3.1. Новые факторы риска для кредитных организаций и их клиентов в условиях применения технологий электронного банкинга
Не подлежит сомнению тот факт, что применение кредитными организациями (далее для краткости называемыми банками) технологий ДБО или, иначе, «электронного банкинга» радикально изменяет способы и условия осуществления банковской деятельности. Эти изменения необходимо учитывать в организации и содержании целого ряда внутрибанковских процессов, что будет детально описано в предпоследнем подразделе настоящего раздела. В цитировавшейся выше книге описывалось принципиально новое явление в сфере банковской деятельности, «вызванное к жизни» применением самих ТЭБ, а именно так называемый информационный контур банковской деятельности (ИКБД), приводилась его обобщенная схема, а также рассматривались три основных, «системных» фактора риска, обусловливающие возникновение новых источников компонентов банковских рисков. До наступления эры ДБО данное явление отсутствовало как таковое, хотя, строго говоря, элементы этого контура стали появляться в банках вместе с внедрением первых же структур локальных вычислительных сетей (изначально строившихся на основе сетевых систем типа «клиент — сервер» по простым схемам типа «звезда», которую составляли центральный универсальный компьютер и рабочие станции, используемые операционным банковским персоналом). Для того чтобы обеспечить ясность последующего анализа усложнившейся структуры банковских рисков, упомянутая схема в несколько измененном вариант приводится и здесь (рис. 3.1).
Рис. 3.1. Информационный контур банковской деятельности, формирующийся при дистанционном банковском обслуживании
На приведенной схеме условно показаны два входящих в ИКБД банка (Банк-1 и Банк-2), укрупненная структура их локальных вычислительных сетей (ЛВС) и банковских автоматизированных систем (БАС) с функциями управления, обработки и хранения данных (обозначенных как СУБД — система управления базой данных), элементы сетевой защиты, представленные (только для примера) брандмауэрами (сетевыми экранами), виртуальное пространство, образованное системами, каналами и линиями связи провайдеров банков и клиентов, собственно варианты клиентской части ДБО и два неприятных типа: хакер (хронически занятый попытками несанкционированного доступа (НСД) к банковским информационным ресурсам) и крэкер (ориентированный на нанесение ущерба организациям любым доступным через сетевое пространство способом за счет «взлома» и уничтожения их программно-информационного обеспечения). Как отмечалось, в условиях ИКБД возникают три основных новых фактора риска, о которых необходимо знать руководству банков и на которые следует правильно реагировать посредством адекватной модернизации процесса управления банковскими рисками (УБР):
1) возникновение клиента нового типа, который во многих случаях, не приходя в банк, сам «играет роль» операциониста, при этом, как следствие, для банка и клиента возникает взаимная анонимность, на эффектах которой основаны все схемы организации финансовых преступлений и так называемого фишинга при ДБО;
2) возникновение зависимости надежности банковской деятельности от сторонних организаций — провайдеров разного рода, автоматизированные системы и каналы связи которых могут использоваться для реализации противоправной деятельности в отношении банков и их клиентов с нанесением ущерба их интересам;
3) возникновение разнообразных возможностей для НСД к сетевым структурам и БАС банков за счет особенностей функционирования так называемых открытых систем со стороны как внешних преступных элементов, так и инсайдеров в самих банках, обладающих специальными знаниями в части организации и функционирования БАС.
В случае действия первого из приведенных факторов могут иметь место два главных негативных эффекта. Первый из них заключается в том, что банк не всегда может быть уверен в том, что к нему обращается легитимный, официально зарегистрированный, то есть априори известный ему клиент. Это происходит из-за так называемого хищения личности (identity theft), то есть имитации злоумышленником действий упомянутого клиента за счет использования данных его удаленной идентификации. Поэтому персоналу банков следует информировать клиентов ДБО о приемах, с помощью которых может быть совершена подмена такого рода, и о тех мерах, которые им следует оперативно принимать в случаях противоправных попыток имитации их действий, а также о новых способах и попытках компрометации схем подтверждения идентичности удаленных клиентов. Кроме того, в договорах с клиентами целесообразно указывать, какие способы банк будет использовать для связи с клиентами и на какие «подвохи» клиент обязан не реагировать. Второй эффект связан с тем, что клиент не всегда может быть уверен в том, что взаимодействует со «своим» банком из-за «успешных» действий фишеров, которым он невольно выдает данные своей персональной удаленной идентификации. Это происходит преимущественно за счет применения методов так называемой социальной инженерии и хакерских приемов. Данные вопросы будут рассмотрены в одном из последующих подразделов.
Действие второго фактора (в части противоправной деятельности, технические проблемы здесь не рассматриваются) может проявляться в том, что атаки на банки (и, как следствие, на их клиентов) осуществляются через системы провайдеров, включая предоставляемые ими общедоступные каналы (линии) связи. При такого рода намерениях разрабатываются и применяются специальные программные средства, которые должны нарушать работу аппаратно-программного обеспечения взаимодействующих при ДБО сторон (то есть переводить его в нештатные режимы работы (в широком смысле, включая создание возможностей для НСД) или выводить из строя). При этом сами системы провайдеров могут превращаться в источники угроз для банков, если входящие в них вычислительные сети заражаются вредоносным кодом (в том числе программами-вирусами), с помощью чего формируются, в частности, так называемые бот-неты («роботизированные» вычислительные сети), используемые для нарушения функционирования вычислительных сетей и серверов организаций, которые оказываются объектами сетевых атак. Под прикрытием таких атак стали все чаще совершаться финансовые преступления против банков и их клиентов, в том числе с проникновением и «усилением» атак через посредство автоматизированных систем провайдеров кредитных организаций.
Третий фактор может реализоваться в форме различных угроз: специально организуемые или случайно возникающие схемы для осуществления НСД (в том числе через информационные сечения, образуемые при стыковке различных автоматизированных систем или подсистем), сетевые, вирусные, хакерские атаки и т. п. В этих случаях речь идет, как правило, о нелегитимном завладении теми или иными информационными активами (учитывая, что современная банковская деятельность превратилась преимущественно в информационную дисциплину) или о прикрытии таких действий. Вследствие того что при ДБО формируются новые информационные потоки, число которых при массовом обслуживании может исчисляться десятками, сотнями тысяч и миллионами и которые выходят далеко за пределы офисов банка, а это — неотъемлемое свойство любого ИКБД, существенно изменяются характеристики так называемого периметра безопасности банка. Следствием же этого становится необходимость внедрения таких средств защиты архитектур вычислительных сетей (основными из которых являются маршрутизаторы и брандмауэры или их аппаратно-программные комбинации, а также прокси-сервера, — хотя это не единственные средства сетевой защиты), которые позволяют изолировать чувствительные к НСД информационные сечения в таких архитектурах. Ключевым фактором надежности функционирования любого банка при этом становится осведомленность его высшего руководства о новых потенциальных угрозах при ДБО.
Необходимо отметить, что в условиях ДБО проблематика точной локализации сечений указанного рода реально «выходит на передний план», поскольку в таких местах возможно прежде всего несанкционированное вмешательство в информационные потоки, в особенности при нелегитимном использовании прав и полномочий доступа к ним и к аппаратно-программному обеспечению (АПО) банков и провайдеров, через которое они проходят. Как показывают исследования, наиболее серьезные угрозы при этом могут возникать со стороны инсайдеров кредитных организаций. Информационные сечения, через которые возможно какое-либо вмешательство в информационные потоки, генерируемые, поддерживаемые и обрабатываемые банками, следует, по возможности, исключать из ИКБД, а если это оказывается невозможным, то их необходимо наиболее строго контролировать в соответствии с так называемым принципом четырех глаз. Предотвращение возникновения подобных сечений в любом ИКБД или, в случае их неизбежного появления, обеспечение возможностей их полноценного контроля руководству банков целесообразно предусматривать, начиная еще с этапа принятия решения о внедрении той или иной ТЭБ и проектирования/разработки реализующей ее СЭБ. Очевидно, что для этого требуется наличие в банке соответствующих распорядительных документов и осуществление «проактивного» анализа сопутствующих внедрению ТЭБ изменений в структуре банковских рисков.
При реализации любого из упомянутых выше факторов или какой-либо одной связанной с ними угрозы денежные средства, хранящиеся в банке в форме записей об их суммах в его базах данных, могут быть нелегитимно и оперативно переведены на сторонние счета в электронной форме, что обычно и происходит в процессе совершении мошенничеств. При этом современные возможности использования сетевых технологий, а также зонального и даже глобального сетевого информационного взаимодействия позволяют осуществлять подобные трансферы на счета, расположенные практически в любой юрисдикции (городе, регионе, стране). Поэтому, в частности, руководству банков следует помнить о необходимости четкого и полного определения состава так называемой сеансовой информации (СИ), о чем будет сказано в последнем подразделе, накапливаемой и сохраняемой в течение каждого отдельного сеанса информационного взаимодействия удаленного клиента с банком, и обеспечения гарантий ее сохранения в течение установленных сроков (которые следует указывать также и в правоустанавливающих документах на пользование ДБО). При этом необходимо гарантировать и возможность оперативного доступа к ней как минимум при инициации претензионной работы. В основу такого определения целесообразно закладывать механизмы моделирования угроз надежности банковской деятельности в части противодействия возможной ППД, сценарии их возможного развития, состав угрожаемых активов банка, возможные последствия реализации таких сценариев и тому подобные соображения, относящиеся к процессу УБР.
Эта информация может впоследствии составить основу для принятия решений при разрешении конфликтных (спорных) ситуаций, возникающих в процессе осуществления ДБО между банком и клиентами, или при проведении расследований случаев ППД. Таким образом, речь идет, по сути, о постоянном формировании и поддержании доказательной базы ДБО и обеспечении ее юридической силы — в этом заключаются две главные задачи, которые подлежат решению при организации и реализации с помощью информационных технологий (ИТ) в составе ФМ как внутрибанковского процесса и определения видов и содержания составляющих его процедур. При этом, как отмечалось выше, ФМ целесообразно организовывать как внутрибанковский процесс с заведомо более широким содержанием, нежели обычно принято определять, которое заведомо не ограничивалось бы требованиями традиционного противодействия ОД и ФТ (ПОД/ФТ), но охватывало бы всю возможную ППД, с которой в перспективе могут столкнуться банки и их клиенты ДБО. Тем самым можно будет устранить и неоднородности в распределении соответствующих функциональных ролей между такими структурными подразделениями банков, как службы ИТ, внутреннего контроля (ВК), ФМ, безопасности (информационной или экономической), подразделениями, ответственными за работу с клиентами и т. д.
Со времени первой публикации по рассматриваемой тематике банковских рисков, связанных с ДБО, прошло уже немало времени, и количество публикаций по данной тематике постоянно увеличивается (что свидетельствует одновременно о «разрастании» рассматриваемой проблемной области). Однако угроз надежности банковской деятельности не только не стало меньше, но они стали, так сказать, еще более изощренными, а их реализация даже только в плане ППД в киберпространстве ИКБД по-прежнему обусловливается прежде всего такими факторами, как:
— новизна технологических и технических достижений в области ДБО (которые могут оказаться связаны с новыми компонентами таких банковских рисков, как операционный, правовой, репутационный, ликвидности (неплатежеспособности), стратегический, а в некоторых случаях и страновой);
— сложность анализа связанных с разновидностями ДБО потенциальных угроз, преобразующихся в компоненты банковских рисков (в том числе комплексного анализа, охватывающего все «виртуальные ворота», которые неизбежно «открывает» банк, переходящий к ДБО);
— недостаточная компьютерная (как, впрочем, и финансовая, и правовая) грамотность подавляющего количества клиентов, которые охотно переходят от традиционного банковского обслуживания на ТЭБ и пользуются соответствующими СЭБ, которые реализуют такие технологии.
Эти и другие, менее очевидные, причины для существенного расширения возможностей осуществления в банках противодействия возможной ППД в условиях применения ТЭБ будут более детально рассмотрены ниже.
Можно отметить также, что на фоне все большего усложнения компьютерных технологий, ориентированных на внеофисное обслуживание клиентов банков, и, соответственно, необходимого для этого банковского АПО, то же самое происходит и с криминальной деятельностью, поскольку преступные сообщества охотно и быстро «осваивают» новые электронные банковские технологии и используют их для создания новых вариантов ППД в киберпространстве. Одним из наиболее типичных примеров в последние годы стало использование в противоправных целях вариантов мобильного банкинга, которые приходят на смену традиционному «телефонному» банковскому обслуживанию. Вследствие этого вместе с новыми достижениями в направлениях применения этих технологий развивается и существенно усложняется сопутствующая рассматриваемой проблематике область расследования компьютерных преступлений (о чем еще будет говориться в подразделе 3.3). В современном мире эти факты целесообразно учитывать руководству высокотехнологичных банков в рамках организации противодействия возможной ППД, а теперь, в первую очередь, при внедрении и развитии ДБО.
Основной акцент при этом целесообразно делать на тех новых специализированных процедурах, которые позволяли бы эффективно учитывать во внутрибанковских процессах управления и контроля, во-первых, факт удаленности клиентов при ДБО, во-вторых, специфику виртуального пространства, через которое оно осуществляется, в-третьих, особенности функционирования так называемых открытых систем. Здесь, прежде всего, целесообразно рассмотреть организацию ПОД/ФТ, осуществляемого в связи с реализацией процессов ВК и ФМ, поскольку эти задачи имеют достаточно проработанную правовую основу (имея в виду такие основополагающие акты, как Федеральные законы «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — 115-ФЗ) и «О Центральном банке Российской Федерации (Банке России)») и сопутствующие подзаконные акты.
Как свидетельствуют материалы финансовых разведок, в том числе России, различных международных организаций, в частности ФАТФ, практически все финансовые преступления совершаются посредством проведения операций в платежных системах, в том числе трансграничных. При этом чем лучше их параметры (скорость, надежность функционирования), тем выше, при недостаточных мерах противодействия ППД, их уязвимость с точки зрения возможностей ОД и ФТ. В связи со сказанным из числа известных 40 рекомендаций ФАТФ две непосредственно связаны с использованием технологических нововведений (таких как ТЭБ), а именно Рекомендации 15 и 16:
15. Новые технологии
Странам и финансовым учреждениям необходимо определять и оценивать риски отмывания денег или финансирования терроризма, которые могут возникнуть в связи с а) разработкой новых продуктов и новой деловой практики, включая механизмы передачи, и б) использованием новых или развивающихся технологий как для новых, так и для уже существующих продуктов. В случае финансовых учреждений такая оценка риска должна проводиться до запуска новых продуктов, деловой практики или использования новых или развивающихся технологий. Им также следует принимать соответствующие меры для контроля и снижения этих рисков.
16. Электронные переводы средств
Странам необходимо обеспечить включение финансовыми учреждениями требуемой и точной информации об отправителе и требуемой информации о получателе в электронный перевод и сопровождающие сообщения и то, чтобы эта информация сопровождала электронный перевод или передаваемое сообщение по всей цепочке платежа.
Странам необходимо обеспечить, чтобы финансовые учреждения осуществляли мониторинг электронных переводов в целях выявления тех из них, по которым отсутствует требуемая информация об отправителе и (или) получателе, и принимали соответствующие меры.
Странам необходимо обеспечить, чтобы при обработке электронных переводов финансовые учреждения предпринимали действия по замораживанию. Они должны также запрещать проведение операций с установленными лицами и организациями в соответствии с обязательствами, которые определены в соответствующих резолюциях Совета безопасности ООН…
При этом ФАТФ акцентирует внимание на том, что при осуществлении ФМ и реализации процедур ПОД/ФТ следует переходить от анализа отдельных финансовых операций клиентов банков к анализу их хозяйственно-экономической деятельности. Однако, это, конечно, гораздо проще сказать, чем сделать.
Аналогичной позиции придерживается и Базельский комитет по банковскому надзору (БКБН), который в одной из своих публикаций, посвященных так называемому электронному трансферу денежных средств в части «скрытых» или «прикрытых» платежей, отмечает:
При выполнении трансграничных банковских операций помимо банка источника ордера (originator) и банка бенефициара в процесс передачи и обработки банковских данных могут вовлекаться другие банки, выполняющие функции посредников…
…Кредитным организациям, играющим роль таких посредников, независимо от их юрисдикции, следует соблюдать требования, предъявляемые к основным участникам трансграничных банковских операций (источнику и бенефициару), включая определения, содержащиеся в «Специальных Рекомендациях VII» ФАТФ (SR VII), особенно в условиях, снижающих прозрачность (transparency) выполняемых операций (например, через S. W. I. F. Т.)».
Также подчеркивается:
Недостаток информации об источниках и бенефициарах переводов денежных средств может препятствовать банку-посреднику точно оценить риски, ассоциируемые с корреспондентскими и клиринговыми операциями. Такой банк не сможет сопоставить данные с признаками, требующими блокировать или задержать операции либо «заморозить» активы ее участников. <…>
…Повышение прозрачности платежных операций зависит не только от стандартов передачи данных, но и от рабочих процедур банков, вовлекаемых в их обработку, от чего зависит надежность и качество функционирования платежной системы.
Одной из наиболее неприятных для банков особенностью реализации двух связанных с ДБО эффектов взаимной анонимности является то, что банки могут оказаться незаметно для себя вовлечены в ту или иную ППД, что может негативно сказаться на их отношениях и с государством, и со своими клиентами (тем самым повышаются уровни правового и репутационного рисков). Руководству этих учреждений целесообразно помнить о последствиях такого рода, поскольку, как будет показано далее, развитие ситуации при проведении расследований ППД может негативно сказаться на их имидже, а если банки действительно окажутся обоснованно обвиненными в незаконной деятельности, то это может повлечь за собой отзыв лицензии на осуществление банковских операций (что, к сожалению, давно уже не редкость).
При совершении трансферов денежных средств в электронной форме виртуальное пространство позволяет скрывать как их инициаторов, так и бенефициаров уже при самом незначительном числе агентов сетевого «финансово-информационного» взаимодействия. При типовых трехэтапных схемах ОД («размещение — расслоение — интеграция») с участием множества промежуточных (подставных) агентов, «перекачивающих» денежные средства между своими банковскими счетами, для выявления этого взаимодействия требуется наличие достаточно сложных аналитических алгоритмов, как и для обнаружения любых сомнительных операций. А поскольку схемы ОД модернизируются, то и алгоритмы ФМ должны становиться все более сложными, точно так же, как и его информационная основа и критериальная база.
В простейшем и типичном варианте на первом этапе ОД денежные средства, полученные нелегитимным путем, «вбрасываются» в финансовую систему, как правило, через специально создаваемые подставные фирмы, которые характеризуются как минимальным капиталом, так и тем, что существуют весьма непродолжительное время, после чего выполняется совокупность проводок, «не имеющих явного экономического смысла». Это переводы со счетов юридических лиц крупных денежных сумм, «распыляемых» по карточным счетам физических лиц (так называемых дропперов), с оперативным их получением или снятием через банкоматы. От банков, не желающих подпасть под подозрение в соучастии или в организации преступных финансовых схем, при этом требуется возможно более тщательное следование принципу, постоянно пропагандируемому БКБН, — «знай своего клиента» (ЗСК, за рубежом: КУС — Know Your Client). В то же время при использовании современных схем ОД и массовом ДБО это становится затруднительно, а поэтому безоглядное стремление какого-либо банка захватить значительную часть рынка ДБО вполне может оказаться необоснованным с точки зрения достаточности ресурсной базы такого банка в плане реализации необходимых (довольно сложных) процедур в составе процесса ФМ и контроля над хозяйственно-экономической деятельностью большого числа клиентов в целом (что специально отмечалось ФАТФ).
На втором этапе денежные средства, как правило, разделяемые на части, проводятся через ряд банков с использованием дистанционного управления счетами, что позволяет серьезно затруднить отслеживание транзакций и придать анонимность процедурам перевода денежных средств (в том числе за счет подставных промежуточных агентов финансовых операций). При этом нередко задействуются офшорные зоны и варианты технологии интернет-банкинга, в которых могут быть сконцентрированы сотни банков (включая так называемые бумажные или пустые банки, фигурирующие исключительно в электронном трансфере), а также сторонние анонимные прокси-сервера, не позволяющие определить местоположение участников информационного взаимодействия.
Для выявления таких ситуаций и придания операциям статуса сомнительных или для отказа от выполнения соответствующих операций банкам необходимо разрабатывать и внедрять соответствующие аналитические процедуры (об этом еще будет говориться ниже).
На третьем этапе денежные средства, которые могут с помощью удаленного управления пройти много циклов перемещений между юрисдикциями, банками и счетами большого количества фирм, в завершение процесса ОД концентрируются на счетах вполне легитимно существующих и действующих юридических или физических лиц. При этом обоснования для транзакций могут оказаться произвольными и никак не связанными с предыдущими транзакциями (БКБН, кстати, делает особый акцент на полноте информации, сопровождающей переводы денежных средств, когда рассматривает цепочечные операции). Поэтому возникает потребность в совершенствовании аналитических методов, применяемых в процессе ФМ, особенно в целях выявления банками связанных клиентов и транзакций на базе так называемого эффективного группового подхода (имея в виду в том числе, что отдельные клиенты или связанные общими интересами группы клиентов могут осуществлять финансовые операции через разные подразделения — филиалы, дополнительные офисы и пр. — одних и тех же банков). Вследствие этого пропагандируется требование наличия единой политики работы с клиентами в групповой структуре.
Как указывает БКБН, банкам следует руководствоваться основными положениями, способствующими эффективной реализации ФМ:
Необходимо разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков и риска концентрации.
Политика и процедуры на уровне филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку.
Подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков.
Между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками.
Неизбежность усложнения алгоритмов ФМ видна также из содержания нормативных и других документов Банка России, которые продолжают разрабатываться и приниматься со времени принятия Закона № 115-ФЗ. По состоянию на последнее время банкам при организации и определении содержания внутрибанковского процесса ФМ (и ВК в соответствующей части) удобнее всего ориентироваться на письмо Банка России от 04.09.2013 № 172-Т «О приоритетных мерах при осуществлении банковского надзора», в котором описываются так называемые критерии определения признаков высокой вовлеченности кредитной организации в проведение сомнительных безналичных и (или) наличных операций (там же приведен и перечень документов Банка России для целей квалификации операций в качестве сомнительных). Поэтому банкам требуется разработка все более специализированных и детальных аналитических процедур ФМ (в интересах ПОД/ФТ) для идентификации указанных лиц, контроля и сопоставления данных, осуществляемых в соответствии с их ордерами. То же самое относится и к специализированному программно-информационному обеспечению (ПИО) процесса ФМ, функции которого должны соответствовать требованиям, установленным законодательными и подзаконными актами.
Если доказательство участия банка в каких-либо операциях, связанных с отмыванием денег или финансированием терроризма, карается в соответствии с федеральными законами и подзаконными актами, то наказание за другие виды ПДД далеко не всегда «находит своих героев». Расследование и доказательство преступлений, совершаемых в киберпространстве, стало в последние три десятилетия настолько актуальным, что за рубежом давно уже организована подготовка сотрудников финансовых организаций по специальности «сертифицированный инспектор по мошенничествам». В задачи специалистов, проходящих подготовку такого рода, входят прежде всего: предотвращение и (или) предупреждение мошенничеств, особенно корпоративных, проведение расследований преступлений (начиная с обеспечения сохранения улик, включая компьютерные устройства и данные, хранимые в электронной форме), взаимодействие с правоохранительными органами и участие в судебных разбирательствах и процессах в качестве экспертов; кроме того, они могут участвовать также в реализации отдельных функций в составе процессов обеспечения информационной безопасности (ОИБ), ФМ и ВК в своих организациях (постоянно или на основе привлечения).
Как отмечается в одной из популярных книг по противодействию мошенничествам, «совершение корпоративного мошенничества всегда связано с посягательством на активы корпорации и их хищением». При этом необходимо учитывать тот принципиально важный факт, что упомянутые активы теперь — преимущественно «информационные», а следовательно, методы и средства их защиты оказываются прямо связаны с процессами ОИБ, ФМ и ВК в банках. Без сомнения, банковское дело также превратилось во многом в «информационную дисциплину».
Как отмечается в одной из популярных книг по так называемому киберправосудию (или, иначе, киберследствию):
Риски, с которыми сталкивается руководство кредитных организаций, по мере усложнения технологий только повышаются. Лица, склонные к злоупотреблениям технологиями, обнаруживают, что их возможности в этом плане расширяются, тогда как возможности руководства по удержанию их от этого становятся экспоненциально более проблематичными и ограниченными…
В XXI веке ни одна организация не может забывать о возможности возникновения потребности в высококвалифицированном специалисте в области киберправосудия, независимо от включения его в персонал или приглашения со стороны. При этом актуальным является вопрос не «если» потребуется, а «когда»…
Необходимость наличия актуальной программы киберправосудия, обеспеченной подготовленным персоналом с квалификацией сертифицированного инспектора по мошенничеству и требуемыми рабочими процедурами для проведения служебных расследований, должна полностью осознаваться.
В формируемых новыми информационными технологиями условиях «электронной» финансовой и, в частности, банковской деятельности кибермошенничества становятся все более привлекательными, так как преступник «может скрываться» за киберпространством и использовать для совершения преступления специфические технологии: сетевые, хакерские, шпионские, троянские и т. п., а также прикрытия в форме сетевых атак, фальсификации маршрутной информации (к примеру, IP-адресов при ДБО в варианте интернет-банкинга и др.), равно как и разнообразные приемы, которые позволяют скрывать инициатора мошенничества, его бенефициаров или же сами факты мошенничества (когда прикрытие срабатывает). Практически все подходы такого рода базируются на одной основе — сочетании тех или иных способов НСД к атакуемым ресурсам и БАС кредитных организаций, а также аппаратно-программным средствам их удаленных клиентов (в том числе через автоматизированные системы провайдеров).
Надо отметить, что любое мошенничество, реализуемое через тот или иной способ НСД, связано с упоминавшимся выше «хищением личности», то есть с приданием видимости легитимности обращения к каким-либо информационным активам и операциям с ними. Из этого следует, что основное внимание при использовании любых современных форм платежей и расчетов следует уделять способам и средствам подтверждения идентичности пользователя конкретных информационно-процессинговых ресурсов и правомерности использования тех или иных полномочий доступа к информационно-процессинговым ресурсам. В свою очередь, само возникновение возможностей НСД всегда обусловлено недостатками в установлении ограничений на физический и логический доступ к АПО и информационным ресурсам организаций, что, в свою очередь, свидетельствует, как правило, о неполноте проведения приемо-сдаточных испытаний конкретных автоматизированных системы (БАС или СЭБ). Такая неполнота при построении логики рассуждений в обратном порядке свидетельствует о наличии недостатков в программах, методиках, актах и протоколах проведения этих испытаний, а значит, о недопонимании руководством банка значимости полного подтверждения заявленных свойств БАС и (или) СЭБ. Логическая последовательность обеспечения легитимности прав и полномочий доступа к чувствительным информационно-процессинговым ресурсам, с известной долей условности показана на рисунке 3.2, скомпонованном на основе карикатуры, хорошо отражающей суть данной проблематики. Тем самым отражается также тесная и неразрывная связь процедур управления распределением прав и полномочий доступа к информационно-процессинговым ресурсам банка (включая филиалы, дополнительные офисы и пр.) и контроля над ними.
Рис. 3.2. Пример проблематики разграничения прав и полномочий доступа в условиях применения технологий электронного банкинга
Следует отметить, что нередко наблюдаемое в кредитных организациях, прежде всего банках, желание руководства «сэкономить» на так называемых незарабатывающих подразделениях, к числу которых, как исторически сложилось, относятся подразделения ИТ, ОИБ, ВК, ФМ, УБР и ряд других, гарантированно приводит к недостаткам в обеспечении надежности банковской деятельности. Следствиями такой «экономии» часто оказывается нехватка высококвалифицированного персонала, необходимого для правильной и надежной организации автоматизированной банковской деятельности, или недопустимая концентрация полномочий, в особенности это касается совмещения в одних руках функций администрирования: системного, сетевого, баз данных, информационной безопасности и т. п. Ситуация, в которой один человек совмещает несколько функций, которые в соответствии с правилами здравого смысла (в отсутствие соответствующих нормативных правовых актов) должны быть разделены, как это считается необходимым с точки зрения обеспечения гарантий невозможности НСД высокого уровня, может оказаться связанной с угрозами для безопасности информационных активов организации, так как при этом заведомо не выполняется упоминавшийся принцип «четырех глаз». В этом случае те или иные сотрудники, с одной стороны, получают наиболее полные права и полномочия доступа к таким ресурсам, а с другой стороны, оказываются фактически неподконтрольными.
Как отмечает в своей оригинальной книге один известный в прошлом в США мошенник: «Важно помнить: если для людей невольно создаются условия, чтобы они воровали, они будут это делать!», вследствие чего постулируется, что «Доверие — хорошо, но контроль — лучше!». Данный автор знает, что говорит, когда заявляет в этой книге, что «Абсолютной надежности не существует» и что «Обман не прекращается никогда», — проведя за решеткой несколько лет за махинации с чеками, банкоматные мошенничества и прочую противоправную деятельность, он по освобождении открыл консультационную фирму по организации противодействию корпоративным и другим мошенничествам и написал упомянутую в ссылке книгу. В ней, помимо прочего, он приводит такие данные социологического опроса, которым были охвачены сотрудники нескольких сотен североамериканских компаний, которым задавались вопросы об их отношении к воровству:
Результаты исследований показали, что 10 % работников воровали бы все время, еще 10 % никогда не украли бы, а 80 % воровали бы, если бы у них была для этого причина. Это свидетельствует о том, что руководство компаний должно проявлять обеспокоенность о 90 % своего персонала…
По данным указанного автора:
Банки теряют в пять раз больше денег от хищения денежных средств, чем от вооруженных ограблений. Кража на рабочем месте может быть настолько пагубной для компании, ставшей ее жертвой, что почти одна треть всех банкротств приписываются присвоению чужих средств.
Остается надеяться, что столь безрадостная картина является типичной только для США…
Ситуация усугубляется тем, что в виртуальном пространстве мошенничества совершаются мгновенно и практически незаметно. При виртуальном мошенничестве обычно неизвестно наверняка, кем является злоумышленник. Его нельзя увидеть, потому что это — аноним, скрытый технологиями и автоматизированными системами. Кроме того, как отмечает тот же автор, «Для подавляющего большинства клиентов банков электронные банковские операции все еще остаются загадочными». Практика изучения жалоб клиентов российских банков подтверждает этот неутешительный вывод, поэтому помимо широко обсуждаемой потребности в повышении финансовой грамотности населения логично было бы говорить и о повышении его «технологической грамотности». Сказанное относится и к качеству соглашений о ДБО в том смысле, что в соответствующих договорах, как правило, не оговариваются упоминавшиеся выше его доказательная база и ее юридическая сила.
В настоящее время специфика условий функционирования российского банковского сектора предполагает, как отмечалось, возникновение новых источников компонентов только для следующих банковских рисков: стратегического, операционного, правового, репутационного (потери деловой репутации), ликвидности (неплатежеспособности) и, в некоторых специфических случаях, странового. Чтобы правильно определить состав источников компонентов рисков, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, в соответствии с принятой в том или ином банке методологией УБР, можно сгруппировать отдельные факторы или источники компонентов рисков по их возможному проявлению в тех или иных типичных банковских рисках, которые описываются, как правило, во внутрибанковских документах типа «Положения об управлении банковскими рискам». Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше, при переходе к применению ТЭБ.
Ниже проводится краткий анализ структуры этих банковских рисков в части свойственных применению ТЭБ и реализующих их СЭБ причинно-следственных связей их компонентов наряду с теми угрозами надежности банковской деятельности, которые привносит ДБО само по себе. Если говорить конкретно о ППД, то, трактуя понятие указанной надежности с точки зрения выполнения кредитными организациями (в широком смысле) своих обязательств перед клиентами и контролирующими органами, можно определить те компоненты типичных банковских рисков, которые непосредственно связаны с опасностью осуществления ППД:
• для операционного риска — это потенциальные финансовые потери, обусловленные мошенническими действиями в отношении кредитной организации и (или) ее клиентов за счет перевода автоматизированных систем, применяемых ею для осуществления банковской деятельности, в нештатные (в широком смысле) режимы функционирования, из-за чего могут осуществляться противоправные действия, включая проведение несанкционированных транзакций или прямые хищения финансовых средств в электронной форме либо конфиденциальной («чувствительной») информации и пр., происходить нарушения доступности автоматизированных систем и (или) непрерывности их функционирования (включая как причины «удачные» сетевые и хакерские атаки, отказы и сбои аппаратно-программного обеспечения для прикрытия мошенничеств как самой кредитной организации, так и ее провайдеров), следствием чего окажется невыполнение кредитной организацией обязательств перед клиентами;
• для правового риска — это потенциальные финансовые потери, обусловленные невыполнением кредитной организацией требований нормативных правовых актов, регулирующих банковскую деятельность, и (или) законодательной неопределенностью дистанционного предоставления банковских услуг, а также судебными издержками/санкциями из-за невыполнения обязательств перед клиентами (включая потерю значимых данных и утечку «чувствительной» информации, нарушение банковской тайны, противоправную деятельность, которая оказывается возможной из-за недостатков аппаратно-программного или программно-информационного обеспечения банковской деятельности как самой кредитной организации, так и ее провайдеров, хищения денежных средств клиентов и т. д.), включая ситуации, в которых клиенты оказываются не способны выполнять свои обязательства перед третьими сторонами по вине кредитной организации и (или) ее провайдеров;
• для риска ликвидности (неплатежеспособности) — это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);
• для репутационного риска — это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);
• для стратегического риска — это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними — и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях — это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков — нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?
Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода, с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей» , позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).
Общая «беда», сопутствующая внедрению и применению в банках новых информационных технологий, состоит в том, что нередко такие немаловажные внутрибанковские процессы, какУБР, информатизация банковской деятельности, ОИБ, ВК, ФМ и работа других, как считается, «не зарабатывающих» подразделений кредитной организации, вообще финансируются по «остаточному принципу». При этом наблюдаются и такие нежелательные варианты «экономии» на дорогостоящих специалистах, что, как отмечалось, ведет к образованию чрезмерной концентрации полномочий в руках отдельных должностных лиц или к невозможности надежного выполнения довольно «тонких» функций в части ОИБ, таких как настройка брандмауэров, прокси-серверов и т. п. в том смысле, что специалисты, обладающие необходимой для этого достаточно узкой специализацией и высокой квалификацией, во-первых, становятся «штучным товаром», во-вторых, их действия оказывается некому контролировать. Кроме этого, средства сетевой защиты стоят, как правило, недешево, а не в каждом банке руководство имеет полное представление о тех мерах и средствах защиты, которые необходимо приобретать, внедрять, настраивать и сопровождать в связи с каждым новым ИКБД, формируемым той или иной новой ТЭБ. Вследствие этого надежно защитить все «виртуальные ворота» такого рода окажется весьма проблематично, то есть опять-таки может формироваться почва для использования служебных полномочий в личных целях (на исполнительском уровне) с последующим нанесением крупного финансового ущерба банку и его клиентам — это тот же проблемный вопрос о контролируемости информационных сечений, возникающих в ИКБД, между БАС и СЭБ и т. п.
Известно, что «рыба ищет, где глубже, а человек — где лучше», и такого рода поиски неудовлетворенных своим положением специалистов с высокой и достаточной специфичной узкой квалификацией могут приводить к тому, что отдельные банки будут терять определенных специалистов уровня, например, системных администраторов и других, которые при уходе в другую организацию будут уносить с собой всю информацию о составе и архитектуре БАС и СЭБ покидаемого ими банка, порядках, правилах, правах и полномочиях доступа к чувствительным программно-информационным ресурсам ит.п., то есть представлять в итоге совершенно конкретные угрозы для этого банка. Такие угрозы, будучи «сдобрены» плохими взаимоотношениями с прежними работодателями (причины которых — в недостаточной по мнению того или иного лица финансовой оценке его квалификации, трудозатрат, ответственности, функциональной и технологической зависимости и т. п.), могут оказаться причинами последующих инцидентов ППД, причем по своему характеру наиболее серьезных для банка и его клиентов (точнее, принадлежащих им финансовых средств и конфиденциальной информации, что в условиях известной «криминализации» российской экономики может обернуться для участников финансовых отношений непредсказуемыми последствиями). Известны случаи «закладывания» увольняющимися специалистами своего рода «программных бомб», которые через какой-то интервал времени наносят физический ущерб ПИО банков, организации ими скрытых каналов доступа к разным компонентам ПИО, сговора с отдельными сотрудниками подразделения, отвечающего за ИТ или ОИБ с целью совершения впоследствии хищений финансовых средств или конфиденциальной информации и т. д.
В общем случае руководству насыщенных информационными технологиями банков (да и любых кредитных организаций) необходимо учитывать все источники угроз, связанных прежде всего с проявлениями так называемого человеческого фактора, которые показаны на рисунке 3.3.
Рис. 3.3. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления В К
Совокупность рассмотренных в настоящем подразделе проблемных вопросов свидетельствует о том, что в области таких наиболее современных электронных банковских технологий, как ДБО, присутствуют серьезные компоненты стратегического риска, чему нередко просто не уделяется внимание (чтобы убедиться в этом, достаточно прочитать те же «Положения об управлении банковскими рисками» в высокотехнологичных кредитных организациях). Очевидно, что если в отношении новых угроз надежности банковской деятельности не принимаются должные меры, препятствующие их реализации, — хотя для этого достаточно начать с полноценного анализа зон концентрации источников компонентов банковских рисков и зон ответственности банка, то и сам бизнес в рамках ДБО может оказаться скомпрометированным. Следствием этого станут финансовые потери банков и их клиентов, а итоговыми последствиями — отказ от использования той или иной СЭБ, то есть в результате, как уже отмечалось, к ее нерентабельности и вообще неокупаемости, возможно, многомиллионных внедренческих и эксплуатационных расходов (чему в российском банковском секторе также имеются примеры). А в обществе возникнут и сомнения в квалификации персонала банка. Порочный круг!
В качестве только одного такого варианта можно привести многогранный и интенсивно развивающийся карточный бизнес. Главная беда здесь заключается в том, что само наличие возможностей осуществления карточных мошенничеств и наблюдаемое интенсивное использование их преступными элементами при негарантированном обеспечении возврата утраченных финансовых средств могут подорвать доверие клиентов кредитных организаций к карточному обслуживанию как разновидности электронного банкинга. Отсутствие полного доверия со стороны клиентов банков к данному виду услуг ДБО проявляется в первую очередь в том, что в подавляющем большинстве случаев пластиковые карты используются для получения наличных денег в банкоматах.
К сожалению, недостатки российского законодательства в части обеспечения предоставления финансовых услуг в электронной форме не удается до настоящего времени компенсировать и с помощью законодательных актов, например принятием Федерального закона «О национальной платежной системе» (имеется в виду прежде всего многострадальная статья 9). На фоне отсутствия полноценного законодательства о предоставлении финансовых услуг «в электронной форме» это также свидетельствует о недостаточности паллиативных мер для обеспечения гарантий надежности вне офисной банковской деятельности. Сказанное относится и к другим видам ДБО. Поэтому кредитные организации фактически вынуждены самостоятельно находить эффективные и полноценные способы предотвращения ППД в киберпространстве, что не у всех из них хорошо получается.
Наиболее очевидные недостатки в организации ДБО российскими банками проявляются в организации договорных отношений с его клиентами и контрактных отношений с провайдерами, возникающими в ИКБД вместе с каждой новой ТЭБ. Эти недостатки очень серьезно затрудняют ведение соответствующей претензионной работы и крайне негативно сказываются на интересах указанных клиентов, в том числе в ходе судебных разбирательств (об этом еще будет говориться в подразделах 3.3 и 3.4).