Читать книгу Дистанционное банковское обслуживание - Каллум Хопкинс, Коллектив авторов, Сборник рецептов - Страница 6

Дистанционное банковское обслуживание через Интернет, или так называемый интернет-банкинг (ИБ), появившееся в российском банковском секторе более десяти лет назад, стало сегодня одним из наиболее интересных и динамичных современных направлений развития банковских технологий. За последние годы ИБ превратился в средство массового удаленного предоставления банковских услуг российскими кредитными организациями. Вместе с этим в несколько раз выросло как число организаций – разработчиков специализированного программно-информационного обеспечения (ПИО) ДБО, так и количество внедренных ими такого рода проектов. При этом целый ряд кредитных организаций реализовал собственные проекты, в том числе систем ИБ.

Направление интернет-банкинга появилось и начало развиваться с 1995 г. в США. Его возникновение было обусловлено преимущественно действующими в этой стране ограничениями на открытие коммерческими банками своих филиалов в разных штатах. Первым коммерческим банком, который начал обслуживать своих клиентов через Сеть, был Security First Network Bank. Эта идея довольно быстро нашла отклик в Европе, а затем банковский интернет-сервис появился и в Российской Федерации. Это произошло в 1997 г. благодаря Гута-банку, хотя внедренная этой кредитной организацией система интернет-трейдинга еще не представляла собой полнофункциональное ДБО. Следующим лидером среди коммерческих банков в области клиентского интернет-обслуживания с 1998 г. стал Автобанк, так что указанный год можно считать отправным для ИБ. Дальнейший лавинообразный рост числа систем ИБ и пользующейся этой технологией клиентуры кредитных организаций привел к введению Банком России специальной формы банковской отчетности 0409070 и дополнению данными о ДБО формы 0409251. По данным первой из этих форм, количество программно-информационных комплексов ИБ росло быстро, и очень скоро рынок «насытился»: общее число таких комплексов достигло 100[8] и начиная с 2006 г. незначительно колеблется около этого значения (1–2 системы теряют популярность, вместо них появляется столько же или чуть больше новых), что отражено на рис. 2.1 (два значения слева получены, соответственно, из публикаций средств массовой информации и по данным сплошного анкетирования, проводившегося Банком России в 2001 г.):

Рис. 2.1. Динамика количества программных комплексов интернет-банкинга в российских кредитных организациях

В настоящее время число кредитных организаций, внедривших и внедряющих у себя этот вид обслуживания, перевалило за 950 (с учетом тех, которые не используют для предоставления услуг ИБ специализированные web-сайты), их число тоже не постоянно, поскольку время от времени некоторые из организаций теряют лицензию на осуществление банковских операций или проходят процедуры слияния с другими кредитными организациями, другие же вводят эту технологию в конкурентной борьбе и т. п. Количество клиентов ИБ для разных кредитных организаций варьируется очень широко: от нескольких сотен до 200 тыс., но в целом эта разновидность ДБО стала совершенно типичной для российского банковского сектора. Что касается общемировой практики, то, по оценкам зарубежных экспертов, к 2020 г. в Западной Европе 60 % клиентов кредитных организаций будут пользоваться технологией ИБ (сейчас это значение характерно в среднем только для наиболее «продвинутых» коммерческих банков), а в США этот уровень уже достигнут.

Российские кредитные организации достаточно долго экспериментировали с разными формами оперативного удаленного банковского обслуживания, которые объединялись понятием «on-line banking». Как эксперименты, так и стационарное обслуживание осуществлялись преимущественно в «закрытых системах», в которых клиенты коммерческих банков получали доступ к банковским функциям при помощи так называемых «толстых клиентов» (специализированных программно-информационных модулей, устанавливаемых на персональные компьютеры клиентов), телефонного набора или разновидностей кабельных соединений. Любые системы такого рода неизбежно и существенно «ограничивают» реальную и потенциальную клиентскую базу кредитных организаций. Для доступа к нужной кредитной организации клиентам, находящимся вне региона ее дислокации, приходится либо становиться абонентами конкретной кабельной системы, либо оплачивать телефонные счета за дистанционные соединения; кроме того, несмотря на применение современных технологий банковского обслуживания, к которым относится и ДБО, кредитные организации вынуждены при этом на самом деле проявлять индивидуальный подход к каждому клиенту.

В настоящее время в области удаленного автоматизированного или компьютеризованного банковского обслуживания можно наблюдать следующие четыре тенденции:

• агрегация требований клиентуры кредитных организаций, их самих и корпоративных структур;

• сочетание возможностей корпоративного и розничного банковского обслуживания;

• создание корпоративных систем и модульная технология Plug-and-Play;

• комбинация в системах ДБО возможностей «толстого» и «тонкого» клиента.

Развиваясь в этих направлениях, кредитные организации рассчитывают расширить как состав и способы предоставления банковских услуг, так и клиентуру ДБО.

Основными факторами, действующими в условиях применения технологии ИБ и повышающими уровни банковских рисков и смещающими их профили для кредитных организаций, являются:

1) «виртуальный» характер дистанционных банковских операций;

2) общедоступность «открытых» телекоммуникационных систем;

3) чрезвычайно высокая скорость выполнения транзакций;

4) глобальные масштабы межсетевого операционного взаимодействия;

5) участие фирм-провайдеров в проведении операций;

6) возможность скрытой противоправной деятельности в Интернете.

Очевидно, что при изучении и анализе рисков, связанных с банковской деятельностью в современных технологически насыщенных условиях, необходимо учитывать все компоненты среды, через которые проходят банковские данные кредитной организации и информация ее клиентов. Каждый из этих компонентов в той или иной мере может оказаться фактором риска.

При общем развитии и распространении интернет-технологии как таковой клиенты кредитных организаций могут воспользоваться значительным числом банковских услуг – от получения выписок по счетам до совершения большинства расчетно-платежных, конверсионных и фондовых операций в любом месте мира, причем используя всего лишь ПИО самого «тонкого клиента», какой только возможен при ДБО, т. е. интернет-браузера. Чтобы получить доступ к компьютерной сети какой-либо кредитной организации, в настоящее время требуется только автоматизированное рабочее место (персональный компьютер), с которого можно выйти в Сеть. В итоге Интернет стал представлять собой такую обеспечивающую технологию, которая сделала банковские услуги и обслуживание доступными для огромного числа клиентов кредитных организаций и устранила барьеры, обусловленные географическим положением, фактором времени и правами собственности на телекоммуникационные системы.

При наличии такого расширенного рынка отечественные кредитные организации могут получить весьма широкие возможности распространения или модификации своих услуг и предложений, а также значительного сокращения затрат на обслуживание своей филиальной сети и административных расходов. Технологические затраты, правда, при этом возрастают, но считается, что они могут быстро окупиться: еще на начальных этапах исследований применения технологии ИБ предполагалось, что эти затраты будут снижаться (менее 1 цента на транзакцию), и это подтвердилось. Сейчас некоторые кредитные организации предлагают своим VIP-клиентам услуги ИБ бесплатно (скорее, правда, условно-бесплатно).

В то же время выяснилось, что технология ИБ изначально придает отношениям между банком и клиентом своеобразную анонимность, поскольку фактически клиент работает с банком виртуально. К сожалению, следствием этого явились факты противоправного использования технологии ИБ для легализации доходов, полученных незаконным путем, совершения других экономических преступлений, а также для финансирования деятельности террористических организаций.

За последние 2–3 года в материалах зарубежных органов банковского надзора и в средствах массовой информации появился целый ряд публикаций по этой тематике. Для отмывания денег, как выясняется, по всему цивилизованному миру фактически используются технологии электронного банкинга с учетом предоставляемых ими анонимных возможностей. В последние 5—б лет в зарубежных публикациях, относящихся к сфере финансового контроля, отмечается, что неизбежное отставание законодательной базы от практики, регулирующей новые интернет-технологии и финансово-технические, если можно так выразиться, инструменты, создает идеальные условия для их незаконного использования в целях отмывания денег. Этому способствует то обстоятельство, что многие электронные платежные инструменты отличаются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с другими платежными системами, обеспечиваемой всемирными телекоммуникационными системами глобальностью и автоматизированностью, применением так называемых «безлюдных» технологий.

Перечисленные особенности снижают эффективность традиционных методов борьбы с отмыванием денег в виде требования предоставления банку определенной информации, отслеживания и анализа содержания операций, а также установления личности клиента и, на чем принято делать акцент в последнее время, выгодоприобретателя. Технология ИБ оказалась привлекательной для многих мошенников, так что кредитные организации, не обеспечивающие адекватного контроля за использованием систем ИБ, рискуют оказаться вовлеченными незаметно для самих себя в противоправную деятельность. Надо отметить, что во всем мире в борьбе с незаконным использованием автоматизированных систем предоставления финансовых услуг делаются попытки адаптации существующих методов и процедур к электронной торговле и платежным инструментам, например устанавливаются требования увеличения объема необходимых данных (особенно при карточных операциях), обеспечения доступа к источникам клиентской информации, комплексного анализа ДБО через разные телекоммуникационные сети, а также совершенствуются методы проведения расследований, «интернационализируется» банковский контроль и т. д.

Очевидно, что проблемы противоправного использования кредитных организаций, например, в качестве «механизмов» отмывания денег не новы, и технологии ДБО лишь обеспечили новый «транспорт» для этого. Однако руководству кредитных организаций целесообразно адекватно учитывать новые факторы риска такого рода при внедрении и развитии ИБ.

Проведенные исследования свидетельствуют, что можно определить три основные разновидности или варианта ИБ, которые реально применяются в настоящее время, различаются масштабом и содержанием банковской деятельности с использованием Интернета, а также составом компонентов типичных банковских рисков, которые сопутствуют применению кредитными организациями технологии ИБ. В основном этот состав определяется наличием (или отсутствием) непосредственных, физических связей между используемыми web-ресурсами и банковской автоматизированной системой (БАС) кредитной организации.

В число наиболее распространенных вариантов ИБ входят следующие.

1. Информационный вариант – это базовый уровень ИБ. В обобщенной терминологии электронных банковских систем ему соответствуют так называемые системы 1-го уровня. Как правило, кредитная организация при этом дает на обособленном сервере маркетинговую информацию относительно банковских услуг и обслуживания, свои реквизиты, тарифы и пр. Соответствующий совокупный риск считается относительно низким, поскольку БАС кредитной организации обычно не имеет непосредственной связи с таким сервером, и внутренняя вычислительная сеть этой организации недоступна для проникновения извне. В то же время соответствующий сервер или web-сайт может оказаться уязвимым для внешних воздействий прежде всего в части нарушения его функционирования, намеренного искажения, уничтожения представляемой на нем информации или размещения антирекламы, информации, негативно влияющей на имидж кредитной организации (сомнительных баннеров или ссылок на порносайты и т. п.). Поэтому руководству кредитной организации целесообразно предусмотреть внедрение эффективных средств контроля для предотвращения таких несанкционированных воздействий.

2. Коммуникационный вариант описывается как использование «банковской электронной системы» 2-го уровня, что позволяет реализовать некоторые виды информационного взаимодействия между БАС кредитной организации и ее клиентами. В зависимости от состава сетевых связей такое взаимодействие может быть ограничено электронной почтой, запросами форм документов и справок о счетах, заявками на ссуды, обновлением стандартных файлов (изменение реквизитов клиента и т. д.). Сопутствующий риск при такой конфигурации выше, чем в первом случае, уже только из-за возможного наличия непосредственных физических связей между web-ресурсами и БАС кредитной организации, равно как и увеличения числа технических средств, вовлекаемых в процесс предоставления банковских услуг. Поэтому кредитной организации требуются адекватные средства контроля для предотвращения и мониторинга любых попыток неавторизованного доступа к своим внутренним сетям и компьютерным системам и вирусного контроля, а также оповещения руководства о таких попытках и принятия парирующих мер.

3. Операционный (или транзакционный) вариант реализуется системами 3-го уровня, позволяющими клиентам опосредованно или непосредственно (при автоматизированной работе с бэк-офисом) выполнять транзакции. Поскольку при этом обычно существуют физические связи систем ИБ с внутренней вычислительной сетью кредитной организации или обслуживающего ее провайдера, такой архитектуре сопутствует наивысший риск (наиболее сложный состав источников риска), и поэтому должны существовать адекватные средства контроля, учитывающие все угрозы, возникающие в отношении этой организации и интересов ее клиентуры. Одновременно требуются сложные средства обеспечения защиты и безопасности информации, выявления и контроля источников рисков, оповещения руководства о подозрительных действиях и неблагоприятных ситуациях, а также развитые планы действий на случай чрезвычайных обстоятельств.

Потенциальные угрозы для кредитных организаций и их клиентов существуют во всех перечисленных вариантах, почему и не следует при анализе факторов и источников банковских рисков ограничиваться только операционными составляющими ИБ (что типично). Чем сложнее состав технических средств, с помощью которых осуществляется обслуживание клиентов, и разнообразнее используемые каналы прохождения информации (включая системы провайдеров), тем больше источников риска, связанных с различными информационными системами, приходится учитывать при выявлении, оценивании, анализе банковских рисков и организации управления ими.

Это не означает, что банковское обслуживание через Интернет заведомо связано с повышенными рисками для кредитных организаций и их клиентов – просто необходимо четко представлять себе тот информационный контур банковской деятельности (ИКБД), который формируется каждой системой ИБ, возможные источники рисков, связанные с ним, и подход к управлению типичными банковскими рисками, требуемый в каждом конкретном случае для обеспечения полного контроля над смещением профиля риска кредитной организации, применяющей такую технологию электронного банкинга. В зависимости от конкретного варианта реализации источники риска могут варьироваться; базовыми факторами при этом являются организация:

• внутрибанковского процесса обеспечения ДБО в части рабочих процедур и распорядительных документов;

• отношений с клиентами кредитной организации, пользующимися системами ИБ, на основе договоров на ДБО;

• взаимодействия с клиентами ДБО через «киберпространство» (виртуальное пространство Сети и БАС);

• обеспечения информационной безопасности в отношении отдельных систем ИБ или в их комплексе;

• внутреннего контроля над применением технологии ИБ, включая осуществление финансового мониторинга;

• отношений с провайдерами, от которых зависит надежность ДБО через Интернет;

• выявления, оценки, мониторинга источников специфических банковских рисков, специфических для ИБ, и управления ими[9].

Упрощенная структура ИКБД ИБ показана на рис. 2.2.

Рис. 2.2. Обобщенное представление структуры информационного контура банковской деятельности (ИКБД)

Одним из важных аспектов ИБ является организация web-сайтов, которые нередко используются как своего рода «виртуальные ворота» к информационно-процессинговым ресурсам кредитной организации. С точки зрения общепринятых требований органов банковского надзора (как за рубежом, так и в России) любые информационные материалы, публикуемые кредитными организациями, в том числе в Сети, должны способствовать формированию у реальных и потенциальных клиентов этих организаций полного и точного представления о характере, показателях и специфике деятельности этих организаций[10]. Фактически при переходе к ИБ для создания, ведения и сопровождения используемых web-сайтов в кредитной организации целесообразно сформировать и в дальнейшем, по мере развития ДБО адаптировать специальный внутрибанковский процесс[11]. Это следует делать во избежание появления дополнительных источников (компонентов) правового и репутационного рисков, связанных с возможными неточностями маркетинговой информации и несоответствием требованиям законодательства, касающимся защиты прав потребителя.

Последнее непосредственно относится к организации web-сайтов и web-порталов, используемых в банковской деятельности. Оформление и распределение информации на web-страницах, фреймах, баннерах и посредством гиперссылок должно быть четким и однозначным, не оставляющим сомнений в источниках и условиях предоставления услуг.

Не менее важна правильная организация так называемых «демилитаризованных зон», изолирующих БАС кредитной организации и ее внутреннюю сетевую структуру (локальную или зональную вычислительную сеть) от внешней сетевой среды, равно как и их административно-технического обеспечения. Для этого специалистам кредитной организации необходимо разрабатывать модели угроз, которые могут быть связаны с технологией ИБ, и сценарии их возможного развития. Это в свою очередь требует анализа архитектуры каналов информационного взаимодействия, которые в общем случае начинаются с сетевых экранов (брандмауэров), web-серверов и прокси-серверов. Речь идет как о сохранении конфиденциальности банковской и клиентской информации, так и о защите от хакерских, крэкерских, фишерских, фармерских и т. п. атак[12], а также от проникновения вирусных программ, которых сегодня развелось великое множество. Поэтому грамотно составленная и реализованная политика информационной безопасности, включающая антивирусное направление, в кредитных организациях (с доведением соответствующих требований и до клиентов, обслуживаемых дистанционно) стала необходимым условием обеспечения надежности современной банковской деятельности.

Наконец, если говорить о наиболее важных технологических и технических аспектах надежности банковской деятельности в целом, следует помнить, что современная кредитная организация полностью зависит от надежности своих распределенных компьютерных систем и от надежности аналогичных систем своих провайдеров. Очевидно, что прерывание ДБО «по техническим причинам», нарушение функциональности (или искажение контента) web-сайта, с которым взаимодействует клиент, могут вызвать негативную общественную реакцию в отношении ИБ и ДБО. Поскольку абсолютно надежных компьютерных и телекоммуникационных систем не существует, специалистам кредитных организаций (включая службы информатизации, безопасности, внутреннего контроля и др.) целесообразно организовать, реализовать и при необходимости адаптировать следующие внутрибанковские процедуры:

• оценку и расчет характеристик надежности используемого аппаратно-программного обеспечения (АПО) ИБ, включая сегменты ИКБД, находящиеся вне самой организации (каналы связи, маршруты взаимодействия с клиентами, каналы ДБО и пр.);

• резервирование АП О и массивов банковских и клиентских данных (в части как «горячего», так и «холодного» резервов[13]) с учетом необходимости перехода на резервные каналы взаимодействия с клиентами и восстановления («отката») сеансов связи в рамках ИБ;

• тестирование функциональности, надежности, защищенности и устойчивости АП О ИБ как кредитной организации, так и ее провайдеров, включая планы действий при чрезвычайных обстоятельствах, возможную компрометацию АПО, а также хранение и восстановление сеансовой информации.

Весь комплекс надежности целесообразно оценивать в направлениях выполнения кредитной организацией своих обязательств перед клиентами, контролирующими и правоохранительными органами, начиная с документарного обеспечения банковской деятельности по ДБО в рамках ИБ, положений о подразделениях кредитной организации, имеющих какое-либо отношение к его обеспечению[14], и заканчивая должностными инструкциями ответственных менеджеров и исполнителей, непосредственно управляющих применением технологии ИБ и контролирующих использование соответствующих автоматизированных систем.

Важным аспектом является учет взаимной анонимности кредитной организации и ее клиента, возникающей при ДБО через Интернет, поскольку для идентификации и аутентификации сторон чаще всего используются средства аналогов собственноручной подписи. Недостатки в организационно-техническом и программноалгоритмическом обеспечении применения таких средств могут негативно сказаться на формировании доказательной базы и обеспечении юридической силы «электронных документов», гарантий невозможности отказа от операции (с обеих сторон), предотвращении возможной противоправной деятельности и управлении рисками банковской деятельности, принимаемыми на себя как кредитной организацией, предлагающей услуги ИБ, так и ее клиентами. Руководству и специалистам кредитной организации следует учитывать накопленный за годы применения технологии ИБ в банковском секторе негативный опыт мошенничеств и хищений с помощью систем ДБО, осложняемый недостатками в организации и содержании претензионной работы с клиентами ИБ.

Специфика сетевого взаимодействия в условиях открытых информационных систем (к которым относится и интернет-взаимодействие) предполагает учет дополнительных факторов риска, связанных с широко распространенным хакерством. Под такого рода учетом понимается организация и адаптация ряда специализированных внутрибанковских процедур, относящихся к основным внутрибанковским процессам и подразделениям, ответственным за их реализацию, а именно:

• выявление недостатков в организации и содержании внутрибанковских процессов (как следствие прежде всего неполной их адаптации к новым банковским информационным технологиям);

• выявление недостатков во внутрибанковских документах (обусловленных отставанием соответствующей регламентации от развития ИБ) по всей иерархической структуре кредитной организации;

• выявление и принятие мер по парированию новых угроз в ИКБД ИБ (в том числе за счет отслеживания «успехов» хакерского сообщества и приемов противоправной деятельности);

• выявление и оперативная замена АП О и ПИО, «пробитых» хакерами (а также другими «деклассированными» элементами, действующими в киберпространстве Интернета);

• выявление недостатков в работе провайдеров, входящих в ИКБД ИБ (в части несоответствия требуемому уровню обслуживания и в плане коррекции недостатков в организации контрактных отношений[15]).

Процедурами управления и тщательного контроля в кредитной организации, предоставляющей услуги ИБ, желательно охватывать[16]:

• дизайн, контент и хостинг web-сайтов;

• конфигурацию сетевых экранов;

• системы предотвращения и обнаружения вторжений[17];

• сетевое администрирование;

• управление информационной безопасностью;

• сервер ИБ;

• прикладное программное обеспечение (расчетов, платежей и пр.);

• внутренние серверы;

• АПО бэк-офиса;

• служебное ПИО;

• автоматизированные системы поддержки принятия решений[18].

Все эти компоненты фактически входят в единый ИКБД, обеспечивающий ДБО в рамках ИБ (несмотря на то что часть из них входит также и в другие информационные контуры в кредитной организации, связанные между собой разнообразными информационными сечениями), и каждый из них следует охватить внутрибанковскими процедурами управления и контроля. Помимо этого все «чувствительные» к возможному переходу в нештатные режимы функционирования компоненты (что может быть обусловлено отказами или сбоями АПО и ПИО кредитной организации, вирусными атаками, несанкционированным доступом, ошибками персонала и клиентов и т. п.), должны быть упомянуты в таких внутрибанковских документах, как «Положение об управлении рисками банковской деятельности», «Положение об информационной безопасности» и «Положение о внутреннем контроле» (о системе или службе внутреннего контроля).

Несмотря на кажущуюся сложность внедрения и применения технологии ИБ, практика свидетельствует, что при правильной организации внутрибанковских процессов и составляющих их процедур удается исключить влияние подавляющего большинства факторов и источников банковских рисков, сопутствующих применению технологии ИБ как таковой. Для российских условий типичными банковскими рисками, которые характеризуются наличием компонентов технологического и технического характера, являются следующие пять рисков: стратегический, операционный, правовой, репутационный и ликвидности (неплатежеспособности).

За рубежом, где в составе банковской деятельности могут допускаться варианты взаимодействия с клиентами, отличные от указанных условий (например, дистанционное открытие банковских счетов с установленным интервалом идентификации, ряд операций кредитования и др.), учету, как правило, подлежат все типичные банковские риски[19]. В то же время очевидно, что выгоды от применения технологии ИБ намного выше, чем затраты как на первичное внедрение соответствующего АП О и адаптацию внутрибанковских процессов, так и на хеджирование сопутствующих компонентов банковских рисков (и их возможную последующую компенсацию в случае реализации). Наилучшим свидетельством наличия этих достоинств является широкое распространение технологии ИБ в российском банковском секторе.