Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.

Руководству кредитной организации целесообразно четко осознавать необходимость наличия перечисленных процедур и гарантий с учетом требования Банка России, правоохранительных органов и других органов финансового контроля. В последние годы вместе с заметным обострением ситуации с ФМ в широком смысле и ПОД/ ФТ в частности (из-за чего за последние три года отозвано более сотни лицензий на осуществление банковских операций) актуальность приобрел вопрос своевременного предоставления заинтересованным федеральным учреждениям сведений о деятельности клиентов, в том числе клиентов ДБО. Для «удовлетворения» такого спроса сами кредитные организации, по-видимому, должны быть заинтересованы в том, чтобы требуемую информацию можно было предоставить, не вызывая ненужных подозрений у представителей этих учреждений. Поэтому логично видеть связь этой проблематики с претензионной работой с клиентами и развитием ДБО.

Для этого руководству высокотехнологичной кредитной организации целесообразно оптимально (т. е. полно и адекватно) сформулировать задачу «правильного выстраивания» отношений с клиентами ДБО и контрагентами, которая нередко если и не выходит на первый план, то весьма близка к этому. В оптимальном варианте такое понимание находит свое отражение прежде всего в тех внутрибанковских документах, которые регламентируют:

— осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем;

— изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми;

— выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска;

— определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния;

— определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.

Приведенный перечень уточняется кредитной организацией исходя из установленных потенциальных уязвимостей, архитектуры ИКБД, доступных ресурсов, ожидаемых последствий (правовых, репутационных, стратегических) реализации компонентов банковских рисков и т. д.

В случаях недостаточной проработки вопросов, связанных с защитой прав клиента ДБО и обеспечением выполнения обязательств перед ним, что отражается (или должно было бы отражаться) прежде всего в договоре на ДБО, лишняя (и совершенно необязательная) «головная боль» кредитной организации гарантирована. Впрочем, практика изучения содержания договоров такого рода свидетельствует, что кредитные организации обычно оговаривают для себя отсутствие ответственности за прерывания обслуживания удаленных клиентов в связи с какими бы то ни было обстоятельствами. При этом нередко о каких-либо правовых последствиях, не выполнении взятых на себя обязательств, ущербе, нанесенном клиенту (в том числе в форме невыполнения им своих финансовых обязательств перед третьей стороной) и т. п. речи в текстах не идет. Впрочем, ситуация вроде бы облегчается тем, что, судя по содержанию договоров, клиентов ДБО эта проблематика совершенно не беспокоит, но, как выясняется впоследствии, лишь до нанесения им реального ущерба, когда случившееся может оказаться для них уже необратимым (в смысле финансовых потерь).

В оптимальном варианте организации ДБО сценарии такого рода отражаются (прямо или косвенно) прежде всего в содержании договоров на такое обслуживание, внутренних порядках кредитной организации (начиная с УБР) и должностных инструкциях ее специалистов, что и представляет собой первый результат ориентированного на выявление источников рисков процесса анализа в форме конкретной процедуры, которую можно продемонстрировать клиентам и впоследствии Банку России. Тщательность проработки текстов договоров, безусловно, послужит на пользу обеим сторонам, поскольку предусмотреть удастся если и не все, то большинство проблемных и (или) кризисных ситуаций (угроз), одновременно максимально обезопасив заинтересованные стороны. Далее в качестве второго результата можно предложить организацию входящей в этот же процесс процедуры оповещения клиентов о тех проблемах, с которыми им, может быть, придется встретиться в условиях ДБО. Например, могут быть даны разъяснения относительно уловок фишеров[176], способов хищений при использовании клиентами банкоматов, гарантий безопасности при использовании той или иной технологии электронного банкинга, как и наличие демоверсий соответствующего программного обеспечения на web-сайтах кредитных организаций и т. п. наверняка способствовали бы улучшению имиджа этих организаций и популярности ее среди реальных и потенциальных клиентов.

Любое обслуживаемое той или иной кредитной организацией лицо (неважно, юридическое или физическое) должно быть в первую очередь уверено, что при использовании им СЭБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент, к примеру, сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, так как открытые системы компьютерной связи подвержены атакам со стороны разного рода «компьютерных мошенников» (кстати, не обязательно хакеров). Например, в случае атак типа фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известной ему кредитной организацией, с последующей «выдачей» данных своей персональной идентификации или номера банковской карты, которые затем окажутся использованными мошенником для хищения финансовых средств или в каких-то других целях. По статистике на это попадается примерно 5 % клиентов[177] (кажущаяся незначительность этой цифры не должна вводить в заблуждение — все зависит от того, какой именно клиент «клюнет»), тем более в мире действуют тысячи хакерских и фишерских web-сайтов, распространяющих потенциально опасное программное обеспечение.

Одна из атак этого вида инициируется фишером, который может воспользоваться доступными справочниками (базами данных) web-адресов для рассылки сообщений, в которых под упомянутым благовидным предлогом клиенту предлагается подтвердить персональную идентификационную информацию с помощью гиперссылки, через которую якобы инициируется соответствующий диалоговый интерфейс с кредитной организацией. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент и которая ему знакома, представляет собой фальшивый элемент изображения, формируемый специальным JavaScript'oM и наложенный на изображение настоящей адресной строки, в которой фигурирует (но, понятно, не виден клиенту) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка «Переход» («Go»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Java. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но по статистике мало кто из атакуемых об этом задумывается.