Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Поэтому для сокрытия реальных IP-адресов используются специальные технологии и системы. Прежде всего это VPN (англ. Virtual Private Network — виртуальная частная сеть) – группа технологий, позволяющих обеспечить защищенное сетевое соединение (логическую сеть) поверх интернета. При использовании VPN устанавливается так называемое тоннелированное, зашифрованное, соединение между устройством пользователя и находящимся на удалении VPN-сервером, который в свою очередь устанавливает соединения с нужными пользователю сетевыми ресурсами. Последние, соответственно, сохраняют в своих лог-файлах только IP-адрес VPN-сервера. Для повышения безопасности соединения может быть задействована цепочка из нескольких VPN-серверов (обычно двух или трех, максимум четырех). Разумеется, серверы для таких целей, как правило, арендуются за границей и не сохраняют статистику соединений. Обычно VPN предоставляется как платная услуга многочисленными официальными и неофициальными поставщиками, но наиболее технически продвинутые преступные группы, равно как и отдельные участники преступной деятельности, создают собственные «приватные» VPN-серверы, часто на абузоустойчивых хостингах, и, конечно же, не допускают к ним посторонних лиц.
Другой способ сокрытия реальных IP-адресов – использование так называемых анонимных сетей, работающих поверх интернета и специально предназначенных для обеспечения анонимности соединений. В таких сетях используются шифрование трафика и распределенная структура сетевых узлов. Наиболее популярная анонимная сеть – TOR, всего же их существует несколько десятков. Недостатками данной технологии являются сниженная скорость передачи данных, увеличенное время отклика ресурсов и повышенные объемы сетевого трафика. Поэтому в преступной деятельности, связанной с эксплуатацией ботнетов и компьютерных вредоносных программ, анонимные сети используются реже, чем VPN. Однако к анонимным сетям иногда прибегают для выполнения каких-либо разовых действий, передачи сообщений, а в особо важных случаях могут использоваться комбинации разных технологий, например TOR-VPN, VPN-TOR и т. п.
Еще один любопытный способ сокрытия реальных IP-адресов и введения возможных преследователей в заблуждение – использование в качестве последнего звена в цепочке соединений (прокси) постороннего компьютера или сервера. Обычно таким прокси выступает случайный бот из собственного ботнета, если функционал вредоносной программы это позволяет. Также прокси могут быть куплены в розницу или оптом на любом специализированном сетевом ресурсе. Особенно неприятный для сотрудников правоохранительных органов вариант – использование прокси в моменты совершения хищений либо при осуществлении соединений с какими-либо значимыми ресурсами, информация о которых впоследствии может быть получена при проведении проверок и расследований. В подобных случаях в распоряжении сотрудников правоохранительных органов оказываются реальные IP-адреса посторонних лиц или организаций, которых необходимо проверять на причастность к совершенным хищениям.
Активное использование членами преступных групп сетевых систем связи и средств сокрытия доступа прямо влияет на рассматриваемую в следующей главе статистику выявленных преступлений. Иными словами, можно сказать, что непрозрачность действий преступников является одной из основных причин высокой латентности хищений денежных средств с использованием вредоносных программ.
5. Принципы управления рисками электронного банкинга[85]
Всякого рода беспринципная деятельность приводит к банкротству.
Иоганн Вольфганг Гёте, немецкий поэт, мыслитель и естествоиспытательВведение
Напрасно винит Нептуна тот, кто терпит кораблекрушение дважды.
Публий Сир, древнегреческий поэтБанковские организации предоставляют клиентам обслуживание в электронной форме и дистанционное осуществление операций уже достаточно долго, чтобы перевод средств в электронной форме, включая малые платежи и использование корпоративных систем управления наличностью, равно как и самостоятельное управление своими счетами при помощи общедоступных банкоматов и терминалов, стали глобальными явлениями. В то же время ставшее распространенным во всем мире восприятие интернета в качестве канала предоставления банковских услуг и обслуживания открывает банкам новые возможности и преимущества. В данной главе интернет определяется как все веб-технологии и открытые телекоммуникационные сети, начиная с прямых модемных соединений, общедоступной World Wide Web (всемирной паутины) и заканчивая частными виртуальными сетями связи.
Продолжающийся технологический прогресс, конкуренция между банковскими организациями и появление новых участников рынка обеспечили возможности для расширения набора электронных банковских услуг, а также видов обслуживания для розничных и корпоративных банковских клиентов. В состав услуг входят как традиционные действия типа предоставления доступа к финансовой информации, выдачи ссуд и открытия депозитных счетов, так и относительно новые варианты и виды обслуживания: осуществление электронных платежей, персональные «финансовые порталы», агрегация счетов[86], работа на финансовых рынках и с валютой.
Несмотря на значительные достоинства технологических инноваций, быстрое развитие ЭБ несет с собой не только преимущества, но и риски. Банковским учреждениям важно распознавать данные риски и управлять ими пруденциальным образом. Из-за быстрых изменений в информационных технологиях никакое описание таких рисков не может считаться исчерпывающим. Тем не менее, риски, с которыми сталкиваются вовлеченные в ЭБ банки, в общем случае не являются новыми и входят в состав категорий, определенных Базельским комитетом по банковскому надзору (БКБН) в Основных принципах эффективного банковского надзора в сентябре 1997 г.
В этом документе указаны девять категорий риска: кредитный, страновой, трансфертный, рыночный, процентный, операционный, правовой и репутационный риски, а также риск ликвидности[87]. Разработки такого рода обусловили предварительное изучение БКБН в 1998 г. значимости управления рисками ЭБ и использования электронных денег[88]. В этом первоначальном исследовании продемонстрирована очевидная необходимость дополнительной работы в области управления рисками, связанными с ЭБ. Данная задача была поручена рабочей группе, сформированной в ноябре 1999 г. и составленной из работников банковского надзора и сотрудников центральных банков, – Electronic Banking Group (EBG).
В октябре 2000 г. БКБН выпустил Отчет EBG по управлению рисками, возникающими вследствие разработок в области ЭБ, и надзору за ними[89].
В этом отчете рассмотрены основные риски, ассоциируемые с ЭБ, а именно стратегический, репутационный, операционный (включая риск безопасности и правовой риск)[90], кредитный, рыночный риски и риск ликвидности. EBG пришла к заключению, что деятельность в области ЭБ не приводит к возникновению рисков, которые не были идентифицированы в предыдущих работах БКБН. Однако ЭБ увеличивает и модифицирует некоторые из традиционных рисков, тем самым воздействуя на общий профиль риска банковского дела. В частности, из-за быстрого внедрения операций ЭБ и сопутствующего этому процессу усложнения технологий неизбежно повышаются стратегический, операционный и репутационный риски.
5.1. Проблемы, связанные с управлением рисками электронного банкинга
При прочих равных размер обычно играет решающую роль.
Но не всегда – ведь в противном случае победителя в тяжелом весе определяли бы на весах, а не на ринге.
Ли Чайлд.Без второго имениEBG отмечала, что фундаментальные характеристики ЭБ (и в более общем варианте – электронной коммерции) обусловливают ряд проблем, относящихся к управлению рисками:
– изменения, проявляющиеся как инновации в технологиях и обслуживании клиентов посредством ЭБ, реализуются с беспрецедентной скоростью. Исторически новые банковские технологии внедрялись в течение относительно продолжительных интервалов времени и только после тщательной проверки.
Сегодня же банки испытывают конкурентное давление, вынуждающее предлагать новые деловые механизмы в очень сжатые сроки: от разработки концепции до начала эксплуатации нередко проходит всего несколько месяцев.