Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия Страница 21

Поскольку в современном мире, в том числе в банковской сфере, все шире применяются подходы, связанные с аутсорсингом и распределенной обработкой данных, важнейшей задачей является обеспечение гарантий прозрачности ДБО как для высокотехнологичного банка, так и для его клиентов, ориентированных на внеофисное обслуживание (особенно в случае использования информационных технологий и автоматизированных систем, прежде всего СЭБ, предоставляемых провайдерами). В тех случаях, когда заведомо существует неопределенность в процедурах формирования, приема/передачи, хранения данных (в том числе в силу ограничений на доступ к технологиям, устанавливаемых провайдерами), от непрозрачных схем ИКБД предпочтительнее отказываться. В российских условиях принятая во многих зарубежных странах практика обязательного знакомства кредитных организаций с технологиями и автоматизированными системами, которые используются ими на условиях аутсорсинга, пока не закреплена. Это, в свою очередь, приводит к тому, что в случаях хищения конфиденциальных клиентских данных и (или) финансовых средств, равно как и сетевых или хакерских атак на банки и их клиентов возникает неопределенность ответственности, которую практически невозможно разрешить. Несовершенство российского финансового и, в частности, банковского законодательства только способствует возникновению подобных ситуаций, а значит, поиски выхода из них остаются прерогативой самих кредитных организаций, предлагающих ДБО.

Одним из дополнительных, но весьма существенных факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых российскими банками, является отсутствие достаточного внимания к содержанию взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом финансовая организация должна[80] иметь полное представление о таких характеристиках своих провайдеров:

— лицензионные данные;

— история, опыт и отзывы о деятельности;

— состав ИТ и АПО;

— организация ОИБ;

— квалификация ключевого персонала;

— средства обеспечения непрерывности функционирования;

— содержание планов на случай чрезвычайных обстоятельств;

— организация ВК;

— финансовое состояние;

— наличие и содержание субконтрактов на аутсорсинг[81];

— результаты аудиторских проверок.

Данный перечень соответствует минимальным требованиям такого рода, но относится ко всем видам технологического аутсорсинга.

Тем самым обеспечивается прозрачность ИКБД для банка и, во многом, технологическая надежность ДБО. Очевидно, что правильная организация работы с провайдерами прямо зависит от понимания значимости данной проблематики руководством банков. Можно, кстати, отметить, что на это обращается внимание многими зарубежными органами банковского надзора, к примеру, в одном из руководств Федеральной корпорации страхования депозитов США[82], посвященном оцениванию банковских рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Поскольку, как отмечалось ранее, компьютерные системы провайдеров могут использоваться в качестве промежуточных «усилителей» для атак на банки, их специалистам целесообразно время от времени проводить работу по изучению состояния дел с ОИБ у провайдеров (как минимум ежегодно, в соответствии с рекомендациями БКБН). Кроме того, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем непосредственно зависит и технологическая надежность обслуживаемого банка, одновременно знакомя их с обязательствами данного банка перед клиентами и теми гарантиями, которые сам банк им обязуется обеспечить[83]. Таким образом, желательно было бы убеждаться также и в том, что специалисты провайдера осведомлены о возможных инцидентах информационной безопасности, сетевых атаках и т. п.

и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.

В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4[84].

Рис. 3.4. Программа защиты активов и программа предотвращения мошенничества, а также их компоненты

По аналогии с «Политикой обеспечения информационной безопасности» в таком документе следует предусмотреть совокупность мероприятий, выполнение которых позволит существенно снизить количество угроз, реализуемых в целях любой ППД. Вследствие этого неизбежна тесная связь мероприятий по ОИБ, формирующих периметр безопасности кредитной организации в киберпространстве, с мерами противодействия возможному противоправному использованию технологий ДБО. Следует отметить, что в данном случае типичный акцент на работу службы безопасности банка не оправдан — процесс эффективного возможной ППД неизбежно является комплексным!

На изучение ситуации с противодействием компьютерным мошенничествам в отношении высокотехнологичных банков и их клиентов было ориентировано Письмо Банка России от 25.02.2013 № 27-Т «О запросе и получении от кредитных организаций информации», в котором содержалась анкета по тематике организации противодействия возможной противоправной деятельности с использованием информационных технологий, в том числе интернет-технологий и других технологий ДБО. К сожалению, указанная анкета имела достаточно общий характер и поэтому может служить преимущественно в качестве принципиального ориентира для банков на те подходы, которым целесообразно было бы следовать при организации противодействия возможной ППД. Как видно из содержания входящих в анкету вопросов, основное внимание целесообразно уделять как раз перечисленным выше внутрибанковским процессам: УИТ, ОИБ, ВК, ФМ, правового обеспечения и претензионной работе.

Темпы развития все новых ИТ и способов их противоправного использования приводят к серьезным проблемам для тех, кто обязан воспрепятствовать осуществлению компьютерных преступлений и проводить компьютерные же расследования, чтобы оставаться, так сказать, «на уровне» развития информационных технологий и тем более предупреждать разрушительную деятельность «плохих парней» (как говорят в США). Вследствие этого весьма желательно оценивать новые технологии с позиций возможного их применения для сокрытия ППД, обхода мероприятий по ОИБ, ВК, ФМ и маскировки действий или маскирования личности злоумышленников. В этом плане крайне важны грамотное распределение функциональных ролей в управленческой иерархии кредитной организации и контроль над ними.