"Расчеты и операционная работа в коммерческом банке", 2006, N 5

АНАЛИЗ ФАКТОРОВ РИСКА,

СВЯЗАННЫХ С ИНТЕРНЕТ-БАНКИНГОМ <1>

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

В этом номере журнала мы публикуем первую часть статьи, в которой описываются процедуры выявления, анализа, оценки и мониторинга банковских рисков, связанных с применением кредитными организациями технологии интернет-банкинга. Продолжение статьи будет посвящено рассмотрению и анализу следующих по порядку зон концентрации факторов риска в информационном контуре банковской деятельности, осуществляемой через Интернет.

Не то важно, может что-либо произойти или не может, -

все может произойти. Важно значение происходящего.

Суфийская мудрость

Настоящую публикацию в известной степени можно рассматривать как продолжение статьи, напечатанной немногим более года назад и посвященной основным подходам к осуществлению банковского надзора в области интернет-банкинга (ИБ), которые используются за рубежом и в России <2>. Высказываемые автором теоретические положения за прошедшее время были апробированы в ряде практических исследовании, проведенных в кредитных организациях, расположенных в различных регионах России. Эта работа, ориентированная на выявление реальных и потенциальных факторов банковских рисков, одновременно позволяющая Банку России получить очень большое количество информации о состоянии дел с применением кредитными организациями технологии ИБ и об условиях ее применения, будет продолжаться в ближайшее время (благодаря, кстати, содействию самих кредитных организаций).

     
   ————————————————————————————————
   

<2> См.: Расчеты и операционная работа в коммерческом банке, 2005, N 2, с. 83 - 94.

Проводимые совместные мероприятия позволяют расширить теоретическую и практическую базу рискфокусированного надзора <1> в рассматриваемой области, при котором основной акцент делается на процедуры выявления, анализа, оценки и мониторинга банковских рисков, а также управления ими. Следует отметить, что в первую очередь внимание уделялось именно внутрибанковским процедурам, в совокупности являющимся основой процесса управления банковскими рисками в кредитных организациях.

     
   ————————————————————————————————
   

<1> Risk-focused supervision.

Вместе с развитием и усложнением банковских информационных технологий сами банковские риски приобретают все более сложную, многоэлементную структуру. Вследствие этого и упомянутые процедуры приобретают все более ярко выраженный организационно-технический и, отчасти, операционный характер, что и будет прослеживаться и, так сказать, "красной нитью" выделяться в ходе нижеследующего изложения. Это приводит к использованию иерархического подхода, при котором определяются зоны концентрации факторов риска, компоненты рисков или "элементарные" риски, которые затем группируются по видам банковских рисков.

Говоря о причинах возникновения составных элементов (компонентов) типичных банковских рисков <2>, которые оказываются связаны с внедрением тех или иных технологий дистанционного банковского обслуживания (ДБО) через так называемые открытые системы (к которым относится ИБ), вначале целесообразно кратко рассмотреть процессы, лежащие в основе самого явления, и привести некоторые статистические данные, наглядно характеризующие их развитие. Динамика изменений свидетельствует о том, что как сами кредитные организации, так и их клиенты, ради удобства которых (и следующего за этим удобством процветания банков) внедряются новые технологии ДБО, все в большей мере оценивают реальные достоинства и преимущества этих технологий, особенно тех, которые не связаны со специфическими процедурами и средствами обеспечения доступа клиентов к внутрибанковским информационно-процессинговым ресурсам и процедурам выполнения нужных им банковских операций и информационных функций.

     
   ————————————————————————————————
   

<2> Указание оперативного характера Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках".

Прежде всего можно отметить, что в течение последних пяти лет предоставление банковских услуг посредством распределенных компьютерных систем, объединенных средствами телекоммуникаций, стало наиболее интенсивно развивающимся направлением банковской деятельности российских кредитных организаций. Уже года три назад в ряде таких организаций относительная доля клиентов, работающих со своим банком дистанционно (в разных вариантах), превысила 90% или вплотную приблизилась к этому рубежу. Системы "клиент - банк", функционирующие на основе специально создаваемых или выделенных телекоммуникационных каналов, уже стали в российском банковском секторе традиционными, несмотря на то что существование самого этого сектора не насчитывает и двух десятилетий. Но даже столь незначительные в историческом плане интервалы времени оказались насыщены революционными изменениями в технологиях банковского обслуживания, поскольку традиционные системы такого рода, так называемого закрытого типа, предлагались для юридических лиц и оказывались удобны только в тех случаях, когда "точка входа" в такую систему оставалась стационарной.

Поэтому, в общем-то, не удивительно, что наиболее высокая динамика развития банковских информационных технологий наблюдается в таком, уже можно сказать не новом, направлении технологий ДБО, как банковские услуги через Интернет. Эта технология и определяется как интернет-банкинг, интенсивное внедрение и развитие которой в России примерно пять лет назад привело к возникновению специально выделенного направления банковского регулирования и надзора.

Подтверждением быстрых темпов внедрения в банковском секторе интернет-технологий, и технологии ИБ в том числе (помимо множества сходных проектов, уже внедренных и развиваемых в настоящее время в России), является то, что если четыре года назад немногим более 25% российских кредитных организаций имели web-сайты, то на сегодняшний день в Сети имеют представительства свыше 70% этих учреждений <1>. Кроме того, если тогда операционные услуги ИБ предоставляли лишь 54 кредитные организации (кстати, через год их число превысило сотню), то сегодня таких организаций уже почти 400.

     
   ————————————————————————————————
   

<1> За это время общее число действующих кредитных организаций, которых насчитывалось 1330, сократилось незначительно: менее чем на 60.

Конечно, если говорить о ДБО в целом (как о совокупности технологий электронного банкинга), то разновидности его продолжают появляться. Это, в основном, связано с развитием мобильных компьютерных систем и сопутствующих им средств компьютерной связи. Однако в рамках данной статьи рассматривается только банковское обслуживание через Интернет, поскольку в России банковский надзор и банковское регулирование в области ДБО существуют пока только по направлению ИБ. В концептуальном плане это не связано с какой-либо неполнотой рассмотрения. Принципиально важно лишь то, что речь идет об одной разновидности технологий ДБО, причем не только наиболее сложной и прогрессирующей, но и способствующей пересмотру ряда бизнес-процессов, составляющих банковскую деятельность. Последнее, в свою очередь, обусловливает необходимость в расширении сферы банковского регулирования и надзора для Банка России и одновременно внутреннего контроля и аудита для кредитных организаций, причины этого будут ясны из последующего изложения.

Следует отметить, что в собственно операционную банковскую деятельность кредитных организаций, ее содержание ИБ изначально ничего нового не внес. Однако в том, что касается способов и условий осуществления этой деятельности, особенно в части организации реализующих и обеспечивающих ее процессов, аппаратно-программного обеспечения (как кредитных организаций, так и их контрагентов), состава источников (факторов) банковских рисков и, следовательно, содержания управления этими рисками, произошли радикальные изменения. Эти изменения по существу и послужили причиной как появления статей по данной тематике, так и выделения технологии ИБ в некое "особое" направление банковской деятельности. Как минимум, три новых явления в банковской сфере обусловили необходимость развития новых аналитических процедур:

- возникновение клиента кредитной организации нового типа - клиента-операциониста;

- появление в составе средств обеспечения банковской деятельности разного рода провайдеров;

- доступность банковских автоматизированных систем кредитных организаций из внешнего, виртуального киберпространства.

К сожалению, как показывает практика, до настоящего времени "радикальность" таких изменений осознается недостаточно адекватно.

Следствием технического прогресса здесь стало то, что изменения произошли (или должны были бы произойти!) не только в технологическом обеспечении и техническом оснащении банковской деятельности, но во многих случаях и в базовых бизнес-процессах, реализуемых (или подлежащих реализации) кредитными организациями.

Во-первых, при внедрении любых новых технологий банковского обслуживания число этих процессов неизбежно увеличивается за счет возникновения необходимости внедрения новых процедур, из которых могут складываться новые внутрибанковские процессы.

Во-вторых, уже существующие процессы приходится пересматривать, адаптируя их содержание, а нередко и их организацию, к новым условиям банковской деятельности.

В-третьих, кредитным организациям в ходе развития банковского обслуживания приходится менять и свои бизнес-модели (во всяком случае тем, кто задумывается о сути перемен, а реальные перспективы, к слову сказать, есть только у них).

В общем случае если бы о возникновении, специфике функционирования и особенностях проявления информационного контура банковской деятельности <1> (ИКБД) адекватно задумывались в каждой кредитной организации, переходящей к банковскому обслуживанию клиентов через Интернет, то тематика анализа банковских рисков, сопутствующих внедрению новых технологий ДБО такого рода, быстро исчерпала бы себя. Как раз этого и не происходит. Впрочем, если все делать правильно, то ничего страшного или неприятного для кредитной организации, связанного с новыми банковскими технологиями, также не происходит.

     
   ————————————————————————————————
   

<1> Данное понятие было введено автором в предыдущих статьях по данной тематике. См.: Оперативное управление и стратегический менеджмент в коммерческом банке, 2004, N 4, с. 39 - 52; 2004, N 5, с. 40 - 53.

Чтобы определить состав факторов риска, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД на своего рода "зоны концентрации источников риска" и проанализировать особенности каждой из них. Затем отдельные источники или факторы рисков можно сгруппировать по их возможному проявлению в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления рисками по их типам: стратегический, операционный, правовой, репутационный, ликвидности и др. (перечислены только те риски, которые характеризуются явно выраженными компонентами технологического характера).

Прежде всего необходимо отметить, что основной акцент при рассмотрении факторов риска целесообразно делать на выполнении кредитной организацией обязательств перед клиентами и защите их интересов. Это, конечно, не означает предание забвению кредитными организациями своих собственных классических интересов, но, с точки зрения автора, рискориентированное рассмотрение проблематики ИБ и других видов ДБО может считаться полноценным только в том случае, если оно одновременно и клиенториентированное. Как бы то ни было, в банковской сфере сосредоточены интересы огромного количества клиентов этой самой сферы, которая всегда будет оставаться зависимой в плане доверия к ней с их стороны. С этой же стороны логично начать рассмотрение специфики банковских рисков, сопутствующих использованию технологии ИБ.

Обычно клиент и является инициатором удаленного информационного взаимодействия с кредитной организацией через Интернет. Для этого он может в общем случае воспользоваться либо специализированным, либо универсальным программно-информационным обеспечением (ПИО) ИБ.

В первом случае это - разновидность устанавливаемого на автоматизированное рабочее место (АРМ) клиента комплекса ПИО, определяемого как "толстый клиент", в который входят средства доступа к функциональным компонентам ПИО, формирования интерфейса пользователя, связи с внутрибанковскими системами, криптозащиты передаваемой информации, специализированных баз данных и другие компоненты. Такие системы, как правило, достаточно надежны, хотя в то же время "тяжеловесны" и дорогостоящи, что не всегда удобно и ограничивает их применение.

Во втором случае используются системы с "тонким клиентом", который в предельном, "самом тонком", случае представляет собой обычный web-браузер, а все необходимые для сеанса связи клиента с банком функциональные компоненты ПИО "закачиваются" с используемого кредитной организацией web-сервера на компьютер, через который работает пользователь и который не является каким-либо специализированным АРМ. Последний случай наиболее интересен с точки зрения анализа сопутствующих такому варианту ДБО возможных факторов риска, тем более что в первой зоне концентрации факторов риска (далее - зона риска) оказывается сам клиент.

Любое обслуживаемое кредитной организацией лицо (неважно - юридическое или физическое) должно быть в первую очередь уверено, что при использовании им технологии ИБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации.

Однако, как известно, это не единственная возможность организации сеанса, поскольку открытые системы компьютерной связи (Интернет) подвержены атакам со стороны всякого рода "компьютерных мошенников" (кстати, не обязательно хакеров). В частности, в случае интернет-атак типа так называемого фишинга <1> клиент может быть введен в заблуждение относительно того, что он имеет дело с известным ему банком, с последующей "выдачей" данных своей персональной идентификации, которыми затем воспользуются мошенники для хищения финансовых средств или в каких-то других целях.

     
   ————————————————————————————————
   

<1> Транслитерация англоязычного (правильнее было бы сказать американоязычного) термина Phishing.

При фишинге используются специфические ложные сообщения электронной почты, имитирующие сообщение от кредитной организации, и чаще всего (но не обязательно) своего рода "web-сайты-муляжи", разработанные таким образом, чтобы ввести в заблуждение клиентов кредитных организаций и, как минимум, выманить их личные регистрационные данные, с помощью которых осуществляется доступ к их счетам и финансовым средствам. По статистике на эту удочку попадаются примерно 5% клиентов <2> (кажущаяся незначительность этой цифры не должна вводить в заблуждение).

     
   ————————————————————————————————
   

<2> www.antiphishing.org.

Например, одна из наиболее опасных атак этого вида осуществляется следующим образом. Фишер, воспользовавшись широкодоступными справочниками (базами) web-адресов, рассылает сообщение, в котором под благовидным предлогом говорится о необходимости подтверждения клиентом той или иной персональной информации, и предлагает гиперссылку, через которую как бы инициируется соответствующий диалоговый интерфейс. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер. Вот только адресная строка, которую видит клиент, представляет собой фальшивый элемент изображения, формируемый JavaScript и наложенный на изображение настоящей адресной строки, в которой теперь стоит (но, понятно, не виден) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка "Переход" ("Go"), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, то есть это не статичное изображение, а "живой" код Java.

Усугубляет ситуацию то, что фишер получает еще и возможность "негласного отслеживания" всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, "установленной". В наихудшем случае фишер вслед за этим может организовать атаку типа "посредник", просматривая все отправляемое и получаемое через web-браузер, пока сеанс не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но кто из атакуемых об этом думает?! Это только один из недавно изобретенных вариантов мошенничества в Сети, считающийся уже устаревающим.

Что касается в данной ситуации фактически атакуемых кредитных организаций, то их специалистам уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ИБ о необходимости крайне внимательного отношения к фишингу, информировать их о мерах предосторожности (равно как и об атаках и о желательности ответного информирования) и т.п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из перечисленных выше рисков.

Прежде всего будет поддержано доверие клиентов к ДБО через Интернет (а за ним скрыты компоненты стратегического риска), конечно, при сохранении функциональности системы ИБ.

Далее, клиенты не будут иметь оснований для предъявления претензий по поводу того, что "введению" их в заблуждение способствовала сама предложенная кредитной организацией и, "как оказалось, ненадежная" технология ИБ (компоненты правового и репутационного рисков).

Наконец, в случае наиболее неблагоприятного стечения обстоятельств не возникнет обвинений кредитной организации в неплатежеспособности (компоненты тех же двух рисков и риска ликвидности).

Однако в "зоне риска" клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении информационной безопасности.

Во-первых, клиенты кредитных организаций, являющиеся "всего лишь людьми", весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил формирования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях и т.д. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет "живые деньги" или же нарушается конфиденциальность его информации либо она оказывается искаженной или уничтоженной и т.п., претензии такой клиент предъявит прежде всего к кредитной организации. Поэтому во избежание реализации опять-таки связанных с подобными ситуациями компонентов правового, репутационного, операционного и стратегического рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии поведения клиента ИБ, составить соответствующие модели угроз (и для кредитной организации, и для клиента) и предусмотреть соответствующие меры и средства защиты. Как и мошенничества в Интернете, так и "инциденты информационной безопасности" <1> являются обширной темой, требующей специального рассмотрения, выходящего за пределы настоящей статьи (поэтому здесь и далее будут сделаны лишь отдельные замечания в связи с конкретными видами банковских рисков).

     
   ————————————————————————————————
   

<1> Данное понятие взято из первого Стандарта Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (Вестник Банка России, 2006, N 6 (876)).

Во-вторых, интенсивное развитие банковских информационных технологий, особенно технологий ДБО, и наблюдающаяся в последнее время достаточно острая конкуренция на рынке таких технологий потенциально могут способствовать применению не полностью проверенных (протестированных), а следовательно, недостаточно надежных с точки зрения обеспечения информационной безопасности программно-информационных комплексов. В разработках, предназначенных для работы кредитных организаций с клиентами через Интернет, необходимо предусматривать множественные способы, меры и средства защиты сетевых ресурсов, начиная с доступа к программно-информационным ресурсам системы ИБ и связанным с нею банковским автоматизированным системам, анализа циркулирующей в ИКБД финансовой и другой информации (с позиций безопасности сетевого трафика) и заканчивая предупреждением ошибок клиента, приводящих к инцидентам информационной безопасности самой кредитной организации, для которой, кстати, факторы риска, концентрирующиеся в зоне риска клиента, могут действовать опосредованно.

Как показывает практика, принципиально важно учитывать то, что переход к работе через открытые системы означает такое ДБО, которое изначально предполагает и для клиента, и для кредитной организации как неких физических сущностей взаимную анонимность, поскольку клиент работает с банком фактически виртуально. Выше шла речь об ухищрениях фишеров, использующих такую анонимность для клиента (т.е. клиент не всегда может быть полностью уверен в том, что работает с известным ему учреждением), но это не единственное проявление анонимности. Именно на таких эффектах основываются разнообразные противоправные операции, совершаемые с использованием технологий ДБО (когда кредитная организация не может быть полностью уверена в том, что к ней обращается именно официально зарегистрированный клиент).

К сожалению, рассматриваемые технологии могут быть использованы (и, по некоторым данным, уже активно используются) для легализации доходов, полученных незаконным путем, совершения различных экономических преступлений и другой противоправной деятельности. Что касается отмывания денег, то оно в последние годы получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Во многих публикациях зарубежных органов банковского надзора отмечается также, что в настоящее время имеет место неизбежное отставание от практики законодательной базы, регулирующей, в частности, новые интернет-технологии и инструменты, что создает идеальные условия для их незаконного применения в целях отмывания денег.

Отмеченная анонимность используется для различной противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или "мертвые души", а также так называемые бумажные банки (хотя на самом деле они скорее виртуальные) и т.п. Опасность для кредитных организаций заключается в том, что они могут сами незаметно для себя оказаться вовлеченными в незаконную деятельность со всеми вытекающими отсюда последствиями реализации компонентов правового и репутационного рисков. То есть в современном мире при изучении и анализе банковских рисков акцент смещается с вида и содержания операционной банковской деятельности в сторону организации и условий такой деятельности. По мнению автора, руководству и специалистам кредитных организаций целесообразно было бы учитывать особенности ДБО в этой части.

Несколько отвлекаясь от основной темы статьи, следует заметить, что многие электронные платежные инструменты характеризуются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с различными платежными системами, глобальностью действия и "автоматизированностью", то есть применением так называемых безлюдных технологий. Эти особенности снижают эффективность таких традиционных методов борьбы с отмыванием денег, как требование установления личности клиента, отслеживания и анализа содержания операций, предоставления той или иной дополнительной информации и т.п. Пока что в борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле. Например, устанавливаются требования увеличения объема и видов необходимых данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов ведения расследований подозрительных ситуаций. Таким образом, основная в данном случае задача выполнения кредитными организациями принципа "знай своего клиента" оказалась при работе в виртуальном пространстве неожиданно сложной.

Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Вообще появление технологий электронного банкинга переводит банковские операции в такую форму, когда реальные первичные документы (т.е. представляемые на бумажной основе) в инициируемом транзакционном процессе физически отсутствуют. Собственно банковские операции совершаются, естественно, на уровне физическом, но, так сказать, "внечувственном". Теперь для контроля над электронными банковскими операциями пытаются применять и различные "интеллектуальные", в том числе эвристические, методы - типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.

Основная проблема с операционной деятельностью в виртуальном пространстве заключается в том, что, после того как клиент открыл счет, банк нередко не имеет возможности определить, проводит ли конкретную транзакцию официальный владелец счета, а иногда даже имеет ли вообще место какая-либо операция. То есть проблема контроля осложняется многократно. Поэтому во многих странах для борьбы с отмыванием денег выпущены специальные руководства. В них обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности.

Следует отметить, что само понятие "виртуальность" используется не случайно - то физическое пространство, которое соответствует ИКБД в случае ИБ, реально формируется только на то время, пока идут сеансы связи между различными разбросанными "по всему свету" web-серверами, шлюзами, маршрутизаторами, коммутаторами и другими компонентами этого контура. По завершении же такого сеанса это физическое пространство "рассыпается". О том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия в соответствии с теми или иными командами (предположительно известных - официально зарегистрированных личностей и (или) систем/серверов), а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях компьютерных журналов регистрации системных событий ("логах"). Заметим, что эти записи не всегда ведутся в банковских автоматизированных системах кредитной организации и персоналом, ответственным за операционную деятельность, внутренний контроль, информационную безопасность, противодействие противоправной деятельности и т.п., проверяются, изучаются, анализируются...

Упомянутое выше физическое отсутствие во взаимодействии клиента с кредитной организацией реальных, например платежных, документов приводит к возникновению еще ряда проблемных задач, которые, в свою очередь, могут оказаться связанными с компонентами типичных банковских рисков. Клиент при переходе к формированию и отправке в кредитную организацию какого-либо ордера, управляя процессом через предоставляемые ему на экране компьютера гиперссылки, переводит систему ИБ в какой-то конкретный и априори, естественно, неизвестный ему (но, предполагается, штатный) режим работы данной системы.

Для клиента этот переход выглядит как некое изменение в интерфейсе системы ИБ, с которой он имеет дело, произошедшее в окне браузера и превращающее изображение в этом окне в хорошо знакомую форму платежного поручения. Далее он заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, авторизует и подтверждает платеж. Как правило, клиент выполняет действия, руководствуясь инструкциями по эксплуатации системы ИБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки в данных, если бы заранее "знал" о них, тем самым защищая и кредитную организацию (т.е. в каком-то смысле выполняя отдельные функции обеспечения информационной безопасности).

Ранее такую же защитную функцию (парирующую ошибочные действия клиента) выполнял операционист кредитной организации, но в настоящее время, когда функции кредитной организации на самом деле выполняет ее банковская автоматизированная система, с которой дистанционно взаимодействуют клиенты (а сама эта организация превратилась в своего рода "кирпичный интерфейс" банковской деятельности), роль операциониста играет сам клиент. Поэтому в системах ИБ логично предусматривать некие механизмы защиты, в известной мере аналогичные "искусственному интеллекту" (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати, в ряде случаев кредитные организации все равно располагаются в информационном сечении между системой ИБ и банковской автоматизированной системой операционистов. Но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, нескольких сотен, в то время как по всей стране их уже сотни тысяч, и это число постоянно растет.

Однако в любом варианте остается открытым вопрос подтверждения операции. Допустим, клиент отправил платеж из интернет-кафе, ошибочно приписав лишний ноль или допустив ошибку в реквизитах платежа и т.д., а потом пытается разрешить недоразумение. В таких ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны без комментариев. Когда в системе ИБ используется "толстый клиент", на стороне клиента остается информация о проведенной операции и вообще о переданном ордере. То есть в случае каких-то нарушений в работе ИКБД, включая внутрибанковские системы (отказы, аварии, сбои, вмешательство хакеров и пр.), можно полагать, что следы действий клиента останутся. Хотя останется также и вопрос юридической силы этих следов, если развитие проблемной ситуации дойдет до судебного разбирательства (компоненты правового и стратегического рисков). В случае же системы ИБ с "тонким клиентом" вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода контрольных распечаток.

Данная проблема известна под названием "обеспечение невозможности отказа" <1>, например, от проведенной операции. Суть ее в том, что при ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а банк не признает этого факта. Или наоборот, когда (как чаще всего бывает при компьютерных мошенничествах) банк осуществляет некий платеж или перевод средств со счета клиента, который впоследствии утверждает, что никаких распоряжений относительно этого не делал.

     
   ————————————————————————————————
   

<1> Non-repudiation - неопровержимое доказательство участия в операции как отправителя, так и получателя ордера.

Решение этой проблемы предполагает опять-таки разработку моделей угроз кредитной организации, сценариев их развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа "банка XXI века", ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа потребностей в них, стратегического или бизнес-планирования, технико-экономического обоснования и т.п.).

В случаях недостаточной проработки вопросов, связанных с защитой прав клиента, пользующегося дистанционным банковским обслуживанием в форме ИБ, и обеспечением выполнения обязательств перед ним, что отражается (или должно было бы отражаться) прежде всего в договоре на ДБО, лишняя (и совершенно необязательная) "головная боль" кредитной организации гарантирована. Впрочем, практика надзорной деятельности и изучения договоров такого рода свидетельствует о том, что кредитные организации обычно оговаривают для себя отсутствие ответственности за прерывания обслуживания удаленных клиентов в связи с какими бы то ни было обстоятельствами. При этом, что характерно, о каких-либо правовых последствиях, невыполнении взятых на себя обязательств, ущербе, нанесенном клиенту и т.п. речи зачастую не идет. Ситуация облегчается тем, что, судя по содержанию договоров, клиентов ИБ (а их число по данным прошлого года перевалило за полмиллиона) это совершенно не беспокоит... Впрочем, и статистика для такого "беспокойства" в какой-либо форме тоже пока что отсутствует.

В завершение рассмотрения особенностей анализа банковских рисков (подчеркиваем: не всех, а лишь основных), относящихся к первой, клиентской, зоне концентрации факторов банковских рисков, следует отметить еще один аспект интереса, неизменно проявляемого зарубежными органами банковского регулирования и надзора к банковскому обслуживанию через Интернет.

Рамки статьи позволяют лишь в сжатой форме представить и кратко прокомментировать содержание одного из документов FDIC (Федеральной корпорации страхования депозитов) США <1>, касающегося дополнительных факторов риска, связанных не только с ИБ, но и с использованием кредитными организациями web-сайтов. Считается, что кредитные организации <2>, "организующие отношения с другими учреждениями за счет web-связей", подвержены рискам, "ассоциируемым с применением такой технологии, основными из которых являются репутационный и правовой риски".

     
   ————————————————————————————————
   

<1> Weblinking: identifying risks and risk management techniques, 2003, Apr 23. Federal Deposit Insurance Corporation, National Credit Union Administration, Office of the Comptroller of the Currency, and Office of Thrift Supervision.

<2> В оригинале "финансовые учреждения" - более общее понятие, охватывающее и коммерческие банки.

Эти риски возникают, когда сторона, с которой установлена web-связь, может негативно повлиять на клиентов кредитной организации, которые неправильно интерпретируют "связанную [через гиперссылки - Прим. авт.] информацию как имеющую отношение к продуктам или услугам" самой кредитной организации или как ее рекомендации:

- клиенту трудно понять, кто предлагает продукты и услуги - кредитная организация или связанная с ней сторона;

- клиент недоволен качеством продуктов или услуг, предоставляемых этой стороной;

- клиент не может понять, применимы ли какие-либо меры защиты прав потребителя по отношению к продуктам или услугам третьих сторон.

Поэтому в документе указывается, что кредитным организациям следует внимательно относиться к установлению web-связей, поскольку любая связь с web-сайтом третьей стороны приводит к подверженности риску независимо от того, является эта сторона аффилированной или нет. При этом акцентируется роль руководства кредитной организации, поскольку ему следует, как сказано, "эффективно планировать, реализовать и контролировать отношения своей организации, обусловленные web-связями" с третьими сторонами. Предлагаются следующие методы управления подверженностью кредитной организации рискам, обусловленным наличием связей (в форме гиперссылок, баннеров, выделяемых на web-странице фреймов и пр.) с используемого ею web-сайта с третьими сторонами:

- планирование web-связей, исходя из состава услуг, предлагаемых кредитной организацией возможным пользователям (клиентам);

- изучение соответствия деятельности web-контрагентов кредитной организации установленным требованиям (законодательства);

- оценка соответствия устанавливаемых связей стратегическим целям кредитной организации и ее имиджу;

- определение видов и содержания услуг, которые станут доступны клиентам через посредство web-связей кредитной организации;

- анализ возможных обязательств кредитной организации в отношении третьих сторон, с которыми устанавливаются web-связи;

- особенности документарного обеспечения со стороны кредитной организации устанавливаемых web-связей и сопутствующих этому обязательств;

- исследование потенциальных претензий к кредитной организации, если ее web-связи приведут к претензиям со стороны пользователей;

- оценка законности воспроизведения торговых марок, брендов и т.п., которое может иметь место через web-связи, и т.д.

Поэтому считается, что при планировании web-связей руководству кредитной организации необходимо изучить виды продуктов и услуг, которые станут доступны ее клиентам через эти связи, и оценить, насколько такие связи адекватны стратегическому плану организации и с какими рисками они связаны. Возможно, по состоянию на сегодняшний день в российском банковском секторе такой подход покажется своего рода "высшим пилотажем" в Сети, имеющим мало общего с насущными потребностями российских кредитных организаций и их клиентов. Однако кто знает, к чему еще приведет в дальнейшем прогресс в области ИБ, ведь область эта, как отмечалось в начале статьи, развивается в России стремительно.

(Продолжение следует)

Л.В.Лямин

Начальник

отдела интернет-банкинга

управления методологии рисков

внутрибанковских систем

Департамента банковского

регулирования и надзора

Банка России

Подписано в печать

09.06.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——