3.4. Особенности организации претензионной работы при применении технологий электронного банкинга
Наряду с изложенным в предыдущих подразделах, весьма важным для банков, переходящих к ДБО, становится внедрение эффективной политики осуществления претензионной работы в отношении клиентов, взаимодействующих с банками дистанционно, а также обеспечение гарантий защиты их интересов. При этом в общем случае необходимо учитывать, что применение разнородных ТЭБ заведомо приводит к различию и в процедурах разрешения конфликтных ситуаций, и в порядке и правилах реализации киберправосудия, и в составе информации, которую, возможно, при необходимости потребуется предоставлять правоохранительным органам и которая, не исключено, будет фигурировать и в ходе последующих судебных разбирательств (имея в виду все варианты ППД). С учетом сказанного выше, руководству банков следует чрезвычайно внимательно относиться к качеству договорных документов с клиентами, включая в их текст детальные описания состава упоминавшейся в подразделе 3.1 доказательной базы и обеспечения ее юридической силы, которые одновременно будут понятны клиентам ДБО и не вызовут разночтений в случаях предъявления судебных исков.
Это же относится к описанию процедур, реализуемых так называемыми конфликтными комиссиями, требований к их составу и квалификации соответствующих специалистов, равно как и определению того, какую юридическую силу будут иметь экспертные заключения такой комиссии в случае, если дело дойдет до судебного разбирательства. Такую же информацию целесообразно отражать и в текстах договоров на ДБО (контрактов, дополнительных соглашений к договору банковского счета и т. п.), а также убеждаться в том, что каждый клиент ДБО ознакомлен с перечисленными видами информации, ответственно подписывает содержащий ее правоустанавливающий документ и подтверждает согласие на использование соответствующих порядков и правил в случаях, когда возникает необходимость в разрешении конкретных — зафиксированных документально — спорных (конфликтных) ситуаций, в том числе при возникновении угроз возбуждения судебных исков.
Разрешение «цифровых» аспектов многих современных преступлений требует участия опытных специалистов по криминалистической экспертизе, владеющих необходимыми навыками сбора и анализа улик, содержащихся в компьютерах, а в настоящее время такие аспекты содержатся почти в каждом преступлении, связанном с хищением финансовых средств или конфиденциальной информации, равно как и расследованием инцидентов ПОД/ФТ в целом. В компьютерах разного рода, мобильных телефонах, коммуникаторах, PDA, компьютерных планшетах и других электронных устройствах часто хранится информация, которая может оказаться полезной для хода расследования (равно как и в сообщениях электронной почты). Специалисты, первыми прибывающие на место преступления (а затем и следователи), должны уметь распознавать потенциальные «цифровые» улики и знать, как сохранить их для анализа экспертов.
Состав таких улик в зависимости от конкретных применяемых ТЭБ варьируется, что прямо сказывается как на формировании подмножеств данных, используемых в составе СИ, так и на видах сведений, предоставляемых тем, кто расследует те или иные компьютерные преступления, совершаемые в банковском секторе (инсайдерами банков, крэкерами в отношении банков или хакерами в отношении клиентов ДБО и пр.). К сожалению, до настоящего времени для российской финансовой сферы не разработаны какие-либо нормативные правовые акты, которые хотя бы в общих чертах регламентировали бы организацию специализированных внутрибанковских процедур, ориентированных на предупреждение и обеспечение расследования возможной ППД. Поэтому с формальной точки зрения банки, к сожалению, не обязаны именно пруденциальным образом организовывать и контролировать действия своих удаленных клиентов и провайдеров (входящих в каждый конкретный ИКБД) в связи с теми или иными сомнительными ситуациями (которые впоследствии могут привести как к финансовым, так и к правовым проблемам). Ниже приведен ориентировочный (и заведомо неполный, хотя вполне пригодный для использования) перечень процедур такого рода:
— осуществление многофакторной идентификации клиентов ДБО (включая отслеживание их перемещений);
— сопоставление IP-адресов, с которых поступают ордера клиентов;
— обоснованное блокирование счетов подозрительных клиентов;
— предупреждение и парирование возможных ошибок клиентов, — оперативное реагирование на противоречивые ситуации с клиентами ДБО;
— разработку инструкций для операторов колл-центра с описанием вариантов мошенничеств и оперативного реагирования на них;
— определение в договорах с клиентами ДБО мер безопасности;
— определение в контрактах с провайдерами условий аутсорсинга;
— изучение информационных технологий, используемых провайдерами;
— проверку технологической надежности и безопасности провайдеров;
— использование процедур аутентификации различных информационных сообщений (включая ордера клиентов, сеансовые пароли и пр.);
— принятие конкретных мер по предотвращению мошенничеств, а также установлению ограничений на действия клиентов ДБО;
— определение возможностей обнаружения программ-шпионов, программ-вирусов и другого вредоносного программного обеспечения;
— принятие конкретных мер по обеспечению доступности, функциональности и информационной безопасности ДБО;
— сопоставление номеров телефонов, с которых к клиентам обращаются якобы сотрудники банка или Банка России;
— информирование правоохранительных органов о подозрительных номерах телефонов, с которых клиентам звонят злоумышленники;
— информирование клиентов ДБО о системах провайдеров и их функциях (как минимум связанных с передачей чувствительных данных);
— угрозах, связанных со «странными» телефонными звонками, сообщениями о поступлении MMS, интернет-сообщениями неясного происхождения.
Тем не менее каждое из подобных мероприятий прямо связано с обеспечением гарантий выполнения кредитными организациями обязательств перед своими клиентами и защитой их интересов. Некоторое содействие в плане сохранения СИ в связи с принятием Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» могут оказать отдельные выпущенные «под него» подзаконные акты Банка России, например, Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Однако указанный закон, к сожалению, тоже страдает неполнотой с точки зрения защиты интересов клиентов кредитных организаций, в частности клиентов ДБО.
К претензионной работе имеют отношение многие современные негативные явления, связанные с прямыми и косвенными атаками на клиентов ДБО кредитных организаций, о чем, вообще говоря, целесообразно было бы ставить в известность таких клиентов. Например, в Письме Банка России от 25.06.2009 № 76-Т «О рекомендациях по информированию клиентов о размещении на веб-сайте Банка России списка адресов веб-сайтов кредитных организаций» сообщалось о «появлении в российском сегменте сети Интернет веб-сайтов, имитирующих интернет-представительства ряда российских кредитных организаций. Доменные имена и стиль оформления таких сайтов, как правило, сходны с именами подлинных веб-сайтов банков, а содержание прямо указывает на их якобы принадлежность соответствующим кредитным организациям. При этом посетителям таких веб-сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация. Использование подобных реквизитов, а также вступление в какие-либо деловые отношения с лицами, фактически представляющими “ложные” банки, связано с риском и может привести к нежелательным последствиям для клиентов кредитных организаций». В связи с этим «в целях противодействия распространению подобных негативных явлений Банк России, начиная с 11.06.2009, приступил к регулярному размещению на своем веб-сайте… списка адресов (доменных имен) официальных веб-сайтов кредитных организаций».
Одновременно отмечалось, что «Банк России считает целесообразным рекомендовать кредитным организациям предупреждать клиентов о распространении в сети Интернет недостоверной информации об интернет-ресурсах кредитных организаций, а также информировать их о размещении списка адресов официальных веб-сайтов кредитных организаций на веб-сайте Банка России. Кредитным организациям рекомендуется подготовить и распространить среди клиентов памятку, содержащую исчерпывающую контактную информацию, рекомендации по безопасному использованию банковских интернет-технологий, а также предложения клиентам информировать кредитную организацию о самостоятельно выявленных ложных веб-сайтах банка или о полученных сведениях подобного рода по электронной почте или иным способом. При наличии в распоряжении кредитной организации сведений об установленных ложных веб-сайтах, списки их адресов также целесообразно доводить до клиентов, в том числе путем публикации на официальных интернет-представительствах кредитной организации».
К сожалению, из-за недостатков действующего законодательства Банк России не имеет возможности полноценного регулирования всех процедур организации, управления и контроля ДБО, а также обеспечения его надежности (в широком смысле), вследствие чего кредитные организации вынуждены решать многие из таких вопросов самостоятельно, почему в упоминавшемся Письме Банка России 36-Т и содержится достаточно обширный 5-й раздел, где описываются информационные компоненты, которые целесообразно использовать руководству этих организаций при принятии бизнес-решений в области ДБО. Указанные там информационные компоненты охватывают широкий круг вопросов от управления банковскими рисками в связи с применением ТЭБ и технического обеспечения ДБО до сведений о негативных ситуациях, имевших место при использовании СЭБ (по пяти направлениям информирования). Поэтому 5-й раздел Письма Банка России 36-Т уместно использовать в качестве информационной основы для принятия указанных решений.
Наиболее современный подход к аналитической работе в кредитных организациях связывается с применением технологий так называемых систем поддержки принятия решений (СППР), в которых по существу реализуются элементы так называемого искусственного интеллекта. Это направление идеологически и алгоритмически сходно с другим его направлением — «экспертными системами», давно используемыми в банковских секторах западных стран в аналитических целях (как центральными банками, так и банковским сообществом). Экспертные системы применяются в аналитических целях для поиска решений, требующих комплексного когнитивного анализа информации (например, об уровнях банковских рисков, в целях комплайенс-контроля и др.). Такие системы позволяют использовать обширные информационные базы фактов, так называемые базы знаний и механизмы логического вывода, с помощью которых обеспечивается некий минимальный уровень экспертизы, который в условиях крупномасштабной и многогранной банковской деятельности обеспечить затруднительно в силу сложностей с аналитической обработкой огромных массивов данных, особенно разрозненных. В качестве примеров можно привести функции любого колл-центра и службы поддержки клиентов крупной кредитной организации, формирование, сохранение и аналитическое применение так называемых паттернов (шаблонов, образов) действий клиентов и мошенников (благо для финансового сектора существует уже немало таких разработок, предлагаемых на различных форумах, в том числе банковских). Комплексный анализ такого рода имеет непосредственное отношение к исключению возможностей осуществления и предотвращению ППД, которая далеко не исключена при ДБО, и расследованию ее инцидентов.
СППР обычно комбинируются с хранилищами данных, то есть базы данных используются для принятия фундаментальных бизнес-решений, в том числе за счет так называемого глубокого комплексного анализа данных (что в зарубежной литературе определяется как data-mining). В таких случаях весьма важно, чтобы руководство кредитной организации могло полагаться на точность, полноту, целостность, конфиденциальность и актуальность этих систем, тем более что в условиях массового обслуживания и лавинообразного роста количества ордеров удаленных клиентов СППР (или сходная с ней экспертная система, обеспечивающая минимально необходимый уровень квалификации для принятия решений) может оказаться незаменимым вариантом информационно-аналитической работы персонала и руководства высокотехнологичного банка, в том числе в плане УНТ, управления и контроля функционирования СЭБ. Для полноценной работы СППР требуется полноценное сохранение сведений о поступающих в обработку ордерах клиентов, направляемых в банк в ходе сеансов ДБО, в течение каждого сеанса такого обслуживания каждого клиента с момента начала сеанса и до момента завершения (прерывания) сеанса ДБО. Одновременно необходимо отметить, что банкам целесообразно организовывать комплексный анализ самих ордеров клиентов, в котором используются и данные СИ, поскольку в случае использования многоканальных СЭБ, в особенности с децентрализованной (или распределенной) архитектурой, возможны ситуации пропуска противоправных (или сомнительных) действий клиентов через разные каналы доступа к информационно-процессинговым ресурсам банка, через разные филиалы, дополнительные офисы и т. п.
В завершение настоящего раздела необходимо отметить, что в условиях полностью компьютеризованной современной банковской деятельности и в том числе ДБО руководству высокотехнологичных банков целесообразно было бы формировать в их структуре специальные подразделения (лучше — действующие на постоянной основе), в которые входили бы специалисты с подготовкой по ИТ, ОИБ, экономической безопасности, ФМ, ВК, УБР, правовому обеспечению и, возможно, с другими видами квалификации. Тремя основными задачами таких подразделений можно было бы считать:
1) организацию противодействия возможной ППД в киберпространстве банковской деятельности (включая ЛВС банка);
2) обеспечение проведения расследований инцидентов, связанных с такой деятельностью (отмывание денег, мошенничества, хищение информации);
3) взаимодействие с правоохранительными органами в ходе и по результатам таких расследований (если речь идет об уголовном преследовании).
В самом банке целесообразно организовать специальное взаимодействие между структурными подразделениями, которые имеют прямое отношение к рассмотренной проблематике, что может быть сделано по аналогии с рассмотренным выше взаимодействием в части обеспечения и реализации ВК (рис. 3.6).
Рис. 3.6. Взаимодействие структурных подразделений кредитной организации в рамках противодействия ППД
Приведенная на рисунке 3.6 схема не является исчерпывающей и может быть расширена в зависимости от структуры конкретной кредитной организации, видов и масштабов ее деятельности, типов/вариантов ДБО и СЭБ и т. д. Требуемые дополнительные функции указанных подразделений, равно как и детали информационного взаимодействия между ними, вполне очевидны из вышеизложенного и поэтому здесь не комментируются. Описанное взаимодействие целесообразно отразить в соответствующих распорядительных документах и порядках кредитной организации, а также закрепить в положениях об этих подразделениях и в должностных инструкциях их сотрудников.
Обоснованность, полноту, качество реализации и контролируемость соответствующих функций с течением времени целесообразно проверять, в том числе исходя из оценивания их адекватности тем новым способам и условиям банковской деятельности, которые привносят вместе с собой новые технологии и системы ДБО. В документах БКБН вообще рекомендуется регулярно (ежегодно) оценивать реализацию основных внутрибанковских процессов (управления, контроля, документарного обеспечения, применения ИТ, ОИБ, ВК,ФМ, УБР, взаимодействия с провайдерами и др.) с точки зрения их адекватности способам и условиям банковской деятельности и при необходимости осуществлять их адаптацию, если становятся очевидными какие-либо недостатки в их содержании и организации. Это целесообразно делать с учетом развития банковского бизнеса, внедрения новых сервисов и реализующих их автоматизированных систем и систем электронного банкинга, а также расширяющегося ИКБД. Тем самым может быть сформирована полноценная основа, как информационная, так и операционная, для осуществления эффективной претензионной работы с клиентами ДБО, ориентированной прежде всего на защиту их законных интересов.
Наконец, необходимо помнить о том, что любая методология анализа банковских рисков с течением времени устаревает. Точно так же устаревают и те или иные приемы противодействия ППД, мало того, приходится разрабатывать новые подходы к такому противодействию с учетом постоянно развивающихся технологий и появления новых вариантов предоставления банковских сервисов, особенно в рамках мобильного банкинга, который, не исключено, постепенно вытеснит развитые в настоящее время способы ДБО. В постоянном обновлении банковских технологий, целенаправленном повышении надежности реализующих их автоматизированных систем и совершенствовании противодействия ППД заключается залог надежности современной и перспективной банковской деятельности.