Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Конфиденциальность определяется как уверенность в том, что важная информация в банке остается частной и не просматривается или не используется никем, кроме имеющих на это право (авторизацию).
Недопустимое использование или неавторизованное раскрытие данных подвергает банк как репутационному, так и правовому рискам. Внедрение технологии ЭБ приводит к появлению дополнительных проблем с безопасностью для банка, поскольку увеличивает возможности доступа к информации, передаваемой через открытую сеть связи или хранимой в базах данных, со стороны неавторизованных либо нежелательных лиц или же использования ее такими способами, которые не предполагались клиентом, предоставившим данную информацию.
Кроме того, активное использование услуг провайдеров может привести к раскрытию важнейших банковских данных посторонним лицам.
Для того чтобы предотвратить проблемы с сохранением конфиденциальности важнейшей банковской информации в части ЭБ, необходимо гарантировать, что:
– доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем;
– для всех конфиденциальных банковских данных в процессе передачи через открытые, частные или внутренние сети связи обеспечиваются безопасность и защита от несанкционированного просмотра или изменения;
– в случаях использования заказной обработки обеспечивается соответствие стандартам и способам контроля банка над использованием данных и их защитой;
– весь доступ к данным ограниченного использования фиксируется и приняты необходимые меры по защите журналов регистрации доступа к этим данным от внешнего воздействия.
5.2.3. Управление правовым и репутационным рисками (Принципы 11–14)
Специфические законы и правила защиты клиента и обеспечения конфиденциальности в разных юрисдикциях варьируются. В общем случае банки несут четко определенную ответственность за обеспечение соответствия уровням требований относительно раскрытия информации, защиты клиентских данных и доступности деловых операций, близким к тем уровням, которые они обеспечивали бы, если бы осуществляли деловые операции через традиционные каналы предоставления банковских услуг.
Принцип 11: банкам следует убедиться в том, что на их вебсайтах представлена правильная информация, позволяющая потенциальным клиентам сделать обоснованные заключения относительно самого банка и его организационно-правовой формы еще до проведения транзакций через СЭБ.
Для того чтобы минимизировать правовой и репутационный риски, связанные с деятельностью в области ЭБ, осуществляемой как локально, так и трансгранично, банки еще до того, как начать осуществлять транзакции в рамках ЭБ, должны удостовериться, что на их веб-сайтах представлена правильная информация о самом банке и его правовом статусе.
В число примеров информации такого рода, которую банк может представить на своем веб-сайте, входят:
– название банка и сведения о местоположении его головного офиса (а также региональных офисов, если они есть);
– указание на основной орган (или органы) надзора за банком, ответственный за осуществление надзора за головным офисом данного банка;
– способы контакта клиентов банка с его центром обслуживания клиентов, решающим проблемы с услугами, рассматривающим жалобы, подозрения в неправомочном использовании счетов и т. п.;
– способы контакта клиентов и общения с соответствующим наблюдательным органом или структурами, отвечающими за определение правил обслуживания потребителей;
– способы получения клиентами доступа к информации о возможных государственных компенсациях или страховом покрытии депозитов (или же указание на веб-сайт с такой информацией);
– другая информация, которая может быть полезна или затребована в конкретных юрисдикциях[117].
Принцип 12: банкам следует принимать должные меры, чтобы обеспечить следование требованиям гарантии конфиденциальности для клиентов, применимым в той юрисдикции, в пределах которой данный банк предоставляет услуги и виды обслуживания, относящиеся к ЭБ.
Соблюдение конфиденциальности клиентской информации представляет собой важнейшую обязанность банка. Ненадлежащее использование или неавторизованное раскрытие конфиденциальных клиентских данных подвергает банк как правовому, так и репутационному рискам.
С целью решения проблем, относящихся к сохранению конфиденциальности клиентской информации, банкам следует прилагать разумные усилия для обеспечения того, чтобы:
– в политике и стандартах банка, описывающих соблюдение конфиденциальности для клиента, были учтены и соблюдены требования всех законов и правил, касающихся конфиденциальности и применимых в пределах той юрисдикции, в которой предоставляются услуги и виды обслуживания, относящиеся к ЭБ;
– клиенты были поставлены в известность о политике соблюдения банком конфиденциальности и соответствующих вопросах соблюдения конфиденциальности, относящихся к использованию услуг и видов обслуживания в рамках ЭБ;
– клиенты могли отклонять («вычеркивать») разрешения на предоставление банком третьим сторонам в целях перекрестного маркетинга любой информации о персональных потребностях, интересах, финансовом положении или банковской деятельности клиента;
– клиентские данные не использовались для целей, выходящих за пределы разрешенного использования, или вне целей, которые были авторизованы клиентом[118];
– стандарты банка в отношении использования клиентских данных соблюдались при доступе третьих сторон к клиентским данным на основе отношений в рамках заказной обработки.
Ниже приведены дополнительные примеры надежной организации для обеспечения конфиденциальности клиентской информации в рамках ЭБ.
1. Банкам следует применять необходимые криптографические методы, специальные протоколы или другие средства контроля безопасности для обеспечения конфиденциальности клиентских данных в операциях ЭБ.
2. Банкам следует разработать необходимые процедуры и средства контроля для периодического оценивания своей инфраструктуры обеспечения безопасности клиентов и протоколов, применяемых в операциях ЭБ.
3. Банкам следует убедиться в том, что сторонние провайдеры услуг имеют разработанные политики соблюдения конфиденциальности клиентских данных.
4. Банкам следует обеспечить информирование клиентов, пользующихся услугами ЭБ, о конфиденциальности и сохранности их информации. Такие меры могут включать:
– информирование клиентов о политике данного банка в части соблюдения конфиденциальности (например, на веб-сайте этого банка). Четкое лаконичное изложение положений о конфиденциальности необходимо, чтобы обеспечить уверенность в том, что отдельные клиенты полностью понимают данную политику. Пространные описания законодательных норм, сколь угодно точные, скорее всего, не будут прочитаны большинством клиентов;
– инструкции для клиентов относительно необходимости держать в секрете свои пароли, ПИН и другие банковские и (или) личные данные;
– предоставление клиентам информации об обеспечении общей безопасности их персональных компьютеров, включая преимущества использования программ защиты от компьютерных вирусов, средств физического контроля доступа и персональных брандмауэров для статичных интернет-соединений.
Принцип 13: банкам следует иметь эффективные процессы планирования производительности, непрерывности бизнеса и реакции на непредвиденные обстоятельства, чтобы способствовать обеспечению доступности систем и видов обслуживания в части ЭБ.
Для защиты банков от делового, правового и репутационного рисков обслуживание в рамках ЭБ должно предоставляться на основе непрерывности и своевременности в соответствии с ожиданиями клиентов. Поддержание требуемой доступности зависит также от способности резервных систем обеспечивать непрерывность функционирования и парировать атаки типа «отказ в обслуживании» или другие события, которые потенциально могут вызвать прерывание деловых операций.
Проблема поддержания непрерывной доступности систем и приложений ЭБ может оказаться весьма серьезной с учетом возможного значительного спроса на проведение транзакций, особенно в периоды пиковой нагрузки. Высокие ожидания клиентов относительно короткого цикла обработки транзакций и постоянной доступности (24/7) также увеличили важность надежного планирования производительности, непрерывности деловых операций и реакции на непредвиденные ситуации. Для обеспечения такой непрерывности обслуживания клиентов в рамках ЭБ, которую они ожидают, банкам необходимо гарантировать, что:
– существующая в настоящий момент производительность СЭБ и ее перспективная масштабируемость анализируются с учетом общей динамики данного рынка