Дистанционное банковское обслуживание

При общем развитии и распространении интернет-технологии как таковой клиенты кредитных организаций могут воспользоваться значительным числом банковских услуг – от получения выписок по счетам до совершения большинства расчетно-платежных, конверсионных и фондовых операций в любом месте мира, причем используя всего лишь ПИО самого «тонкого клиента», какой только возможен при ДБО, т. е. интернет-браузера. Чтобы получить доступ к компьютерной сети какой-либо кредитной организации, в настоящее время требуется только автоматизированное рабочее место (персональный компьютер), с которого можно выйти в Сеть. В итоге Интернет стал представлять собой такую обеспечивающую технологию, которая сделала банковские услуги и обслуживание доступными для огромного числа клиентов кредитных организаций и устранила барьеры, обусловленные географическим положением, фактором времени и правами собственности на телекоммуникационные системы.

При наличии такого расширенного рынка отечественные кредитные организации могут получить весьма широкие возможности распространения или модификации своих услуг и предложений, а также значительного сокращения затрат на обслуживание своей филиальной сети и административных расходов. Технологические затраты, правда, при этом возрастают, но считается, что они могут быстро окупиться: еще на начальных этапах исследований применения технологии ИБ предполагалось, что эти затраты будут снижаться (менее 1 цента на транзакцию), и это подтвердилось. Сейчас некоторые кредитные организации предлагают своим VIP-клиентам услуги ИБ бесплатно (скорее, правда, условно-бесплатно).

В то же время выяснилось, что технология ИБ изначально придает отношениям между банком и клиентом своеобразную анонимность, поскольку фактически клиент работает с банком виртуально. К сожалению, следствием этого явились факты противоправного использования технологии ИБ для легализации доходов, полученных незаконным путем, совершения других экономических преступлений, а также для финансирования деятельности террористических организаций.

За последние 2–3 года в материалах зарубежных органов банковского надзора и в средствах массовой информации появился целый ряд публикаций по этой тематике. Для отмывания денег, как выясняется, по всему цивилизованному миру фактически используются технологии электронного банкинга с учетом предоставляемых ими анонимных возможностей. В последние 5—б лет в зарубежных публикациях, относящихся к сфере финансового контроля, отмечается, что неизбежное отставание законодательной базы от практики, регулирующей новые интернет-технологии и финансово-технические, если можно так выразиться, инструменты, создает идеальные условия для их незаконного использования в целях отмывания денег. Этому способствует то обстоятельство, что многие электронные платежные инструменты отличаются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с другими платежными системами, обеспечиваемой всемирными телекоммуникационными системами глобальностью и автоматизированностью, применением так называемых «безлюдных» технологий.

Перечисленные особенности снижают эффективность традиционных методов борьбы с отмыванием денег в виде требования предоставления банку определенной информации, отслеживания и анализа содержания операций, а также установления личности клиента и, на чем принято делать акцент в последнее время, выгодоприобретателя. Технология ИБ оказалась привлекательной для многих мошенников, так что кредитные организации, не обеспечивающие адекватного контроля за использованием систем ИБ, рискуют оказаться вовлеченными незаметно для самих себя в противоправную деятельность. Надо отметить, что во всем мире в борьбе с незаконным использованием автоматизированных систем предоставления финансовых услуг делаются попытки адаптации существующих методов и процедур к электронной торговле и платежным инструментам, например устанавливаются требования увеличения объема необходимых данных (особенно при карточных операциях), обеспечения доступа к источникам клиентской информации, комплексного анализа ДБО через разные телекоммуникационные сети, а также совершенствуются методы проведения расследований, «интернационализируется» банковский контроль и т. д.

Очевидно, что проблемы противоправного использования кредитных организаций, например, в качестве «механизмов» отмывания денег не новы, и технологии ДБО лишь обеспечили новый «транспорт» для этого. Однако руководству кредитных организаций целесообразно адекватно учитывать новые факторы риска такого рода при внедрении и развитии ИБ.

Проведенные исследования свидетельствуют, что можно определить три основные разновидности или варианта ИБ, которые реально применяются в настоящее время, различаются масштабом и содержанием банковской деятельности с использованием Интернета, а также составом компонентов типичных банковских рисков, которые сопутствуют применению кредитными организациями технологии ИБ. В основном этот состав определяется наличием (или отсутствием) непосредственных, физических связей между используемыми web-ресурсами и банковской автоматизированной системой (БАС) кредитной организации.

В число наиболее распространенных вариантов ИБ входят следующие.

1. Информационный вариант – это базовый уровень ИБ. В обобщенной терминологии электронных банковских систем ему соответствуют так называемые системы 1-го уровня. Как правило, кредитная организация при этом дает на обособленном сервере маркетинговую информацию относительно банковских услуг и обслуживания, свои реквизиты, тарифы и пр. Соответствующий совокупный риск считается относительно низким, поскольку БАС кредитной организации обычно не имеет непосредственной связи с таким сервером, и внутренняя вычислительная сеть этой организации недоступна для проникновения извне. В то же время соответствующий сервер или web-сайт может оказаться уязвимым для внешних воздействий прежде всего в части нарушения его функционирования, намеренного искажения, уничтожения представляемой на нем информации или размещения антирекламы, информации, негативно влияющей на имидж кредитной организации (сомнительных баннеров или ссылок на порносайты и т. п.). Поэтому руководству кредитной организации целесообразно предусмотреть внедрение эффективных средств контроля для предотвращения таких несанкционированных воздействий.

2. Коммуникационный вариант описывается как использование «банковской электронной системы» 2-го уровня, что позволяет реализовать некоторые виды информационного взаимодействия между БАС кредитной организации и ее клиентами. В зависимости от состава сетевых связей такое взаимодействие может быть ограничено электронной почтой, запросами форм документов и справок о счетах, заявками на ссуды, обновлением стандартных файлов (изменение реквизитов клиента и т. д.). Сопутствующий риск при такой конфигурации выше, чем в первом случае, уже только из-за возможного наличия непосредственных физических связей между web-ресурсами и БАС кредитной организации, равно как и увеличения числа технических средств, вовлекаемых в процесс предоставления банковских услуг. Поэтому кредитной организации требуются адекватные средства контроля для предотвращения и мониторинга любых попыток неавторизованного доступа к своим внутренним сетям и компьютерным системам и вирусного контроля, а также оповещения руководства о таких попытках и принятия парирующих мер.

3. Операционный (или транзакционный) вариант реализуется системами 3-го уровня, позволяющими клиентам опосредованно или непосредственно (при автоматизированной работе с бэк-офисом) выполнять транзакции. Поскольку при этом обычно существуют физические связи систем ИБ с внутренней вычислительной сетью кредитной организации или обслуживающего ее провайдера, такой архитектуре сопутствует наивысший риск (наиболее сложный состав источников риска), и поэтому должны существовать адекватные средства контроля, учитывающие все угрозы, возникающие в отношении этой организации и интересов ее клиентуры. Одновременно требуются сложные средства обеспечения защиты и безопасности информации, выявления и контроля источников рисков, оповещения руководства о подозрительных действиях и неблагоприятных ситуациях, а также развитые планы действий на случай чрезвычайных обстоятельств.

Потенциальные угрозы для кредитных организаций и их клиентов существуют во всех перечисленных вариантах, почему и не следует при анализе факторов и источников банковских рисков ограничиваться только операционными составляющими ИБ (что типично). Чем сложнее состав технических средств, с помощью которых осуществляется обслуживание клиентов, и разнообразнее используемые каналы прохождения информации (включая системы провайдеров), тем больше источников риска, связанных с различными информационными системами, приходится учитывать при выявлении, оценивании, анализе банковских рисков и организации управления ими.

Это не означает, что банковское обслуживание через Интернет заведомо связано с повышенными рисками для кредитных организаций и их клиентов – просто необходимо четко представлять себе тот информационный контур банковской деятельности (ИКБД), который формируется каждой системой ИБ, возможные источники рисков, связанные с ним, и подход к управлению типичными банковскими рисками, требуемый в каждом конкретном случае для обеспечения полного контроля над смещением профиля риска кредитной организации, применяющей такую технологию электронного банкинга. В зависимости от конкретного варианта реализации источники риска могут варьироваться; базовыми факторами при этом являются организация:

• внутрибанковского процесса обеспечения ДБО в части рабочих процедур и распорядительных документов;

• отношений с клиентами кредитной организации, пользующимися системами ИБ, на основе договоров на ДБО;

• взаимодействия с клиентами ДБО через «киберпространство» (виртуальное пространство Сети и БАС);

• обеспечения информационной безопасности в отношении отдельных систем ИБ или в их комплексе;

• внутреннего контроля над применением технологии ИБ, включая осуществление финансового мониторинга;

• отношений с провайдерами, от которых зависит надежность ДБО через Интернет;

• выявления, оценки, мониторинга источников специфических банковских рисков, специфических для ИБ, и управления ими[9 - По этому вопросу см. письмо Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по управлению рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».].

Упрощенная структура ИКБД ИБ показана на рис. 2.2.

Рис. 2.2. Обобщенное представление структуры информационного контура банковской деятельности (ИКБД)

Одним из важных аспектов ИБ является организация web-сайтов, которые нередко используются как своего рода «виртуальные ворота» к информационно-процессинговым ресурсам кредитной организации. С точки зрения общепринятых требований органов банковского надзора (как за рубежом, так и в России) любые информационные материалы, публикуемые кредитными организациями, в том числе в Сети, должны способствовать формированию у реальных и потенциальных клиентов этих организаций полного и точного представления о характере, показателях и специфике деятельности этих организаций[10 - Полная регламентация порядка создания, архитектуры и содержания web-сайтов кредитных организаций невозможна и не нужна, но, исходя из необходимости защиты интересов клиентов кредитных организаций, в том числе потенциальных, и повышения «транспарентности» этих организаций, Банк России пришел к заключению о необходимости подготовки Указания оперативного характера от 3 февраля 2004 г. № 16-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет» (в настоящее время подготовлена к выпуску его новая редакция).]. Фактически при переходе к ИБ для создания, ведения и сопровождения используемых web-сайтов в кредитной организации целесообразно сформировать и в дальнейшем, по мере развития ДБО адаптировать специальный внутрибанковский процесс[11 - Подробно об этом и других аспектах процессного подхода к применению технологий электронного банкинга см.: Лямин A.B. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора/ Управление в коммерческом банке. 2006. № 6. С. 83–94; 2007. № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70.]. Это следует делать во избежание появления дополнительных источников (компонентов) правового и репутационного рисков, связанных с возможными неточностями маркетинговой информации и несоответствием требованиям законодательства, касающимся защиты прав потребителя.

Последнее непосредственно относится к организации web-сайтов и web-порталов, используемых в банковской деятельности. Оформление и распределение информации на web-страницах, фреймах, баннерах и посредством гиперссылок должно быть четким и однозначным, не оставляющим сомнений в источниках и условиях предоставления услуг.

Не менее важна правильная организация так называемых «демилитаризованных зон», изолирующих БАС кредитной организации и ее внутреннюю сетевую структуру (локальную или зональную вычислительную сеть) от внешней сетевой среды, равно как и их административно-технического обеспечения. Для этого специалистам кредитной организации необходимо разрабатывать модели угроз, которые могут быть связаны с технологией ИБ, и сценарии их возможного развития. Это в свою очередь требует анализа архитектуры каналов информационного взаимодействия, которые в общем случае начинаются с сетевых экранов (брандмауэров), web-серверов и прокси-серверов. Речь идет как о сохранении конфиденциальности банковской и клиентской информации, так и о защите от хакерских, крэкерских, фишерских, фармерских и т. п. атак[12 - Соответственно, речь идет о несанкционированном проникновении в локальные вычислительные сети кредитных организаций, взломе их компьютерных систем (с целенаправленным разрушением средств защиты, баз данных и пр.), перехвате данных персональной идентификации и фальсификации доменных имен с целью совершения хищений финансовых средств со счетов клиентов (пользователей Интернета) и др. Количество web-сайтов, с которых можно свободно «скачать» программное обеспечение для взлома компьютерных систем, атак на организации и их клиентов, а также получить информацию о недостатках в защитных средствах операционных систем, прокси-серверов, сетевых экранов и т. п., исчисляется многими тысячами (по информации web-сайта www.antiphishing.org (http://www.antiphishing.org/), знакомство с содержанием которого полезно специалистам кредитных организаций).], а также от проникновения вирусных программ, которых сегодня развелось великое множество. Поэтому грамотно составленная и реализованная политика информационной безопасности, включающая антивирусное направление, в кредитных организациях (с доведением соответствующих требований и до клиентов, обслуживаемых дистанционно) стала необходимым условием обеспечения надежности современной банковской деятельности.

Наконец, если говорить о наиболее важных технологических и технических аспектах надежности банковской деятельности в целом, следует помнить, что современная кредитная организация полностью зависит от надежности своих распределенных компьютерных систем и от надежности аналогичных систем своих провайдеров. Очевидно, что прерывание ДБО «по техническим причинам», нарушение функциональности (или искажение контента) web-сайта, с которым взаимодействует клиент, могут вызвать негативную общественную реакцию в отношении ИБ и ДБО. Поскольку абсолютно надежных компьютерных и телекоммуникационных систем не существует, специалистам кредитных организаций (включая службы информатизации, безопасности, внутреннего контроля и др.) целесообразно организовать, реализовать и при необходимости адаптировать следующие внутрибанковские процедуры:

• оценку и расчет характеристик надежности используемого аппаратно-программного обеспечения (АПО) ИБ, включая сегменты ИКБД, находящиеся вне самой организации (каналы связи, маршруты взаимодействия с клиентами, каналы ДБО и пр.);

• резервирование АП О и массивов банковских и клиентских данных (в части как «горячего», так и «холодного» резервов[13 - Имеются в виду такие разновидности резервирования, при первой из которых резервные системы (серверы, автоматизированные рабочие места, устройства копирования данных и т. п.) работают одновременно с основным оборудованием (в «горячем» режиме), а при второй – резервное оборудование выключено, так что для его инициации требуется некоторое время (прогрев, загрузка программного обеспечения, считывание резервных массивов данных и т. д.).]) с учетом необходимости перехода на резервные каналы взаимодействия с клиентами и восстановления («отката») сеансов связи в рамках ИБ;

• тестирование функциональности, надежности, защищенности и устойчивости АП О ИБ как кредитной организации, так и ее провайдеров, включая планы действий при чрезвычайных обстоятельствах, возможную компрометацию АПО, а также хранение и восстановление сеансовой информации.

Весь комплекс надежности целесообразно оценивать в направлениях выполнения кредитной организацией своих обязательств перед клиентами, контролирующими и правоохранительными органами, начиная с документарного обеспечения банковской деятельности по ДБО в рамках ИБ, положений о подразделениях кредитной организации, имеющих какое-либо отношение к его обеспечению[14 - Это следующие основные подразделения кредитной организации: информационных технологий (ИТ или информатизации автоматизации), внутреннего контроля, обеспечения информационной безопасности, финансового мониторинга (в рамках внутреннего контроля или как обособленное), правового обеспечения, предоставления корпоративных и (или) розничных услуг, сервис-центр. Конкретный состав определяется структурой кредитной организации и распределением ответственности в ней в части поддержки ИБ.], и заканчивая должностными инструкциями ответственных менеджеров и исполнителей, непосредственно управляющих применением технологии ИБ и контролирующих использование соответствующих автоматизированных систем.

Важным аспектом является учет взаимной анонимности кредитной организации и ее клиента, возникающей при ДБО через Интернет, поскольку для идентификации и аутентификации сторон чаще всего используются средства аналогов собственноручной подписи. Недостатки в организационно-техническом и программноалгоритмическом обеспечении применения таких средств могут негативно сказаться на формировании доказательной базы и обеспечении юридической силы «электронных документов», гарантий невозможности отказа от операции (с обеих сторон), предотвращении возможной противоправной деятельности и управлении рисками банковской деятельности, принимаемыми на себя как кредитной организацией, предлагающей услуги ИБ, так и ее клиентами. Руководству и специалистам кредитной организации следует учитывать накопленный за годы применения технологии ИБ в банковском секторе негативный опыт мошенничеств и хищений с помощью систем ДБО, осложняемый недостатками в организации и содержании претензионной работы с клиентами ИБ.

Специфика сетевого взаимодействия в условиях открытых информационных систем (к которым относится и интернет-взаимодействие) предполагает учет дополнительных факторов риска, связанных с широко распространенным хакерством. Под такого рода учетом понимается организация и адаптация ряда специализированных внутрибанковских процедур, относящихся к основным внутрибанковским процессам и подразделениям, ответственным за их реализацию, а именно:

• выявление недостатков в организации и содержании внутрибанковских процессов (как следствие прежде всего неполной их адаптации к новым банковским информационным технологиям);

• выявление недостатков во внутрибанковских документах (обусловленных отставанием соответствующей регламентации от развития ИБ) по всей иерархической структуре кредитной организации;

• выявление и принятие мер по парированию новых угроз в ИКБД ИБ (в том числе за счет отслеживания «успехов» хакерского сообщества и приемов противоправной деятельности);

• выявление и оперативная замена АП О и ПИО, «пробитых» хакерами (а также другими «деклассированными» элементами, действующими в киберпространстве Интернета);

• выявление недостатков в работе провайдеров, входящих в ИКБД ИБ (в части несоответствия требуемому уровню обслуживания и в плане коррекции недостатков в организации контрактных отношений[15 - В российском банковском секторе уже накоплено немало примеров, связанных с проблемами функционирования АП О провайдеров разного рода, из-за чего оказывалось невозможным выполнение кредитными организациями своих обязательств перед клиентами, с сетевыми атаками через системы провайдеров или их пассивностью в содействии парирования таких атак на кредитные организации, несоответствием уровня обслуживания и т. п.]).

Процедурами управления и тщательного контроля в кредитной организации, предоставляющей услуги ИБ, желательно охватывать[16 - E-Banking. IT Examination Handbook, Federal Financial Institutions ExaminationCouncil. Washington, DC, USA, August 2003.]:

• дизайн, контент и хостинг web-сайтов;

• конфигурацию сетевых экранов;

• системы предотвращения и обнаружения вторжений[17 - Intrusion Prevention System (IPS) и Intrusion Detection Systems (IDS), размещаемые как в локальной вычислительной сети, так и на хостах кредитной организации.];

• сетевое администрирование;

• управление информационной безопасностью;

• сервер ИБ;

• прикладное программное обеспечение (расчетов, платежей и пр.);

• внутренние серверы;

• АПО бэк-офиса;

• служебное ПИО;

• автоматизированные системы поддержки принятия решений[18 - Иногда называемые также информационными системами управления (ИСУ).].

Все эти компоненты фактически входят в единый ИКБД, обеспечивающий ДБО в рамках ИБ (несмотря на то что часть из них входит также и в другие информационные контуры в кредитной организации, связанные между собой разнообразными информационными сечениями), и каждый из них следует охватить внутрибанковскими процедурами управления и контроля. Помимо этого все «чувствительные» к возможному переходу в нештатные режимы функционирования компоненты (что может быть обусловлено отказами или сбоями АПО и ПИО кредитной организации, вирусными атаками, несанкционированным доступом, ошибками персонала и клиентов и т. п.), должны быть упомянуты в таких внутрибанковских документах, как «Положение об управлении рисками банковской деятельности», «Положение об информационной безопасности» и «Положение о внутреннем контроле» (о системе или службе внутреннего контроля).