Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
– транзакционные веб-сайты и связанные с ними разнообразные комплексные бизнес-решения обычно интегрируются, насколько это возможно, с уже существующими компьютерными системами с целью достижения более «прямой» обработки электронных транзакций. Такая непосредственная автоматизированная обработка снижает вероятность человеческих ошибок и мошенничества, типичных для процессов, осуществляемых вручную, но также увеличивает зависимость от того, насколько правильны конструкция систем и их архитектура, равно как и от взаимного функционирования систем и операционной масштабируемости;
– ЭБ увеличивает зависимость банков от информационных технологий, тем самым повышая техническую сложность многих функциональных задач и обеспечения безопасности, а также усиливая тенденцию к появлению соглашений с третьими сторонами о совместной работе, сотрудничестве и предоставлении услуг, многие из которых не подпадают под какое бы то ни было регулирование. Такое развитие ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации: интернет-провайдеры, телекоммуникационные компании и другие технологические фирмы;
– интернет по своей сути имеет повсеместный и глобальный характер. Это открытая сеть связи, к которой можно получить доступ из любого места в мире, оставаясь неизвестным, с передачей сообщений через неидентифицируемые узлы и с использованием быстро совершенствуемых беспроводных устройств. Вследствие этого существенно повышается значимость средств контроля безопасности и механизмов аутентификации пользователей.
5.2. Основные принципы управления рисками электронного банкинга
В сегодняшнем понимании риск – это в первую очередь бездействие.
Роберт Кийосаки, американский предприниматель, инвесторНа основании проведенной EBG работы БКБН пришел к выводу, что традиционные принципы управления банковскими рисками применимы к деятельности в области ЭБ. Комплексные характеристики каналов доведения услуг через интернет вынуждают приспосабливать эти принципы ко многим банковским онлайновым операциям и сопутствующим проблемам управления рисками.
БКБН полагает, что банкам потребуется разработка процессов управления рисками, соответствующих их индивидуальному профилю риска, функциональной структуре и культуре корпоративного управления, наряду с учетом специфических требований и политик по управлению рисками, применяемых органами банковского надзора в рамках одной или нескольких юрисдикций.
Принципы управления рисками при осуществлении ЭБ делятся на три широкие и часто пересекающиеся тематические категории (рис. 38). Однако эти принципы не ранжируются по степени их приоритетности или значимости. Все зависит от приоритетов, которые устанавливаются в конкретной кредитной организации.
А. Наблюдение со стороны совета директоров и высшего руководства банка[91] (Принципы 1–3):
Рис. 38. Основные принципы управления рисками ЭБ
1. Эффективное наблюдение со стороны руководства за деятельностью в рамках ЭБ.
2. Организация полноценного процесса контроля безопасности.
3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.
B. Средства обеспечения безопасности (Принципы 4-10):
4. Аутентификация клиентов в операциях ЭБ.
5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках ЭБ.
6. Должные меры по обеспечению разделения обязанностей.
7. Необходимые средства авторизации в СЭБ, базах данных и прикладных программах.
8. Целостность данных в транзакциях ЭБ, записях и информации.
9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.
10. Конфиденциальность важнейшей банковской информации.
C. Управление правовым и репутационным рисками (Принципы 11–14):
11. Правильное раскрытие информации для обслуживания в рамках ЭБ.
12. Конфиденциальность клиентской информации.
13. Планирование производительности, непрерывности операций, планирование на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках ЭБ.
14. Планирование реагирования на случайные события.
В последующих разделах каждый из перечисленных принципов обсуждается более подробно в той мере, в какой он относится к ЭБ и базовым принципам управления рисками. Там, где уместно, предлагаются дополнительные примеры правильной организации работы, которые могут рассматриваться как эффективные способы управления этими рисками.
5.2.1. Наблюдение со стороны совета директоров
и высшего руководства банка (Принципы 1–3)
Совет директоров (СД) и высшее руководство банка (ВРБ) отвечают за разработку деловой стратегии кредитной организации. Должны приниматься четкие стратегические решения относительно того, хочет ли СД, чтобы банк предоставлял обслуживание транзакций в рамках ЭБ, до начала предложения таких услуг. В частности, СД следует убедиться в том, что планы внедрения ЭБ точно соответствуют корпоративным стратегическим целям кредитной организации. Одновременно должны быть организованы процессы смягчения и мониторинга рисков. Также необходимо убедиться, что осуществляется текущий контроль для оценивания результатов деятельности в рамках ЭБ в сопоставлении с деловыми планами и целями кредитной организации.
Кроме этого, СД и ВРБ следует удостовериться, что факторы риска, относящиеся к функционированию и безопасности в части деловых стратегий учреждения в рамках ЭБ, рассматриваются и учитываются должным образом. Обеспечение финансовых услуг через интернет может существенно изменить и (или) даже увеличить традиционные банковские риски (например, стратегический, репутационный, операционный, кредитный риски и риск ликвидности). Поэтому следует принимать меры, чтобы существующие в банке процессы управления рисками, контроля безопасности, наблюдения и обеспечения выполнения обязательств в отношениях с третьими сторонами должным образом оценивались и модифицировались в интересах приспособления к видам обслуживания в рамках ЭБ.
Принцип 1: СД и ВРБ следует установить эффективное управленческое наблюдение над рисками, связанными с деятельностью в рамках ЭБ, включая организацию специального учета, политики и средств контроля для управления этими рисками.
Бдительное управленческое наблюдение принципиально важно для обеспечения эффективного внутреннего контроля деятельности в рамках ЭБ. В дополнение к специфическим характеристикам канала предоставления услуг через интернет к значительным проблемам с традиционными процессами управления рисками могут привести следующие аспекты ЭБ:
– основные компоненты канала предоставления услуг (собственно интернет и связанные с ним технологии) не поддаются непосредственному контролю со стороны банка;
– интернет открывает неограниченные возможности оказания услуг через множественные национальные юрисдикции, включая те страны, в которых учреждение физически не присутствует;
– вопросы, ассоциируемые с ЭБ и предполагающие использование концепций и описаний в терминах высоких технологий, во многих случаях оказываются незнакомыми для СД и ВРБ, имеющих традиционный опыт.
Ввиду уникальных характеристик ЭБ новые проекты в этой области, которые могут оказывать значительное влияние на профиль риска конкретного банка и его стратегию, должны изучаться СД и ВРБ и подвергаться стратегическому и затратно-доходному анализу. Без адекватного непредвзятого изучения и текущей деятельности по планированию процедур оценивания банки рискуют недооценить затраты и (или) переоценить доходы от своих инициатив в области ЭБ.
Помимо этого, СД и ВРБ следует удостовериться, что их банк не включается в новый бизнес в сфере ЭБ и не внедряет новые технологии без наличия компетенций, необходимых для обеспечения наблюдения за управлением рисками. Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых банком технологий ЭБ и соответствующих приложений.
Адекватная квалификация принципиально важна независимо от того, находятся ли СЭБ и соответствующие виды обслуживания под собственным управлением банка или эти функции переданы третьим сторонам. Процессы наблюдения со стороны ВРБ следует вести на динамической основе, чтобы осуществлять эффективное вмешательство и коррекцию любых материальных проблем с СЭБ или недостатков в обеспечении безопасности. Повышенный репутационный риск, связанный с использованием технологии ЭБ, приводит к