций.

Структура современных телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на инcmитуциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Появление технологий электронного банкинга переводит банковские операции в такую форму, когда реальные первичные документы, представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Собственно банковские операции совершаются на уровне физическом, но, так сказать, «внечувственном». Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно, так как проблема контроля осложняется многократно.

Основная проблема с операционной деятельностью в виртуальном пространстве заключается в том, что после открытия клиентом счета банк нередко не имеет возможности определить, проводит ли конкретную транзакцию официальный владелец счета, а иногда даже имеет ли место какая-либо операция. Поэтому во многих странах для борьбы с отмыванием денег выпущены специальные руководства, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности. Следует отметить, что само понятие «виртуальности» используется не случайно – то физическое пространство, которое соответствует ИКБД в случае ДБО, реально формируется только на то время, пока идут сеансы связи между различными разбросанными «по всему свету» шлюзами, маршрутизаторами, web-серверами, коммутаторами и другими компонентами этого контура. По завершении же такого сеанса это физическое пространство «рассыпается», и о том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия (предположительно известными, официально зарегистрированными личностями и (или) системами (серверами)) в соответствии с теми или иными командами, а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях компьютерных журналов регистрации системных событий («логах»). Это возможно, только если такие журналы вообще ведутся в банковских автоматизированных системах кредитной организации и кем-то из числа ее специалистов, ответственных за операционную деятельность, внутренний контроль, обеспечение информационной безопасности, противодействие противоправной деятельности и т. п. проверяются, изучаются и анализируются. Результаты таких проверок следует регулярно доводить до ее высшего руководства.

Физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например платежных, документов приводит к возникновению еще ряда проблемных задач, которые в свою очередь могут оказаться связаны с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера он, управляя процессом, например, через предоставляемые ему на экране компьютера гиперссылки, переводит систему ДБО в какой-то конкретный и априори, естественно, не известный ему (но, предполагаемо, штатный) режим работы этой системы. Для клиента этот переход выглядит как некое изменение в интерфейсе с СЭБ, с которой он имеет дело. Как правило, клиент выполняет действия, руководствуясь инструкциями по эксплуатации системы ИБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки в данных, тем самым защищая и кредитную организацию (т. е. в каком-то смысле выполняя отдельные функции обеспечения информационной безопасности).

Ранее такую же защитную функцию (или, иначе, парирующую ошибочные действия клиента) выполняла операционистка кредитной организации, но когда функции кредитной организации на самом деле выполняет ее банковская автоматизированная система, с которой дистанционно взаимодействуют клиенты (а сама эта организация превратилась в своего рода «кирпичный интерфейс» банковской деятельности), роль операционистки может играть сам клиент. Поэтому в СЭБ логично предусматривать механизмы защиты, в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой ИБ и банковской автоматизированной системой операционистов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи. Но сейчас клиентов дистанционного банковского обслуживания по всей стране уже сотни и сотни тысяч, и число их постоянно растет, что неудивительно, имея в виду удобства, предоставляемые ДБО.

Если в системе ДБО используется АРМ в варианте так называемого «толстого клиента», то на нем остается информация о переданных ордерах и проведенных операциях. В случае каких-либо нарушений в функционировании ИКБД, включая внутрибанковские системы (из-за отказов, аварий, сбоев, вмешательства хакеров и пр.), можно надеяться, что следы действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации дойдет до судебного разбирательства – компоненты правового и стратегического рисков). Если же используется система ДБО с «тонким клиентом» (например, интернет-банкинг), то вопрос гарантий того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода контрольных распечаток.

Эта проблема известна под названием «обеспечение невозможности отказа» [40] , например, от проведенной операции. Суть ее в том, что при ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а банк не признает этого факта, или, наоборот, когда (как чаще всего бывает при компьютерных мошенничествах) банк осуществляет платеж или перевод средств со счета клиента, который впоследствии утверждает, что никаких распоряжений относительно этого не делал. Решение этой проблемы предполагает опять-таки разработку моделей угроз кредитной организации, сценариев их развития и тщательный анализ последствий этих сценариев для самой кредитной организации, ее клиента и, конечно, для ее имиджа «банка XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа потребностей в них, стратегического или бизнес-планирования, технико-экономического обоснования и т. п.).

В случаях недостаточной проработки вопросов, связанных с защитой прав клиента, пользующегося СЭБ, и обеспечением выполнения кредитной организацией обязательств перед ним, что отражается (или должно отражаться) прежде всего в договоре о ДБО, лишняя (и совершенно необязательная) «головная боль» этой организации гарантирована. Впрочем, практика надзорной деятельности и изучения договоров такого рода свидетельствует, что кредитные организации часто оговаривают для себя отсутствие ответственности за прерывания обслуживания такого вида. При этом характерно то, что о каких-либо правовых последствиях, невыполнении взятых на себя обязательств, ущербе, нанесенном клиенту, и т. п. речи не идет. Это относится, кстати, и к содержанию договоров кредитных организаций с провайдерами, от которых непосредственно зависят результаты сеансов ДБО: даже намеки на защиту интересов клиентов в их текстах, как правило, отсутствует. Ситуация облегчается тем, что, судя по содержанию упомянутых договоров, клиентов ДБО это беспокоит.

В завершение рассмотрения особенностей анализа основных банковских рисков, относящихся к первой, клиентской, зоне концентрации факторов банковских рисков, следует отметить еще один аспект интереса, неизменно проявляемого зарубежными органами банковского регулирования и надзора к банковскому обслуживанию через Интернет. В качестве примера выбрано содержание одного из документов FDIC (Федеральной Корпорации Страхования Депозитов) США [41] , касающегося дополнительных факторов риска, связанных с использованием кредитными организациями web-сайтов. Органы банковского регулирования и надзора США считают, что кредитные организации [42] , «организующие отношения с другими учреждениями за счет web-связей» (проще говоря, использующие представительства в Интернете), подвержены рискам, «ассоциируемым с применением такой технологии, основными из которых являются репутационный и правовой риски». Эти риски возникают, когда сторона, с которой установлена web-связь, может негативно повлиять на клиентов кредитной организации, которые могут ошибочно интерпретировать связанную через гиперссылки информацию «как имеющую отношение к продуктам или услугам» самой кредитной организации или как ее рекомендации из-за того, что:

– клиенту трудно понять, кто предлагает продукты и услуги – кредитная организация или связанная с ней сторона;

– клиент не доволен качеством продуктов или услуг, предоставляемых этой стороной;

– клиент не может понять, применимы ли какие-либо меры защиты прав потребителя к продуктам или услугам третьих сторон.

Поэтому в документе указывается, что кредитным организациям следует внимательно относиться к установлению web-связей, поскольку любая связь с web-сайтом третьей стороны приводит к подверженности риску, независимо от того, является эта сторона аффилированной или нет. При этом акцентируется роль руководства кредитной организации, поскольку ему следует, как сказано, «эффективно планировать, реализовать и контролировать отношения своей организации, обусловленные web-связями» с третьими сторонами. Предлагаются следующие методы управления подверженностью кредитной организации рискам, обусловленным наличием связей (в форме гиперссылок, баннеров, выделяемых на web-странице фреймов и пр.) с используемого им web-сайта с третьими сторонами:

• планирование web-связей, исходя из состава услуг предлагаемых кредитной организацией возможным пользователям (клиентам);

• изучение соответствия деятельности web-контрагентов кредитной организации установленным требованиям (законодательства [43] );

• оценка соответствия устанавливаемых связей стратегическим целям кредитной организации и ее общественному имиджу;

• определение видов и содержания услуг, которые станут доступны клиентам через посредство web-связей на web-сайте кредитной организации;

• анализ потенциально возникающих обязательств кредитной организации в отношении третьих сторон, к которым ведут эти web-связи;

• специфика документарного обеспечения в кредитной организации устанавливаемых web-связей и сопутствующих этому обязательств;

• исследование возможных претензий к кредитной организации, если ее web-связи вызовут недовольство тех или иных пользователей;

• оценка законности воспроизведения торговых марок, брендов и т. п., которое может иметь место через web-связи, и т. д.

Поэтому считается, что руководству финансового учреждения при планировании web-связей следует изучить виды продуктов и услуг, которые станут доступны ее клиентам через эти связи, и оценить, насколько такие связи адекватны стратегическому плану учреждения и с какими рисками они связаны. Следует отметить, что такие процедуры логично рассматривать как неотъемлемые компоненты процесса корпоративного управления web-представительствами в кредитной организации, использующей технологию интернет-банкинга.

6. З. Источники банковских рисков в среде взаимодействия

Вторая зона концентрации источников банковских рисков, расположенная между клиентом и кредитной организацией, формируется провайдерами или, точнее, принадлежащими им информационными системами, специальным аппаратно-программным обеспечением (АПО), средствами телекоммуникаций (информационно-телекоммуникационными сетями) и другими техническими ресурсами. Роль и место даже таких провайдеров в современной банковской деятельности (не говоря уже о явлении аутсорсинга в целом) изучена недостаточно , о чем, кстати, свидетельствует в первую очередь содержание договоров кредитных организаций с ними и со своими клиентами, которые пользуются ДБО. Также характерны и последствия сетевых атак на упомянутые выше системы, следствием которых оказываются крупные убытки кредитных организаций и их клиентов (вспомним хотя бы атаки на систему Faktura.ru с такими последствиями [44] ). Еще одним доказательством новизны и слабой изученности роли и места провайдеров в банковской деятельности (в широком смысле) являются многочисленные недостатки в организации и реализации процесса управления банковскими рисками в кредитных организациях, пользующихся аутсорсингом, т. е. в содержании процедур выявления, анализа, мониторинга этих рисков и воздействия на их источники (что обычно определяется как «управление рисками»).

Необходимость учета возможных зависимостей операционной деятельности кредитных организаций от провайдеров и «потенциального» их влияния (или связанных с ними факторов) на нее при планировании ДБО интуитивно понятна. Выход из строя оборудования провайдера из-за аварий или отказов, а также при переходе в нештатный режим работы из-за сбоев в работе их АПО в большинстве случаев приведет к нарушению обслуживания клиентов или работы самой кредитной организации, из-за чего ее обязательства перед ними окажутся невыполненными. Вследствие этого возможна реализация компонентов операционного, правового, репутационного рисков, а в отдельных случаях риска неплатежеспособности (ликвидности) и стратегического риска (в форме последствий отказов от использования ненадежных систем ДБО или формируемых ими ИКБД). Очевидно, что наибольшая часть клиентов кредитных организаций не имеет полного представления о функционировании систем ДБО и тех «промежуточных инстанциях», через которые проходят потоки ордеров, финансовых и других данных. Так что претензии клиент будет предъявлять не провайдеру, а кредитной организации.

Необходимо отметить, что понятие «провайдер» в случае применения технологий ДБО лучше понимать в широком смысле, учитывая те разнообразные роли, которые такие «обслуживающие» организации играют в современном мире. Для многих организаций провайдерами могут являться разработчики web-сайтов (или web-порталов) или интернет-провайдеры, на компьютерном оборудовании которых размещаются web-сайты, которые используют кредитные организации, процессинговые компании (вычислительные центры), в том числе принадлежащие холдингам или банковским группам, или центры обработки и хранения данных, а также организации, предоставляющие услуги связи и соответствующие линии (каналы) и т. д. Многие малые и средние кредитные организации нередко прибегают к под держке провайдеров в тех случаях, когда не имеют возможностей создать и поддерживать собственный вычислительный центр или департамент (управление) информатизации либо применяют «готовые» технологии, уже реализованные сторонней организацией, специализирующейся на системах ДБО.

Каждый такой вариант характеризуется индивидуальным (хотя нередко схожим) составом источников банковских рисков. Это обусловлено и типом информационного взаимодействия кредитных организаций со своими клиентами, и архитектурой банковских автоматизированных систем, и способами доступа клиентов к информационно-процессинговым ресурсам кредитных организаций (или их провайдеров), и программно-техническими решениями в кредитных организациях, образующими так называемые «информационные сечения» между БАС и СЭБ и внешним миром. Вследствие этого кредитным организациям целесообразно было бы адаптировать внутренние процедуры выявления, анализа и мониторинга банковских рисков к конкретному составу ИКБД, тем более в тех случаях, когда используются сразу несколько разновидностей технологий ДБО. Аналогичным образом целесообразно адаптировать и содержание (алгоритмы) управления банковскими рисками, включающими компоненты технологического и технического характера. Таким образом, в совокупности анализ влияния компонентов ИКБД на операционную деятельность кредитной организации (и ее результаты) в целом может оказаться сложным. Но тем, кто строит свои стратегические планы с расчетом на будущее электронного банкинга (e-Banking), без этого не обойтись.

Повышенная зависимость от различных провайдеров услуг (и деловых партнеров) при осуществлении критически важных функций в рамках электронного банкинга вполне может приводить к уменьшению возможностей непосредственного контроля над ними со стороны руководства кредитной организации. Соответственно ее органы управления оказываются перед необходимостью создания особой процедуры управления банковскими рисками, ассоциируемыми с заказной обработкой банковских данных и возможной зависимостью от сторонних организаций, которая охватывала бы всю деятельность провайдеров (включая субконтракты на заказную обработку данных или поддержку оборудования), которые могут привести к реализации компонентов банковских рисков. В принципе, это может быть вообще специально ориентированный на управление отношениями с провайдерами процесс, через внутрибанковские процедуры связанный с процессом управления банковскими рисками.

Поскольку речь идет о получении, промежуточной передаче, преобразовании и хранении данных, т. е. процедурах, на которые кредитная организация непосредственно влиять не может, ее органам управления целесообразно анализировать в комплексе компоненты как минимум операционного, правового, репутационного рисков (ведь все они связаны с возможными выходами компьютеризованных систем из штатных режимов работы), а в ряде специальных случаев также риска неплатежеспособности. Последний проявляется тогда, когда возникшие у провайдера проблемы препятствуют получению клиентами кредитной организации своих финансовых средств через ту или иную систему ДБО. Иногда случается и реализация компонентов стратегического риска, например при необходимости отказа от услуг провайдера или его замены. В худшем варианте этот риск реализуется для кредитной организации в виде совокупных затрат (потерь) на переход (возврат) к самостоятельному выполнению переданных на аутсорсинг функций.

При анализе факторов риска, связанных с работой через конкретную организацию-провайдера, специалистам кредитной организации целесообразно работать в тесном контакте с ее специалистами, выясняя, какие меры принимаются ими для исключения влияния тех или иных факторов и источников риска. Очевидно, что квалификация банковского персонала должна быть, как минимум, «необходимой и достаточной» для такого взаимодействия. В процессе анализа целесообразно учитывать то, что довольно распространенным явлением стало использование хакерами различных сетевых (или распределенных) компьютерных систем в качестве промежуточных «усилителей» атак. Суть процесса состоит в том, что хакер атакует со своего компьютера компьютерные сети каких-либо провайдеров, «заражая» их вредоносной программой, которая инициирует генерацию запросов на конечный объект атаки с компьютеров, входящих в состав так называемых «ботнетов» или «зомби-сетей» ничего не подозревающих провайдеров. Поскольку таких компьютеров могут быть сотни, серверы связанных с провайдером организаций оказываются «завалены» своего рода «вторичными» запросами, лавину которых невозможно обработать с помощью имеющихся вычислительных ресурсов, и операционная деятельность этих организаций прекращается, что, естественно, сразу сказывается на их клиентуре. Мало того, такие атаки могут быть организованы не только индивидуальными злоумышленниками, но и по сговору как разновидность недобросовестной конкуренции. Следствием вывода из строя компьютерной сети кредитной организации является реализация компонентов всех перечислявшихся выше банковских рисков.

На описанное явление и подобные ему в последние годы обращают все больше внимания зарубежные органы банковского регулирования и надзора. В качестве одного из примеров можно привести подход упоминавшегося выше Управления контроля денежного обращения США (в аббревиатуре – ОСС), которое периодически обобщает информацию об угрозах для коммерческих банков, осуществляющих ДБО, и издает так называемые «предупреждения» (alerts ). Ниже приведены выдержки из одного предупреждения такого рода (Alert 2000-1):

Тема: Безопасность интернет-технологий

Кому: Руководителям высшего уровня и ответственным за информационные технологии национальных банков, филиалам, провайдерам услуг и поставщикам программного обеспечения, начальникам департаментов и управлений, инспекторам

«За последнее время большое число web-сайтов, используемых для электронной коммерции, подверглись атакам, прерывающим доступ клиентов к ним за счет наводнения этих сайтов большими объемами информации, превышающими возможности компьютеров по ее обработке. Этот вид атак известен как «распределенный отказ в обслуживании» (Distributed Denial of Service – DDoS). Они опасны для используемых банками web-сайтов и требуют пристального внимания их руководства… Чтобы убедиться, что ваше учреждение не является невольным участником таких атак, вам следует проверить свои компьютерные системы. Дополнительную информацию по таким атакам можно получить на сайте Carnegie Melon University CERT/CC по адресу: http://www/cert.org/reports/dsit_workshop.pdf… Финансовым учреждениям следует обновлять оценки производительности своих систем с точки зрения парирования таких атак и других угроз информационной безопасности, а также периодически тестировать безопасность вычислительных сетей, совершенствовать методы выявления рисков, средства снижения рисков, соответствующие политику и процедуры (как это описано в руководствах Управления и Федерального совета по проверкам финансовых учреждений)… Также следует обеспечивать актуальность планов на случай непредвиденных обстоятельств. В ходе планирования действий финансовых учреждений на случай непредвиденных обстоятельств должны предусматриваться объяснения клиентам того, что временная неработоспособность используемых банком web-сайтов не угрожает средствам клиентов, а банк способен полностью удовлетворить их потребности в банковском обслуживании через другие каналы доведения банковских услуг… В случае если учреждение становится жертвой атаки DDoS или у него возникают проблемы из-за такой атаки, об этом следует сообщить органам власти через «Отчет о подозрительной деятельности» [45] и уведомить своего инспектора ОСС».

В совокупности все рассмотренные выше факторы и источники банковских рисков подчеркивают необходимость всеобъемлющего и постоянного оценивания связей в рамках любой заказной обработки, к которой прибегает кредитная организация, и других видов внешней зависимости, включая ассоциируемые с ними влияния на профиль риска конкретного банка и возможности надзора за управлением рисками. При таком оценивании влияния аутсорсинга следует также учитывать степень контроля, реализуемого в отношении сторонних организаций. Как отмечается в руководствах ОСС, основной акционер в совместном предприятии во многих случаях может обладать большим контролем, чем в случае контрактных отношений с провайдером услуг, однако «из таких различий не следует, что акционерный контроль над совместным предприятием или товариществом будет в любом случае эффективным, особенно если технологии и обслуживание, необходимые для работы такой ассоциации, предоставляются акционером с малым числом акций. Такие различения бывают полезны в основном для того, чтобы обосновать проведение оценивания от случая к случаю. Наблюдение со стороны совета директоров и высшего руководства банка за связями в части заказной обработки и зависимости от сторонних организаций следует особенно фокусировать на том, чтобы обеспечивались:

• полное понимание банком тех рисков, которые связаны с вовлечением в заказную обработку или партнерские отношения для работы его банковских систем или прикладных программ;

• должная своевременная проверка компетентности и финансовой устойчивости любых сторонних провайдеров услуг или партнеров, проводимая до заключения каких-либо контрактов на обслуживание в рамках электронного банкинга;

• точное определение контрактной подотчетности всех участников заказной обработки или партнерских отношений [46] (к примеру, должны быть четко определены обязанности по предоставлению информации провайдеру услуг и получению информации от него);

• учет всех операций и систем электронного банкинга, связанных с заказной обработкой, в концепциях управления рисками, обеспечения безопасности и соблюдения конфиденциальности, которые удовлетворяют стандартам, принятым в данном банке;

• проведение периодического независимого внутреннего и (или) внешнего аудита заказных операций по меньшей мере в том же объеме, который требовался бы, если бы такие операции проводились в самом банке;

• наличие должных планов на случай непредвиденных обстоятельств для деятельности в рамках электронного банкинга, осуществляемой в заказном порядке».

Сказанное особенно справедливо в тех случаях, когда кредитная организация пользуется компьютерными системами сторонних организаций для поддержки своей операционной деятельности и тем более когда передает на аутсорсинг всю эту деятельность. Для клиентов такой кредитной организации эта метаморфоза остается неизвестной, поэтому и желателен именно риск-ориентированный подход органов управления кредитной организации, полагающейся на аутсорсинг, к рассмотрению проблематики ДБО с «клиент-ориентированных» позиций. По существу, такая организация принимает на себя полную ответственность за работу своего провайдера, равно как и за условия реализации аутсорсинга. В современном мире, где банковская деятельность приобрела благодаря колоссальным телекоммуникационным формированиям глобальный виртуальный характер, целесообразно задуматься о том, что стоит за такой глобализацией.

В банковской же реальности, на самом деле основанной на виртуальности, кредитные организации оказываются не менее зависимыми друг от друга и от своих банковских автоматизированных систем, чем их клиенты от надежности таких систем. В известном смысле эти организации сами становятся провайдерами «друг для друга», если говорить о взаимосвязях, формирующихся и в отдельных странах, и по всему миру из-за так называемого «электронного трансфера» финансовых средств. Ведь неожиданный выход из строя или возникновение сбоев в работе каких-либо компонентов АПО кредитных организаций, препятствующие выполнению ими обязательств перед своими контрагентами, могут обернуться «цепным» кризисом неплатежей (чему уже бывали примеры в истории современного банковского дела).

6.4. Источники банковских рисков в сетевых структурах

Третью зону концентрации источников банковских рисков образуют локальные (или зональные) вычислительные сети кредитных организаций. Их сложность всегда различна, а состав и архитектура, как правило, уникальны. Вместе с тем при организации управления банковскими рисками целесообразно учитывать, что любые схемы выявления, оценки, анализа риска хороши лишь настолько, насколько верна, надежна и устойчива заложенная в их основе методология выявления, оценивания и анализа рисков. Разным архитектурам и АПО БАС, и СЭБ свойственны различные подмножества факторов риска в зависимости от организационнотехнических решений, принятых при построении этих систем. Следствием этого становится индивидуальный характер наборов источников рисков в ИКБД для каждой кредитной организации. Поэтому при использовании в банковской деятельности распределенных компьютерных технологий в открытых системах (например, интернет-банкинг) неизбежно приходится разрабатывать собственную, также индивидуальную технологию выявления, анализа, мониторинга таких рисков и управления ими.

Новые технологии могут привести к кардинальным изменениям в бизнес-моделях и функциональных процессах кредитной организации, однако ее органам управления необходимо исходить из того, что технологические нововведения не должны оказывать негативного влияния не только на выполнение кредитными организациями банковских операций, но и вообще всех обязательств перед клиентами. К этим обязательствам относятся прежде всего:

• доступность ДБО, причем это относится как к внутрибанковским системам, так и к системам провайдеров, используемым кредитной организацией (компоненты операционного, правового и репутационного рисков);

• своевременность и адекватность выполнения ордеров клиентов кредитной организации (компоненты всех рисков, учитываемых в анализе при использовании ДБО);

• полнофункциональность ДБО, задаваемая кредитной организацией при проектировании и внедрении СЭБ (компоненты операционного, репутационного и стратегического рисков);

• контролируемость функционирования внутрибанковских и внешних по отношению к кредитной организации систем (в разумных пределах), включая вопросы обеспечения целостности данных и безопасности банковской деятельности (компоненты операционного, правового, репутационного и стратегического рисков).

Кредитной организации, переходящей к ДБО, следует заботиться об адекватности содержания таких ключевых внутрибанковских процессов, как:

• интеграция приложений электронного банкинга с уже действующими банковскими автоматизированными системами;

• обеспечение точности и целостности принимаемых, обрабатываемых, передаваемых и хранимых клиентских и банковских данных;

• внедрение процедур усовершенствованного контроля над рисками, внутреннего контроля, а также процессов аудита (на новом уровне).

По существу, в новых условиях банковской деятельности (применения ДБО) требуется разработка новой эффективной политики и практики управления проектами, жизненным циклом систем, контроля за изменениями, технологии мониторинга банковских рисков и гарантией качества, причем в комплексе. К этому следует добавить (фактически уникальную во всех случаях) организацию автоматизированного выполнения банковских операций и формирования управленческой и контрольной информации в каждой кредитной организации. Организация должна обеспечить обоснованное формирование управленческих решений с учетом сведений о рисках.

Последнее имеет принципиальное значение в условиях применения новых банковских информационных и операционных технологий, так как при их внедрении отсутствуют сколько-нибудь полные и адекватные модели зон концентрации факторов риска. В то же время для принятия эффективных решений в отношении мониторинга рисков и управления ими необходимы именно такие модели. На практике подавляющее большинство решений такого рода принимается на уровне менеджеров среднего звена, а то и непосредственных исполнителей, особенно в малых и средних кредитных организациях. Однако тот факт, что до органов управления кредитной организации далеко не всегда доводится информация о недостатках, выявленных в процессе функционирования банковских информационных систем и систем ДБО, а проблемы «решаются на местах», свидетельствует о наличии опасности повторений ситуаций с реализацией факторов риска. Это особенно опасно для самой организации и ее клиентов в тех случаях, когда речь идет об «инцидентах информационной безопасности», в отношении конкретных (т. е. определенных и документально зафиксированных) значимых банковских и клиентских операций и данных.

Идеальных способов и средств обеспечения информационной безопасности в сетевых структурах до настоящего времени не существует, вследствие чего не может быть и идеально защищенных компьютерных систем. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, о чем соответствующие лица в кредитных организациях должны быть осведомлены, причем полные и адекватные знания требуются, как минимум, о средствах защиты так называемого «сетевого периметра» кредитной организации, основными из которых являются брандмауэры. Как правило, значительная часть угроз типа вторжений в корпоративные вычислительные сети связана с влиянием источников рисков, скрытых в ошибках настройки брандмауэров и прокси-серверов, которые в свою очередь обусловлены отсутствием или неполнотой корпоративной политики такой настройки.

Не менее опасными причинами возникновения источников банковских рисков являются отсутствие сегментации вычислительных сетей кредитных организаций и некорректное применение технологии VPN – виртуальных частных сетей в тех случаях, когда «туннели», формируемые в открытых сетях, оказываются недостаточно защищены. Кстати, к нарушениям целостности сетевой защиты могут приводить и ошибки пользователей (сетевых и системных администраторов, операторов, операционистов), и недостатки в так называемой парольной политике, и некачественный контроль условий функционирования и состояния сетевых компонентов со стороны службы обеспечения информационной безопасности кредитной организации.

6.5. Источники банковских рисков за рубежом

В некоторых публикациях Базельский комитет по банковскому надзору (БКБН) подчеркивает, что для минимизации правового и репутационного рисков, связанных с операциями электронного банкинга, осуществляемыми как локально, так и ориентированными за рубеж, «банки должны обеспечивать адекватное представление информации на своих web-сайтах и принимать необходимые меры, гарантирующие соответствие требованиям конфиденциальности со стороны клиентов в рамках той юрисдикции, которой подчиняются банки, предоставляя услуги в рамках электронного банкинга». Тематика трансграничного банковского обслуживания, особенно посредством интернет-банкинга, сама по себе является объектом интенсивных исследований БКБН. Однако, по состоянию на настоящий момент, только определена предметная область и получены некоторые предварительные результаты, поэтому пока еще преждевременно говорить о каких-либо конкретных рекомендациях, за исключением таких как [47] :

«Принцип 1: до того как начать деятельность в рамках трансграничного электронного банкинга, кредитной организации следует провести должное оценивание риска и принимаемых на себя обязательств, в результате которого в ней будет внедрена эффективная программа управления рисками данной деятельности» и «Принцип 2: кредитной организации, собирающейся приступить к обслуживанию в рамках трансграничного электронного банкинга, следует разместить на своем web-сайте информацию, достаточную для того, чтобы ее потенциальные клиенты могли получить достоверные сведения об этой организации как юридическом лице, включая страну дислокации и лицензионные данные».

В материалах такого рода обсуждаются преимущественно возможные отличия в содержании законов, регламентирующих банковскую деятельность, проблемы проведения расследований подозрительной финансовой активности, в которой участвуют коммерческие банки разных стран, и вопросы международного взаимодействия органов банковского надзора. Не исключено, что по мере развития ДБО подобные вопросы должны будут привлечь внимание руководителей отечественных кредитных организаций.

6.6. Подходы к парированию влияния источников банковских рисков

При использовании технологий ДБО, относящихся к использованию клиентами кредитных организаций средств компьютерной связи в глобальном масштабе, их руководству целесообразно учитывать уже выработанные рекомендации зарубежных органов банковского надзора (см., к примеру, ссылки на публикации БКБН). В этих документах в наиболее общем случае органам управления кредитной организации рекомендуется внедрять полноценные и непрерывные процессы наблюдения за выполнением взятых на себя обязательств и контроля самих процессов (и их результатов), которые, во-первых, критично важны с точки зрения потребностей клиентов кредитной организации и ее самой и, во-вторых, могут прямо зависеть от выполнения своих обязательств провайдером, с помощью которого эти процессы поддерживаются.

Тем не менее при правильной организации работы самой кредитной организации, т. е. наличии в составе ее деятельности ряда важных бизнес-процессов (в широком смысле) становится возможным парировать если не все внешние и внутренние угрозы, обусловленные компьютеризацией банковской деятельности и применением кредитными организациями ДБО, то во всяком случае подавляющее большинство из них. В материалах зарубежных органов банковского надзора в последние годы подчеркивается, что внедрение кредитными организациями все новых видов и способов такого банковского обслуживания клиентов в условиях отсутствия регламентации этих процессов приводит к расширению состава негативных факторов, которые могут затронуть интересы клиентов этих организаций, равно как и негативно сказаться на их финансовом состоянии. Рассматривая эту проблематику в той же последовательности, в какой она представлялась выше, логично начать с клиентской зоны концентрации источников риска.

При организации и осуществлении банковской деятельности заботу о клиенте, об удовлетворении его потребностей и учете его интересов традиционно принято ставить «во главу угла» (или по крайней мере декларировать это). Однако «состав» этой заботы не всегда определяется адекватно потребностям как самой кредитной организации, так и ее клиентов. Имеется в виду целесообразность проведения при внедрении каждой новой банковской технологии, ориентированной на ДБО, анализа тех «неприятностей», которые клиент (как авторизованный, так и нет, т. е. хакер или преступник) может причинить из-за недостатков, присущих конкретной банковской информационной технологии, реализующей ее БАС, внутренним документам кредитной организации, обеспечению информационной безопасности, а также тех, которые могут быть обусловлены ошибочными действиями персонала этой организации и безграмотностью клиентов в области компьютерных технологий или информационной безопасности. «Подмножества» таких неприятностей в свою очередь целесообразно формировать и анализировать в отношении обеспечения целостности как массивов банковских и клиентских данных, так и операционной работы в целом (включая варианты нештатного функционирования ее автоматизированных систем).

Поэтому применение любой ТЭБ вынуждает кредитные организации пересматривать и адаптировать целый ряд внутрибанковских процессов и составляющих их процедур к новым условиям деятельности, а также вводить дополнительные. При этом всегда желательно устанавливать непрерывные причинно-следственные связи между особенностями ИБ, текущей операционной работой и массивами данных, с которыми эта работа осуществляется и на которые эти особенности могут повлиять. Ввиду множественности факторов, вызванных возникновением ИКБД, такие связи не всегда очевидны. В первую очередь это относится к процессам управления банковской деятельностью, ее анализу и контролю над ней с охватом всех тех компонентов ИКБД, которые могут оказаться в «пределах досягаемости» кредитной организации для их учета.

Целесообразно рассмотреть такой новый внутрибанковский процесс, как эффективное обеспечение функционирования каждого web-сайта, используемого кредитной организацией (неважно, собственного или арендуемого), который ранее в ней отсутствовал и содержание которого прямо зависит от размещения, функционального назначения, ведения, сопровождения и контроля так называемого «контента» web-сайта. Такой процесс может состоять, как минимум, из:

• принятия обоснованных управленческих решений относительно организации и функционирования представительств в Сети;

• разработки внутренних документов, регламентирующих ведение, сопровождение и контроль содержания web-сайтов [48] ;

• назначения ответственных лиц за работу представительств в Сети (и осуществление операций в случае интернет-банкинга);

• определения порядка формирования содержания web-сайтов и наполнения их информацией от подразделений кредитной организации;

• разработки внутренних документов, регламентирующих прекращение использования web-сайтов и (или) изменения их дислокации;

• определения порядка информирования клиентов о деятельности в рамках ДБО и об изменениях в ее содержании;

• назначения ответственных лиц за подготовку регламентной банковской отчетности, имеющей отношение к обслуживанию через системы ДБО;

• организации и осуществления контроля над операциями ДБО.

Таким образом, кредитной организации желательно изначально определить и сопоставить необходимость перехода к ДБО с использованием Интернета со своими стратегическими целями, равно как и свои возможности по обеспечению пруденциальных условий такого обслуживания. Из этого перечисления видно, что круг подлежащих рассмотрению и изучению вопросов может оказаться достаточно обширным, а их решение скорее всего приведет к возникновению потребности кредитной организации в дополнительных ресурсах как финансовых, так и квалификационных. Впрочем, в настоящее время считается, что первоначальные затраты на внедрение ИБ могут быть относительно высоки, но они быстро окупаются с ростом клиентской базы.

Однако это далеко не все, что касается представительства в Сети, особенно в тех случаях, когда кредитные организации используют в своей деятельности несколько функционально различных web-сайтов. В настоящее время, несмотря на интенсивное развитие web-порталов, часто встречается функциональное разделение web-сайтов: одни из них имеют чисто информационный характер, служа целям маркетинга, другие предназначены для интернет-трейдинга, дилинга или брокеринга, третьи обеспечивают операционный интернет-банкинг – непосредственное управление клиентами своими счетами и т. п. В каждом из вариантов использования кредитными организациями интернет-обслуживания имеются свои особенности, которые характеризуются различными наборами факторов риска. В первую очередь имеет значение наличие (или, напротив, отсутствие) каких-либо физических связей между web-серверами и банковскими автоматизированными системами кредитных организаций. Очевидно, что от организации таких связей и конкретного содержания ИБ зависят и состав, и количество источников риска, и их конкретный набор из возможных типичных банковских рисков.

Следствием этого являются принципиальные различия в составе необходимых и достаточных мер защиты внутрибанковских автоматизированных систем кредитных организаций, их операционного программного обеспечения и массивов банковских и клиентских данных. Если кредитная организация использует выделенный web-сайт только для представления себя в Сети и маркетинга, то этому варианту могут сопутствовать элементы репутационного и правового рисков, тогда как составляющие стратегического и операционного риска, а также риска ликвидности отсутствуют. Вследствие этого нет необходимости в организации защиты БАС и других внутрибанковских систем, связанной со значительными затратами на обеспечение информационной безопасности. В то же время защита самого web-сайта, обеспечение целостности представляемой на нем информации, своевременное обновление и контроль его содержания, а также эффективное взаимодействие кредитной организации с провайдерами, от которых в какой-либо степени зависит функционирование сайта, остаются необходимыми для любого варианта реализации интернет-банкинга (информационного, коммуникационного или операционного).

Некоторые особенности связаны с введением и контролем контента web-сайта и с теми случаями, когда кредитные организации формируют свое представительство на web-сайтах сторонних компаний или допускают представительство таких «третьих лиц» на своем web-сайте в виде выделенных фреймов, баннеров или гиперссылок. В таких случаях кредитной организации целесообразно формировать web-страницы таким образом, чтобы заведомо исключить возможность введения в заблуждение клиентов (как реальных, так и потенциальных) относительно того, кто именно и какие услуги предоставляет из числа тех, о которых сообщается на web-сайте. Очевидно, что решения такого рода целесообразно оформлять в кредитной организации документально и оговаривать в этих документах допустимые (или недопустимые) с точки зрения ее интересов варианты взаимодействия.

Подобные ситуации за рубежом определяются как «совместно используемое электронное пространство» (shared electronic space). При этом самой кредитной организации желательно заботиться и о защищенности используемых в банковской деятельности web-сайтов, хотя бы в части организационных мер, чтобы исключить возможности несанкционированного воздействия на их контент и функционал. Можно предположить, что клиенты ожидают от кредитной организации непрерывной доступности конкретной услуги и интуитивно понятного построения web-страниц с простой навигацией (ориентацией) по ним. По мере расширения присутствия в Сети внутренние документы и регламенты кредитной организации, имеющие отношение к этому процессу, целесообразно обновлять, что также считается заботой ее органов управления.

Как отмечалось, заметное влияние на процессы ДБО оказывают клиенты кредитной организации, «компьютерно грамотные», обученные, снабженные необходимыми средствами идентификации и аутентификации, подлежащими использованию при передаче ордеров или осуществлении транзакций, а также руководствами пользователя или инструкциями, и строго им следующие. Для того чтобы такая идеальная ситуация действительно сложилась, требуется наличие в кредитной организации и (или) ее филиалах таких специалистов, которые не только имеют представление о всех аспектах ДБО, но и располагают полным набором внутренних документов, его регламентирующих. В случаях «заказной» разработки СЭБ или приобретения ее «под ключ» у какой-то компании-разработчика этим специалистам целесообразно убедиться, что соответствующая поставочная документация на систему содержит все необходимые для безопасной и надежной работы с ней указания, причем как для клиентов, так и для операторов кредитной организации. Естественно, предполагается, что эти специалисты сами имеют адекватное представление о составе и содержании таких указаний. От них же зависит, насколько полно и адекватно будет учтен возможный состав действий будущих клиентов ДБО, и прежде всего тех, из-за которых проблемы с ДБО могут возникнуть не только у клиентов, но и у самой кредитной организации.

Такого рода организацию внутрибанковских процессов управления и контроля ДБО желательно подкреплять соответствующими внутрибанковскими распорядительными документами, что настоятельно рекомендуется зарубежными органами банковского регулирования и надзора [49] . Тогда при должном содержании и качестве договоров с клиентами о ДБО будет в значительной степени ослаблено влияние на результаты банковской деятельности компонентов операционного, репутационного, правового и стратегического рисков, связанных с клиентской зоной. На самом деле и кредитная организация, и ее клиенты должны быть в равной степени «защищены» друг от друга.

Очевидно, что для обеспечения надежной и безопасной работы с клиентами кредитной организации в определенном варианте ДБО требуется наличие специально организованного внутреннего процесса, в который вовлекается достаточно большое число ее сотрудников. Это, как минимум, специалисты подразделений информатизации (желательно – владеющие web-технологиями), информационной безопасности, какая-то часть операторов внутрибанковских автоматизированных систем, а также сотрудники сервис-центра, к которым обращаются клиенты при возникновении вопросов. В должностные инструкции каждого из таких сотрудников целесообразно включать положения, гарантирующие выполнение действий, которые парировали бы возможные неумышленные (как правило) угрозы со стороны клиентской зоны риска, равно как и контролируемость их действий.

В общем случае, при внедрении любых новых банковских технологий, особенно относящихся к ДБО, рекомендуется осуществлять переподготовку персонала, в ходе которой сотрудники кредитной организации ставились бы в известность о внешних угрозах, которые могут оказаться связаны с внедряемой технологией, возможных ошибках клиентов и т. п. Можно добавить, что этих сотрудников полезно информировать также и о тех негативных последствиях, к которым может привести невыполнение ими самими своих должностных инструкций (положения такого рода нередко встречаются в материалах зарубежных органов банковского регулирования и надзора).

Аналогичные процессы следовало бы организовывать и в отношении «внешнего киберпространства», со стороны которого постоянно (круглосуточно) присутствуют угрозы несанкционированных проникновений. Атаки могут вестись через компьютерные системы связанных с кредитной организацией сторон, а следовательно, такие угрозы также желательно предусмотреть, разрабатывая и политику информационной безопасности, и систему защиты внутрибанковских систем, и планы действий на случай чрезвычайных обстоятельств, а также составляя контракты на аутсорсинг.

Что касается фактически атакуемых кредитных организаций, то их специалистам уместно было бы организовать своеобразный «процесс повышения квалификации» по изучению «достижений» потенциальных противников. Это относится прежде всего к специалистам по информационным технологиям и информационной безопасности, ведь именно от них зависит, насколько правильно настроены средства защиты сетевого периметра и внутрибанковских систем, какие виды угроз предусмотрены и какие сценарии на этот счет описаны, своевременно ли заменяются компьютерные средства защиты, «пробитые» крэкерами, и вносятся изменения в политику информационной безопасности и в связанные с ней регламенты (например, настройку брандмауэров) при внедрении новых банковских технологий и т. п. Давно используемое программное обеспечение хорошо изучено хакерами, и его недостатки, обычно известные хакерскому сообществу, легко могут быть использованы в хорошо известных атаках. Поэтому желательно постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы. Все эти действия желательно регламентировать во внутренних документах кредитной организации (включая должностные инструкции сотрудников).

Что касается аутсорсинга, то в оптимальном варианте кредитной организации целесообразно располагать планом мероприятий на случай отказа от услуг конкретного провайдера, иметь официально назначенных ответственных за выполнение этих мероприятий лиц. А также отвечающих за проверку выполнения такого плана [50] (с доведением до этих лиц их обязанностей), гарантируя наличие и «боевую готовность» АПО, которое «подхватит» операционную деятельность в случае неприятностей с провайдером. Это в свою очередь требует организации регулярного анализа зависимости кредитной организации от провайдеров не только в функциональном плане, но и с позиций своих клиентов, причем с учетом каждого технологического нововведения. Для обеспечения целостности картины такой зависимости (вплоть до систем энергообеспечения и пожаротушения) целесообразно было бы составить и вести регулярно проверяемый на полноту и адекватность внутренний документ, содержащий перечень провайдеров, описания оказываемых ими услуг, характеристики возможно связанных с ними факторов риска и описание мер, принимаемых при невозможности дальнейшего пользования их услугами. Такой документ мог бы оказаться полезен при оценке уровней рисков, связанных с провайдерами, и влияния их на осуществление, поддержку (сопровождение, масштабирование) и планирование дальнейшего развития ДБО.