7 (583) - 2014
Риск-менеджмент
Удк 336.71
дистанционное банковское обслуживание: интернет создает нового клиента и дополнительные риски
П. В. РЕВЕНКОВ, кандидат экономических наук, профессор кафедры бухгалтерского учета и аудита
E-mail: rpv@mail. cbr. ru А. А. БЕРДюГИН,
преподаватель кафедры бухгалтерского учета и аудита
E-mail: a40546b@gmail com Одинцовский гуманитарный институт
В статье рассматриваются отличительные признаки глобальной сети Интернет и ее влияние на развитие банковского бизнеса, а также особенности поведения людей в киберпространстве. Уточняются источники возникновения главных банковских рисков как для кредитных организаций, так и для их клиентов при недостаточном уровне обеспечения информационной безопасности в условиях дистанционного банковского обслуживания.
Ключевые слова: дистанционное банковское обслуживание, Интернет, риски, компьютерные преступления, информационная безопасность.
Признаки «всемирной паутины»
Современные достижения в развитии информационных и коммуникационных технологий, в основе которых лежат возможности глобальной сети Интернет, значительно повлияли на эволюционные процессы, связанные с формами проявления функции денег как средства платежа, и привели к формированию глобальной электронной среды для экономической деятельности за счет существенного снижения себестоимости выполнения банковских
операций. Технологии дистанционного банковского обслуживания (ДБО) можно рассматривать и как качественный аспект поступательного развития кредита1.
Еще в конце XX в. эксперты в области экономики стали говорить о новой среде — сетевой экономике (networked economy) 2. Так, например, в докладе, подготовленном Европейской комиссией3, глобальная сетевая экономика определяется как «среда, в которой любая компания или индивид, находящиеся в любой точке экономической системы, могут контактировать легко и с минимальными затратами с любой другой компанией или индивидом по поводу совместной работы для торговли, для обмена идеями и ноу-хау или просто для удовольствия». Возникновение сетевой экономики приводит к эволюции современных экономических систем,
1 Вапенцева Н. И. Законы и закономерности развития кредита // Банковские услуги. 2012. № 12.
2 Данное понятие часто упоминается в сочетании со словом «глобальная».
3 Status Report on European Telework: Telework 1997, European Commission Report, 1997. URL: http://www. eto. org. uk/twork/ tw97eto/.
развитию нерыночных механизмов регулирования и сетевых организационных структур.
Новые возможности глобальных коммуникаций между людьми дают им и новые инструменты для реорганизации форм их совместной деятельности.
Одним из самых эффективных способов модернизации инфраструктуры в экономике и создания сетевых институциональных структур является использование возможностей интернет-технологий.
Интернет-технологии не только быстро внедряются в политику, бизнес, государственное управление, но и трансформируют характер межличностных отношений в обществе (формируются виртуальные онлайновые сообщества, устанавливаются отношения информационного партнерства, осуществляется группировка пользователей по определенным информационным интересам). Все это приводит к тому, что общество привыкает к активному использованию современных информационных и коммуникационных технологий. Тенденция распространяется и на банковские услуги. Это свидетельствует о том, что мы имеем дело с самым быстрорастущим в истории человечества рыночным сообществом. Буквально за 10 лет все основные экономические виды деятельности были освоены Интернетом и появились: интернет-коммерция, интернет-реклама, интернет-банкинг и т. д.
Анализ научных трудов отечественных и зарубежных ученых позволил выявить ряд отличительных признаков «всемирной паутины», способных существенным образом влиять на экономику:
— Интернет втягивает в глобальную конкуренцию все компании и организации (в том числе коммерческие банки) независимо от места их расположения. Большинство кредитных организаций предоставляет одинаковый набор банковских услуг, поэтому выбор клиентов, как правило, связан с качеством их оказания и уровнем доверия к данному коммерческому банку;
— глобальная сеть значительно обострила конкурентную борьбу и потребовала от всех участников банковского рынка соответствия международным стандартам (оформление web-сайтов, поддержка нескольких языков, доступность и функциональность своих представительств в Интернете и т. д.) [4, с. 74—79];
— многие процессы, в том числе обслуживание и эксплуатацию аппаратно-программного обеспечения систем ДБО (включая системы электронного банкинга), можно передать в аутсорсинг. Многие
web-сайты кредитных организаций разрабатывали профессиональные компании, хорошо владеющие вопросами продвижения брендов и привлечения максимального числа клиентов;
— клиенты, использующие системы интернет-банкинга, более требовательны к качеству выполнения банковских операций, так как могут легко сравнивать аналогичные услуги у других кредитных организаций-конкурентов (значительно удаленные географически банки в глобальной сети находятся «на расстоянии одного клика»);
— Интернет позволяет выбирать коммерческие банки почти в любой стране мира и устанавливать с ними взаимовыгодное сотрудничество для повышения эффективности и снижения издержек;
— стремительное развитие интернет-технологий не позволяет однозначно спрогнозировать все стратегические риски, связанные с ДБО;
— Интернет ускоряет распространение новых технологий и идей. Коммерческие банки в любой стране мира, в том числе в развивающейся, могут с помощью глобальной сети отслеживать технологические инновации, получать информацию о новых банковских продуктах, используемых в Европе, Японии, Северной Америке, и о новых проектах и действиях лидеров в каждом секторе банковского бизнеса (с точки зрения бизнеса национальные границы утратили свое былое значение);
— электронные банковские технологии требуют от коммерческих банков действовать «в режиме Интернет» или «со скоростью Интернет» — скорость становится одним из основных достоинств успешного бизнеса;
— технологии ДБО (включая системы интернет-банкинга) позволяют оформлять первичные бухгалтерские документы намного быстрее;
— Интернет служит самым дешевым на сегодняшний день каналом обслуживания клиентов. Предоставление банковских услуг через Интернет позволяет сократить служащих, которые ведут телефонные переговоры, оформляют банковские документы, консультируют клиентов по особенностям выполнения отдельных банковских операций, принимают различные претензии, предложения и др. 4;
4 Еще в середине 1999 г. на %геЪ-сайте Международного валютного фонда были приведены расчеты затрат на выполнение
банковских операций, где стоимость ручной обработки транзакции в филиале коммерческого банка обычно составляла в среднем более 1 долл., телефонное обслуживание оценивалось в 60 центов за услугу, транзакции через банкоматы и клиринговые центры стоили около 25 центов, а транзакция через Интернет
— под интернет-проекты относительно легко получить инвестиции. Во многих странах инвестиции в интернет-проекты поддерживаются государством, так как развивая интернет-технологии во всех отраслях экономики (включая банковский бизнес), страна выходит на новый качественный уровень;
— интернет-технологиям постоянно требуется ценный ресурс — человеческий талант (как в форме технических знаний и опыта, так и в форме управленческих ноу-хау). Самые ценные в конкурентном отношении активы организации — это лидерство в разработке ключевых технологий и кадры с уникальным опытом и знаниями [6, с. 239—241].
Благодаря возможностям Интернет сообщество людей стало преобразовываться в новую, социально-экономическую формацию — глобальное информационное общество.
На данном этапе развития общества можно говорить об информационной революции, которая постепенно охватывает все страны, невзирая на их экономическое развитие и уровень финансовой грамотности населения.
Интернет изменил мир и продолжает менять его в геометрической прогрессии. Изменились отношения людей, их общение, поиск данных, мировоззрение, а также методы работы институтов и организаций. Каких-то 15 лет назад еще не было таких профессий, как разработчик архитектуры социальных сетей и руководитель цифровой рекламы. В последние годы в нашу жизнь ворвались и с тех пор доминируют в ней Facebook, Live Journal, YouTube, Twitter, Skype и многие другие интернет-продукты и социальные сети. Эти технологии стабильно наращивают темпы своего развития.
Многие банки в настоящее время рассматривают Facebook5 как важный источник информации, поскольку данная социальная сеть содержит огромное количество информации о пользователях. Эти данные могут быть использованы для оценки кредитных рисков и кредитоспособности клиентов.
В одном из своих интервью директор Центра технологических исследований ОАО «Сбербанк России» Мирчей Михаэску сказал, что «сегодня в сети Facebook больше пользователей, чем на
обходилась всего в 1 цент. Учитывая постоянное снижение тарифов на предоставление Интернета, можно предположить, что сейчас банковские операции, выполняемые в рамках интернет-банкинга, обходятся еще дешевле.
5 Имея около 850 млн зарегистрированных пользователей, данная социальная сеть фактически является крупнейшей базой данных в мире.
любом другом web-сайте. Больше, чем на Google. Социальное поведение воздействует на бизнес. Никто сегодня не знает, захотят ли пользователи социальных сетей пользоваться в сетях банковскими услугами или не захотят. Пока никто не знает. Но мы должны быть там, в социальных медиа, потому что там наши клиенты6».
В настоящее время люди производят и потребляют контент с огромной скоростью. Темпы обращения клиентов интернет-пространства с информацией отражает статистика:
— каждую минуту на YouTube загружают 20 ч видео;
— каждую минуту в Twitter посылают 14 564 сообщения;
— каждый час около 10,5 млн песен загружают незаконно, по большей части из мест, где законная загрузка невозможна;
— каждый день создают 2 300 новых статей в Wikipedia;
— каждый день на Facebook заходит более 175 млн пользователей [2, с. 385].
Отметим особенность в поведении людей, которая стала проявляться в связи с появлением Интернета. Все большее количество людей предпочитает потреблять значительное количество маленьких фрагментов информации, нежели целостный блок текста7.
Зная об этом, западные информационные агентства на своих интернет-страницах иногда пишут абзацы, состоящие из одного предложения. Маленьким фрагментом сложно (а чаще невозможно) передать много смысла, но для совершения транзакции с помощью систем ДБО клиент и не должен читать длинные инструкции (они могут быть оформлены в аудио/видеоролик).
Заметим, что информационные процессы человека, такие как обнаружение и интерпретация сенсорных сигналов, память, образы, мышление и их изменения во времени, представляют объект исследования когнитивной психологии. Поэтому серьезные компании, занимающиеся созданием программ для систем ДБО и пользовательских интерфейсов, базируют свои разработки на моделях, являющихся плодами когнитивной психологии [3, с. 230].
По мере проникновения Интернета в нашу жизнь растет популярность всевозможных мобильных устройств. Классические ноутбуки слишком
6 Banki. ru. 18.06.2012. URL: http://www. Banki. ru.
7 По этой же причине у многих возникает желание пропустить большой абзац.
громоздки, а планшеты еще не всегда обладают нужной функциональностью, поэтому и появляются все новые и новые миниатюрные лэптопы8 с сенсорными экранами.
Подобные устройства теперь не роскошь, а неотъемлемые компаньоны современного человека (в этом убеждаешься, когда забываешь мобильный телефон или планшетный компьютер дома).
Основатель первого в США «мобильного» банка Movenbank Бретт Кинг в своей нашумевшей книге «Банк 2.0. Как потребительское поведение и технологии изменят будущее финансовых услуг» предположил, что к 2015 г. бесконтактные платежи с помощью телефонов, поддерживающих NFC9, обойдут по своему количеству платежи дебетовыми и кредитными картами, в 2016 г. — в Европе примут решение больше не поддерживать пластиковые кредитные карты из-за множественных случаев мошенничества, а к 2020 г. — наличными будет оплачиваться менее 2,5 % розничных покупок [2, с. 472, 473].
Такие смелые прогнозы, конечно, можно подвергать сомнению, но очевидно, что потребность людей в наличных деньгах будет постоянно уменьшаться — их заменят электронные деньги.
Уйдут ли банки в «облака»
Еще одно изобретение человечества в сфере высоких технологий — это «облака». Облачные платформы все чаще и успешнее используются для решения корпоративных и операторских задач. В недавнем отчете аналитической компании IDC говорится, что в 2012 г. на программное обеспечение для частных облаков, включая облака с хостингом, тратилось 62 % IT-бюджетов10.
В целом применение облачных технологий позволяет:
8 Ноутбук, лэптоп (англ. notebook — блокнот, блокнотный персональный компьютер; англ. laptop (lap — колени (сидящего человека), top — верх) — переносной персональный компьютер, размер которого обычно сопоставим с форматом листа A4 или меньше, а вес находится в пределах нескольких килограммов.
9 NFC (Near Field Communication—коммуникация ближнего поля) — технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 см.
10 СтаркД«Как воспарить в облака». URL: http://www. cisco.
com/web/services/it-case-studies/swisscom-telecommunications-
case-study. html.
— создать простую абстрактную среду, в которой пользователь может получить ресурсы по требованию, а компания — легче и быстрее внедрить новые приложения и услуги;
— отвлечь организацию от рутинных задач и сконцентрировать внимание на главных направлениях, выделяющих ее из конкурентной среды и значительно повышающих эффективность работы.
Нигерийская кредитная организация Renaissance Credit, образованная в октябре 2012 г., за первые полгода расширила клиентскую базу до 3 тыс. чел. Все информационные процессы компании (составление документов, работа с электронными таблицами и почтой, а также все банковские операции) происходят «на облаке», что позволило сократить штат IT-специалистов до одного человека11.
Согласно отчету консультационной компании Celent, расходы банков мира на информационную инфраструктуру составят в 2013 г. 180 млрд долл. В настоящее время облачные технологии занимают в них крошечную долю, однако к 2015 г. их «бюджет» может составить 26 млрд долл. Новые компании смогут арендовать информационную инфраструктуру менее чем за 10 тыс. долл. в месяц — вместо миллионов, которые пришлось бы вложить в собственные безопасные информационные центры. В результате снижается порог входа на рынок, небольшие банки получают одновременный доступ ко всему пакету информационных услуг, а крупные банки могут повысить рентабельность.
По словам представителя Microsoft, в богатых странах банки с помощью облачных технологий уже начали обрабатывать данные, не содержащие значимой информации о клиентах, но требующие больших вычислительных мощностей. Испанский банк Bankinter использует облачную платформу Amazon для моделирования кредитных рисков: вычисления, выполнявшиеся на оборудовании самого банка за 20 ч, теперь занимают 20 мин. Также крупные банки задействуют «облака» для тестирования своих компьютерных систем, не подвергая сам банк опасности сбоев. Многие банки осуществляют переконфигурацию своих систем в частные облачные платформы, что также позволяет подключаться к облачным технологиям, находящимся в общественном доступе.
Разумеется, у широкого применения «облаков» есть и свои недостатки. Прежде всего, это безопас-
11 The IT cloud // The Economist. 2013. № 8845. P. 61.
ность и защита данных. Небольшим банкам крупные информационные центры, созданные такими компаниями, как Amazon и Microsoft, обеспечивают более высокий уровень безопасности, чем они сами могут себе позволить. Крупные банки, имеющие собственные вычислительные центры, опасаются передавать клиентскую информацию в посторонние руки. Кроме того, кража информации или сбой в работе банка, пользующегося «облаком», вызовет жесткую реакцию регулирующих органов. Некоторые страны настаивают на том, чтобы данные клиентов хранились в пределах национальных границ. Компании, предоставляющие облачные услуги, будут вынуждены строить небольшие информационные центры, снижая тем самым экономию издержек. Кроме того, эти компании из соображений безопасности стремятся не раскрывать местонахождение своих «облаков».
Впрочем, возможность повышения рентабельности делает переход банков на облачные технологии неизбежным, а указанные ранее проблемы могут повлиять лишь на скорость указанного процесса, но не на его направление.
Возрастание рисков информационной безопасности при дБО
В настоящее время из всех видов ДБО12 наиболее востребованным является интернет-банкинг, который представляет собой способ ДБО клиентов, осуществляемый кредитными организациями в сети Интернет (в том числе через web-сайт (ы) в сети Интернет) и включающий информационное и
" 13
операционное взаимодействие с ними13.
В условиях ДБО клиентов кредитные организации вынуждены существенно повышать уровень обеспечения информационной безопасности, так как основные атаки киберпреступников направлены именно на тех клиентов банков, которые осуществляют свои операции удаленно (т. е. вне офиса).
Очевидно, что абсолютной защиты от угроз для ДБО не существует. Компьютерные злоумышленни-
12 В целом под ДБО понимают совокупность методов представления банковских услуг с помощью средств телекоммуникации, при которых присутствие самого клиента в банке не требуется [1, с. 400].
13 Данное определение приведено в письме Банка России от 31.03.2008 N° 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» и, по мнению авторов, является наиболее полным.
ки в состоянии взломать практически любую систе-му14. Однако непрерывная работа по поддержанию достаточного уровня информационной безопасности может существенно осложнить и/или свести к минимуму возможности кибермошенников.
Масштабы кибермошенничества заставляют серьезно относиться к данному виду преступлений. Так, например, в июне 2012 г. новостные агентства распространили информацию о задержании преступной группы, включая ее организатора15, который вместе со своими сообщниками похитил из систем ДБО более 150 млн руб.
По словам генерального директора компании Group-IB16 Ильи Сачкова, принимавшего участие в расследовании деятельности данной преступной группы, это самая большая по численности участников киберпреступная группировка в России из тех, о которых известно специалистам по информационной безопасности17.
В течение последних трех лет, по данным Group-IB, мошенники использовали зарекомендовавшую себя в хакерских кругах троянскую программу Carberp18. Обобщая наиболее распространенные схемы совершения киберпреступлений в системах ДБО, можно выделить два способа.
Если сумма украденного составляет не более 1—1,5 млн рублей, то деньги выводят сразу на пластиковые карты так называемых «дропов» (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег).
14 Плюс сами банки иногда используют недостаточно надежные системы ДБО.
15 Он известен во всемирной сети под псевдонимами «Гермес» и «Араши».
16 Компания Group-IB является международной компанией, лидером российского рынка по оказанию полного комплекса услуг в области расследований инцидентов информационной безопасности и компьютерных преступлений, начиная от оперативного реагирования на инцидент и заканчивая постинцидентным консалтингом (URL: http://www. group-ib. ru).
17 Интервью Ильи Сачкова для РИА Новости «Хакер, укравший 150 млн руб., работал с 25 сообщниками» / Прайм. Бизнес-лента. 22.06.2012, а также «Гендиректор Group-IB: у хакеров есть несколько собственных платежных систем» / ПЛАС-daily. 19.07.2012.
18 Carberp — распространенная среди киберпреступников вредоносная программа. Она собирает информацию о пользователе и системе и отправляет на сервер злоумышленников. Также «бот» может делать снимки экрана, перехватывать нажатия клавиш, содержимое буфера обмена и отправлять на сервер. Троянец имеет возможность самоудаления и установки дополнительных вредоносных модулей, крадет цифровые сертификаты для популярных систем ДБО.
А
Хакер с помощью вредоносной программы получает доступ к счету жертвы в системе ДБО одного из банков
Обычно в течение 15 мин после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям (рис. 1).
Если суммы крупнее, то используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от 1 до 5 млн руб. В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы (рис. 2).
Группы мошенников, специализирующиеся на обналичивании, минимум 50 % суммы оставляют себе. Такой большой процент объясняется тем, что хищению предшествует длительный период подготовки. Обналь-щики и похитители договариваются заранее. К моменту, когда производится хищение, у обнальщиков уже все готово: создано подставное юридическое лицо, открыт счет в банке и выпущены карты, которые розданы дропам.
Современные условия позволяют любому юридическому лицу удаленно создать «зарплатный проект». Условно говоря, представитель компании сообщает в банк: у нас работает 15 чел., нам нужны зарплатные карты. Далее банку предоставляются паспортные данные «сотрудников», и тот выпускает карты. Паспортные данные берутся у тех же дропов или покупаются на хакерских форумах.
Кибермошенникам выгоднее прибегать к помощи «обнальщиков» (преступные группы, специализирующиеся только на обналичивании денег), чем самостоятельно создавать дроп-проекты. Во-первых, из-за экономии времени, во-вторых, из-за наличия достаточного количества предложений зарабатывать таким образом19.
В последнее время участились кражи из электронных платежных систем. Схемы примерно те же,
Деньги со счета
переводятся на
специально созданный карточный счет (счет, к которому привязана одна или несколько платежных карт)
4)
В среднем через 15 мин после
поступления денег на карточный счет дроп
(специально обученный человек, на имя которого выдана карта) приходит в банкомату и снимает деньги
Деньги
передаются
руководителю
дроп-проекта
(человеку,
который
руководит
дропами и
держит связь
с хакером)
рис. 1. «Простая» схема похищения денег (примерно до 1,5 млн руб.)
Хакер с
помощью
вредоносной
программы
получает
доступ к
счету
жертвы в
системе ДБО
одного из
банков
Деньги со счета
переводятся на счет подставного юридического лица
4)
Юридическое лицо оформляет в банке «зарплатный» проект с десятками платежных карт по подставным данным.
Украденная сумма дробится и в виде «зарплат» перечисляется на карты
Дропы снимают деньги через банкоматы и отдают
руководителям дроп-проектов
19 Главари организованных преступных группировок с большим интересом участвуют в их махинациях, так как хакеры готовы отдавать до 50 % украденных денег.
рис. 2. «Сложная» схема похищения денег (примерно до 5 млн руб.)
только деньги выводятся либо на другие кошельки, либо опять же на банковские карты.
Распределение ответственности в сфере применения технологий ДБО в связи с вступлением в действие ст. 9 Федерального закона Российской Федерации от 27.06.2011 N° 161-ФЗ «О Национальной платежной системе» (статья вступила в действие с 01.01.2014) — наиболее острый вопрос, требующий доработки и четкого понимания обеими сторонами (банками и их клиентами). В действующей редакции большая часть ответственности переходит на кредитные организации, поэтому становятся понят-
БАНК 1
БАС КО
Клиент,
использующий систему ЭБ
+
161-ФЗ
ны их многочисленные обращения к регулятору о необходимости построения сбалансированной и справедливой системы, в которой все участники должны быть защищены и иметь возможность получить необходимую информацию.
Суть обращений сводится к тому, что каждая из сторон должна нести ответственность за свои действия (или бездействие) в пределах, не превышающих ее физические возможности, а также не должна допускать неотвратимого и безнаказанного причинения ущерба другой стороне.
В связи с этим было бы целесообразно:
—установить регулятором минимальный набор средств защиты, который банк должен обеспечивать клиенту. Этот набор определяется исходя из соображения, что при условии строгого соблюдения клиентом всех правил, установленных банком, риск потерь при проведении операции в обычных условиях не превышает допустимую величину;
— контролировать регулятору предоставление банками минимального набора средств защиты для клиентов;
— обязать банки, по желанию клиента, предоставлять ему дополнительные средства защиты (например, ограничения на суммы, виды операций, режимы и каналы проведения операций, использование дополнительного подтверждения транзакции и т. п.);
— обязать банки предоставлять клиенту полную и изложенную в доступном для понимания обычным пользователям виде информацию о рисках, основных и дополнительных средствах защиты, правилах использования средств защиты и оборудования, применяемого при проведении операции, — клиент должен четко понимать риски и знать, что он может делать (или не может) и письменно подтвердить, что ознакомлен с правилами проведения транзакций и осознает принимаемые на себя риски.
Перенос рисков на кредитные организации означает, что цены на оказание услуг вырастут (риски неизбежно закладываются в стоимость банковского
Бухгалтерский журнал
—
БАНК 2
Бухгалтерский журнал
Компьютерный злоумышленник
Хакер,
получивший
незаконно
секретный
ключ клиента
(например, с
помощью
рассылки
троянских
программ)
Дропы - люди, которые снимают частями деньги в банкоматах
С 01.01.2014 - в случае кражи денежных средств со счета клиента - Банк 1 обязан вернуть деньги
Рост источников правового, операционного и, как следствие, риска ликвидности
Примечание. БАС КО — банковская автоматизированная система кредитной организации.
ЭБ — электронный банкинг.
161-ФЗ — Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»
рис. 3. Дополнительные источники банковских рисков при ДБО
продукта). Добросовестные держатели банковских карт, которые соблюдают элементарные правила безопасности, будут вынуждены переплачивать за тех клиентов, которые, например, пишут свой PIN-код на карте.
Напомним, что коммерческие банки, работая в условиях жесткой конкуренции, не заинтересованы расходовать на обеспечение информационной безопасности средств больше, чем конкуренты. Информационная безопасность всегда связана с затратами для кредитных организаций, неудобствами для банковского персонала и клиентов. Что касается клиентов, то они обращают больше внимания на удобство банковских услуг, чем на их безопасность.
Поэтому кредитным организациям нужен разумный компромисс, который строится на нескольких базовых принципах организации информационной безопасности:
— стоимость защиты не должна превышать стоимости защищаемых информационных ресурсов;
— банк и клиент должны выйти на такой уровень защиты транзакций, когда защита еще удобна и приемлема по стоимости клиенту, а злоумышленнику уже невыгодно совершать преступление из-за высоких расходов на преодоление защиты.
Актуальные направления регулирования в сфере дБО
Наряду с очевидными преимуществами технологии ДБО принесли в банковский бизнес дополнительные риски. А если быть точнее, то количество типичных банковских рисков20 осталось прежним, а техническая составляющая их — значительно возросла. Технический аспект источников типичных банковских рисков требует совершенствования отдельных направлений регулирования в области ДБО. Наиболее актуальными, по мнению авторов, являются три направления, которые связаны:
1) с расширением профиля операционного риска в условиях ДБО;
2) со значительным ростом числа киберпре-ступлений против клиентов кредитных организаций, использующих системы ДБО;
3) с использованием технологии ДБО в схемах, направленных на легализацию преступных доходов [5, с. 58].
Рассмотрим каждое направление подробнее.
Причиной повышенного внимания к операционному риску в банковском секторе стало соглашение Базельского комитета по банковскому надзору «Международная конвергенция изменения капитала и стандартов капитала: новые подходы» — Basel II.
Соглашение Basel II предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.
Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.
В качестве возможных проявлений операционного риска можно выделить следующие типы событий:
— внешние воздействия (наводнения, пожары, аварии и т. п.);
— внутренние (угрозы со стороны инсайдеров) и внешние (угрозы как со стороны одиночных хакеров, так и преступных групп) мошенничества;
— ошибки персонала;
20 Перечень типичных банковских рисков приведен в письме Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».
— сбои в реализации бизнес-процессов и обслуживании клиентов;
— физический ущерб активам;
— сбои информационных систем;
— нарушение процессов обработки и хранения данных.
Рекомендации Basel II были дополнены в документах Basel III, в том числе и в отношении операционного риска.
Операционный риск является одним из основных типичных банковских рисков, на который в большей степени оказывают влияние технологии ДБО. Его можно определить как вероятность образования убытков и/или неполучения прибыли вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к технологиям ДБО выделяются три главные зоны операционного риска:
— функционирование системы безопасности;
— привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг);
— освоение новых технологий сотрудниками банка.
В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности аппаратно-программного обеспечения и целенаправленных DoS-атак21 на web-серверы кредитных учреждений).
Вторая потенциально подверженная операционному риску сфера в последнее время весьма значима. Кредитные учреждения становятся в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут и не
21 DoS-атака (от англ. Denial of Service — отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service—распределенный отказ в обслуживании) — это разновидности
атак на вычислительную систему. Цель этих атак — довести систему до отказа, т. е. создать такие условия, при которых легитимные (правомерные) пользователи системы не смогут получить доступ к предоставляемым системой ресурсам либо этот доступ будет затруднен.
обладать достаточными знаниями о специфике технологии ДБО.
В третьем случае ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала кредитных учреждений и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов кредитных учреждений значительными проблемами22.
Следующее направление регулирования связано с тем, что одним из последствий мирового финансового кризиса стало снижение затрат на обеспечение информационной безопасности в банках. При этом криминальный мир, напротив, ответил значительным увеличением своей активности. Отсюда обеспечение информационной безопасности становится наиболее актуальной задачей для технологии ДБО.
Компьютерные злоумышленники в настоящее время совсем не похожи на тинэйджеров, получивших первоначальные знания с хакерских web-сайтов, а представляют собой специалистов с достаточно высокой подготовкой не только в области информационных технологий, но и в финансовых вопросах. Причем большинство из них действуют в составе организованных преступных групп. Сегодня доходы от компьютерных преступлений значительно превышают доходы, получаемые от продажи оружия и наркотиков.
Очевидно, что в будущем угрозы будут только возрастать. Уже в настоящее время многие атаки являются комбинациями различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку киберпреступники продолжают выдумывать и создавать новые техники атак.
Еще одна особенность современного банковского бизнеса, требующая дополнительного
22 В основном это связано с обучением персонала и совершенствованием методик проведения проверок специалистами риск-подразделений и служб внутреннего контроля. Как свидетельствует опыт, такие специалисты должны иметь не только экономическое и/или юридическое, но и техническое образование.
внимания со стороны регулирующих органов, это активное привлечение технологий, использующих мобильные платежи, к процессу легализации преступных доходов. В последнее время проблема противодействия отмыванию денег стала одной из основных международных проблем, к решению которой привлечены ведущие страны мира. Первый вице-премьер Виктор Зубков в своем интервью программе «Вести недели» сообщил, что объем финансовых средств, выведенных из России в 2011 г. с признаками отмывания, оценивается не менее чем в 1 трлн руб. 23.
Процедура отмывания денег имеет решающее значение для функционирования практически всех форм транснациональной и организованной преступности. Различные меры экономического характера, призванные исключить или ограничить возможности использования преступниками приобретенных незаконными путями доходов, представляют собой важнейший и действенный компонент программ по борьбе с преступностью.
Как правило, в процесс отмывания денег включается целый ряд операций, направленных на сокрытие источника финансовых активов, но все они входят в одну из трех составляющих (стадий) обобщенной модели отмывания денег.
Обобщенная модель отмывания денег включает три стадии: размещение (placement), расслоение (layering) и интеграцию (integration). Указанные стадии могут осуществляться одновременно или частично накладываться друг на друга в зависимости от выбранного механизма легализации и от требований, предъявляемых преступной организацией (рис. 4).
В заключение приведем основные выводы:
— современный банковский бизнес будет стремиться расширять дистанционные банковские услуги;
— коммерческие банки вынуждены будут конкурировать с различными предприятиями, осуществляющими аналогичные услуги, которые будут постоянно снижать комиссию за осуществление транзакций;
— регулирующим органам необходимо в кратчайшее время принять необходимые нормативные и законодательные акты в сфере ДБО;
— идеальных способов и средств обеспечения информационной безопасности в сетевых струк-
23 См. Коммерсантъ. ru. 29.01.2012.
Предикатные преступления:
турах до настоящего времени не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками. Целесообразно строить многоуровневую, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня работают совместно;
— необходимо проводить с клиентами кредитных организаций, пожелавшими использовать для выполнения своих операций технологии ДБО, разъяснительную работу по порядку хранения носителей с конфиденциальной информацией, а также информировать их о наиболее распространенных способах мошенничества в системах ДБО;
— необходимо совершенствовать способы регулирования и надзора со стороны регулирующих органов за использованием кредитными организациями технологии ДБО (включая возможность использования в целях легализации преступных доходов).
Список литературы
1. Банковское дело: учебник / под ред. Г. Г. Коробовой. 2-е изд., перераб. и доп. М.: Магистр. 2011. 592 с.
-мошенничество;
- кража; -контрабанда;
- незаконный оборот наркотиков и др.
2-й этап - расслоение
1-й этап - размещение
«Грязные деньги» поступают в банковские системы различных стран
^Мобильный банк Интернет-банкинг
Скрываются следы происхождения денег
3-й этап - интеграция
На «чистые деньги» приобретаются различные товары, объекты недвижимости и др.
рис. 4. Обобщенная схема отмывания денег с использованием технологий ДБО
2. Кинг Б. Банк 2.0. Как потребительское поведение и технологии изменят будущее финансовых услуг. М.: Олимп-Бизнес. 2012. 512 с.
3. Ломов А. Ю. HTML, CSS, скрипты: практика создания сайтов. СПб.: БХВ-Петербург. 2006. 416 с.
4. Международный бизнес: учебник / под ред. В. А. Черненко. СПб.: Нестор-История. 2011. 428 с.
5. Ревенков П. В. Дистанционное банковское облуживание: актуальные направления регулирования / Банковское дело. 2012. № 9 (225). С. 57 — 62.
6. Трофимов В. В. Информационные технологии в экономике и управлении. М.: Юрайт. 2012. 521 с.