Современные условия конкуренции в сфере оказания финансовых, в частности банковских, услуг обусловливают интенсивное внедрение технологий дистанционного банковского обслуживания (ДБО) или, используя более общее понятие, — технологий электронного банкинга (ТЭБ). Практически все кредитные организации внедряют все новые варианты ДБО, причем ни одна из организаций, внедривших какую-либо технологию такого рода, не останавливается на достигнутом. По данным, получаемым Банком России в результате проведения сплошных анкетирований кредитных организаций по тематике электронного банкинга, если пять лет назад большинство этих организаций использовали в среднем одну-две системы ДБО, то впоследствии пик распределения количества различных систем электронного банкинга (СЭБ) пришелся на две-четыре одновременно используемые системы, а последнее по времени анкетирование (в 2013 г.) показало, что наиболее часто встречаются кредитные организации, задействующие от трех до пяти каналов ДБО. Лидеры же в данной области, то есть наиболее высокотехнологичные из них умудряются одновременно применять восемь-десять СЭБ, таких как интернет-банкинг для юридических и физических лиц (с вариантами), интернет-трейдинг и дилинг, виды мобильного банкинга, традиционные системы типа «Клиент-банк», обслуживая также площадки интернет-торговли, биржи и т. д.

Приведенные данные свидетельствуют о том, что имеет место однонаправленный процесс перехода банковской деятельности в так называемое виртуальное пространство (или, иначе, киберпространство), а значит, тем самым подтверждается справедливость слогана «Не будет банкинга, кроме электронного банкинга, а мобильный банкинг — предел его». Этому, кстати, способствует и ориентация Министерства финансов России на перевод крупных платежей в упомянутое киберпространство безналичных карточных операций. Вместе с тем в этом пространстве наряду с легитимными клиентами высокотехнологичных кредитных организаций стали активно действовать и преступные группировки, в том числе межрегиональные и международные, равно как и отдельные лица, характеризуемые «криминальным мышлением». Вследствие этого негативного явления практически каждая СЭБ, формирующая своего рода «виртуальные ворота» в банк, превратилась в объект виртуальных атак на банки и их клиентов, приводящих к вполне реальным финансовым потерям, в совокупности исчисляемыми миллиардами рублей. Следствием этого стала дополнительная и весьма серьезная нагрузка как на Банк России (в форме многочисленных жалоб клиентов), так и на правоохранительные органы и, соответственно, судебную систему.

Безусловно, банки всегда подвергались рискам, связанным с ошибками или мошенничеством, однако вместе с внедрением современных компьютерных технологий уровень таких рисков и масштаб их влияния существенно выросли ввиду того, что количество причин и состав возможностей реализации угроз, лежащих в основе новых компонентов рисков такого рода, значительно увеличились. Подтверждением этому является постоянный рост числа финансовых преступлений разного рода как против юридических и физических лиц, пользующихся банковскими услугами, так и против самих банков, анализу которых посвящен настоящий раздел книги. При этом акцент делается на существенно более широкой по сравнению с традиционной (ограниченной рамками Федерального закона от 07.08.2001 № ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма») интерпретацией понятия и содержания процесса финансового мониторинга (ФМ). В связи с указанной позицией можно отметить также, что расширенная трактовка понятия ФМ стала встречаться и в мировой практике анализа противоправной финансовой деятельности и организации противодействия ей. Например, в материалах таких организаций, деятельность которых направлена против отмывания денег (ОД) и финансирования терроризма (ФТ), как ФАТФ и FinCEN, встречаются указания на то, что финансовым организациям необходимо усилить борьбу с компьютерными мошенничествами, поскольку успехи в борьбе международного сообщества с ФТ и перекрытие различных каналов, используемых для этого, привели к тому, что для финансирования деятельности таких чрезвычайно опасных организаций стали широко задействоваться команды хакеров и применяться способы осуществления крупномасштабных финансовых мошенничеств. Из этого делается вывод о том, что собственно осуществление противодействия совершению компьютерных мошенничеств в отношении этих организаций и их клиентов следует рассматривать в том числе и как непосредственно связанное с борьбой с международным терроризмом.

Ввиду этого в современных банках неизбежно внедрение специальных процедур для адекватного реагирования на возможную противоправную деятельность (ППД), осуществляемую с помощью ТЭБ. Поэтому и необходим анализ и практический учет новых потенциальных угроз, связанных с этими технологиями, а также сценариев их возможной реализации с оценкой последствий. Следует отметить, что в силу неразвитости отечественного законодательства в области так называемых электронных финансов последующее изложение ведется с позиций организации противодействия на основе риск-ориентированного подхода.

Начать такой анализ уместно с рассмотрения общей картины усложнения структуры типичных банковских рисков.

 

3.1. Новые факторы риска для кредитных организаций и их клиентов в условиях применения технологий электронного банкинга

Не подлежит сомнению тот факт, что применение кредитными организациями (далее для краткости называемыми банками) технологий ДБО или, иначе, «электронного банкинга» радикально изменяет способы и условия осуществления банковской деятельности. Эти изменения необходимо учитывать в организации и содержании целого ряда внутрибанковских процессов, что будет детально описано в предпоследнем подразделе настоящего раздела. В цитировавшейся выше книге описывалось принципиально новое явление в сфере банковской деятельности, «вызванное к жизни» применением самих ТЭБ, а именно так называемый информационный контур банковской деятельности (ИКБД), приводилась его обобщенная схема, а также рассматривались три основных, «системных» фактора риска, обусловливающие возникновение новых источников компонентов банковских рисков. До наступления эры ДБО данное явление отсутствовало как таковое, хотя, строго говоря, элементы этого контура стали появляться в банках вместе с внедрением первых же структур локальных вычислительных сетей (изначально строившихся на основе сетевых систем типа «клиент — сервер» по простым схемам типа «звезда», которую составляли центральный универсальный компьютер и рабочие станции, используемые операционным банковским персоналом). Для того чтобы обеспечить ясность последующего анализа усложнившейся структуры банковских рисков, упомянутая схема в несколько измененном вариант приводится и здесь (рис. 3.1).

Рис. 3.1. Информационный контур банковской деятельности, формирующийся при дистанционном банковском обслуживании

На приведенной схеме условно показаны два входящих в ИКБД банка (Банк-1 и Банк-2), укрупненная структура их локальных вычислительных сетей (ЛВС) и банковских автоматизированных систем (БАС) с функциями управления, обработки и хранения данных (обозначенных как СУБД — система управления базой данных), элементы сетевой защиты, представленные (только для примера) брандмауэрами (сетевыми экранами), виртуальное пространство, образованное системами, каналами и линиями связи провайдеров банков и клиентов, собственно варианты клиентской части ДБО и два неприятных типа: хакер (хронически занятый попытками несанкционированного доступа (НСД) к банковским информационным ресурсам) и крэкер (ориентированный на нанесение ущерба организациям любым доступным через сетевое пространство способом за счет «взлома» и уничтожения их программно-информационного обеспечения). Как отмечалось, в условиях ИКБД возникают три основных новых фактора риска, о которых необходимо знать руководству банков и на которые следует правильно реагировать посредством адекватной модернизации процесса управления банковскими рисками (УБР):

1) возникновение клиента нового типа, который во многих случаях, не приходя в банк, сам «играет роль» операциониста, при этом, как следствие, для банка и клиента возникает взаимная анонимность, на эффектах которой основаны все схемы организации финансовых преступлений и так называемого фишинга при ДБО;

2) возникновение зависимости надежности банковской деятельности от сторонних организаций — провайдеров разного рода, автоматизированные системы и каналы связи которых могут использоваться для реализации противоправной деятельности в отношении банков и их клиентов с нанесением ущерба их интересам;

3) возникновение разнообразных возможностей для НСД к сетевым структурам и БАС банков за счет особенностей функционирования так называемых открытых систем со стороны как внешних преступных элементов, так и инсайдеров в самих банках, обладающих специальными знаниями в части организации и функционирования БАС.

В случае действия первого из приведенных факторов могут иметь место два главных негативных эффекта. Первый из них заключается в том, что банк не всегда может быть уверен в том, что к нему обращается легитимный, официально зарегистрированный, то есть априори известный ему клиент. Это происходит из-за так называемого хищения личности (identity theft), то есть имитации злоумышленником действий упомянутого клиента за счет использования данных его удаленной идентификации. Поэтому персоналу банков следует информировать клиентов ДБО о приемах, с помощью которых может быть совершена подмена такого рода, и о тех мерах, которые им следует оперативно принимать в случаях противоправных попыток имитации их действий, а также о новых способах и попытках компрометации схем подтверждения идентичности удаленных клиентов. Кроме того, в договорах с клиентами целесообразно указывать, какие способы банк будет использовать для связи с клиентами и на какие «подвохи» клиент обязан не реагировать. Второй эффект связан с тем, что клиент не всегда может быть уверен в том, что взаимодействует со «своим» банком из-за «успешных» действий фишеров, которым он невольно выдает данные своей персональной удаленной идентификации. Это происходит преимущественно за счет применения методов так называемой социальной инженерии и хакерских приемов. Данные вопросы будут рассмотрены в одном из последующих подразделов.

Действие второго фактора (в части противоправной деятельности, технические проблемы здесь не рассматриваются) может проявляться в том, что атаки на банки (и, как следствие, на их клиентов) осуществляются через системы провайдеров, включая предоставляемые ими общедоступные каналы (линии) связи. При такого рода намерениях разрабатываются и применяются специальные программные средства, которые должны нарушать работу аппаратно-программного обеспечения взаимодействующих при ДБО сторон (то есть переводить его в нештатные режимы работы (в широком смысле, включая создание возможностей для НСД) или выводить из строя). При этом сами системы провайдеров могут превращаться в источники угроз для банков, если входящие в них вычислительные сети заражаются вредоносным кодом (в том числе программами-вирусами), с помощью чего формируются, в частности, так называемые бот-неты («роботизированные» вычислительные сети), используемые для нарушения функционирования вычислительных сетей и серверов организаций, которые оказываются объектами сетевых атак. Под прикрытием таких атак стали все чаще совершаться финансовые преступления против банков и их клиентов, в том числе с проникновением и «усилением» атак через посредство автоматизированных систем провайдеров кредитных организаций.

Третий фактор может реализоваться в форме различных угроз: специально организуемые или случайно возникающие схемы для осуществления НСД (в том числе через информационные сечения, образуемые при стыковке различных автоматизированных систем или подсистем), сетевые, вирусные, хакерские атаки и т. п. В этих случаях речь идет, как правило, о нелегитимном завладении теми или иными информационными активами (учитывая, что современная банковская деятельность превратилась преимущественно в информационную дисциплину) или о прикрытии таких действий. Вследствие того что при ДБО формируются новые информационные потоки, число которых при массовом обслуживании может исчисляться десятками, сотнями тысяч и миллионами и которые выходят далеко за пределы офисов банка, а это — неотъемлемое свойство любого ИКБД, существенно изменяются характеристики так называемого периметра безопасности банка. Следствием же этого становится необходимость внедрения таких средств защиты архитектур вычислительных сетей (основными из которых являются маршрутизаторы и брандмауэры или их аппаратно-программные комбинации, а также прокси-сервера, — хотя это не единственные средства сетевой защиты), которые позволяют изолировать чувствительные к НСД информационные сечения в таких архитектурах. Ключевым фактором надежности функционирования любого банка при этом становится осведомленность его высшего руководства о новых потенциальных угрозах при ДБО.

Необходимо отметить, что в условиях ДБО проблематика точной локализации сечений указанного рода реально «выходит на передний план», поскольку в таких местах возможно прежде всего несанкционированное вмешательство в информационные потоки, в особенности при нелегитимном использовании прав и полномочий доступа к ним и к аппаратно-программному обеспечению (АПО) банков и провайдеров, через которое они проходят. Как показывают исследования, наиболее серьезные угрозы при этом могут возникать со стороны инсайдеров кредитных организаций. Информационные сечения, через которые возможно какое-либо вмешательство в информационные потоки, генерируемые, поддерживаемые и обрабатываемые банками, следует, по возможности, исключать из ИКБД, а если это оказывается невозможным, то их необходимо наиболее строго контролировать в соответствии с так называемым принципом четырех глаз. Предотвращение возникновения подобных сечений в любом ИКБД или, в случае их неизбежного появления, обеспечение возможностей их полноценного контроля руководству банков целесообразно предусматривать, начиная еще с этапа принятия решения о внедрении той или иной ТЭБ и проектирования/разработки реализующей ее СЭБ. Очевидно, что для этого требуется наличие в банке соответствующих распорядительных документов и осуществление «проактивного» анализа сопутствующих внедрению ТЭБ изменений в структуре банковских рисков.

При реализации любого из упомянутых выше факторов или какой-либо одной связанной с ними угрозы денежные средства, хранящиеся в банке в форме записей об их суммах в его базах данных, могут быть нелегитимно и оперативно переведены на сторонние счета в электронной форме, что обычно и происходит в процессе совершении мошенничеств. При этом современные возможности использования сетевых технологий, а также зонального и даже глобального сетевого информационного взаимодействия позволяют осуществлять подобные трансферы на счета, расположенные практически в любой юрисдикции (городе, регионе, стране). Поэтому, в частности, руководству банков следует помнить о необходимости четкого и полного определения состава так называемой сеансовой информации (СИ), о чем будет сказано в последнем подразделе, накапливаемой и сохраняемой в течение каждого отдельного сеанса информационного взаимодействия удаленного клиента с банком, и обеспечения гарантий ее сохранения в течение установленных сроков (которые следует указывать также и в правоустанавливающих документах на пользование ДБО). При этом необходимо гарантировать и возможность оперативного доступа к ней как минимум при инициации претензионной работы. В основу такого определения целесообразно закладывать механизмы моделирования угроз надежности банковской деятельности в части противодействия возможной ППД, сценарии их возможного развития, состав угрожаемых активов банка, возможные последствия реализации таких сценариев и тому подобные соображения, относящиеся к процессу УБР.

Эта информация может впоследствии составить основу для принятия решений при разрешении конфликтных (спорных) ситуаций, возникающих в процессе осуществления ДБО между банком и клиентами, или при проведении расследований случаев ППД. Таким образом, речь идет, по сути, о постоянном формировании и поддержании доказательной базы ДБО и обеспечении ее юридической силы — в этом заключаются две главные задачи, которые подлежат решению при организации и реализации с помощью информационных технологий (ИТ) в составе ФМ как внутрибанковского процесса и определения видов и содержания составляющих его процедур. При этом, как отмечалось выше, ФМ целесообразно организовывать как внутрибанковский процесс с заведомо более широким содержанием, нежели обычно принято определять, которое заведомо не ограничивалось бы требованиями традиционного противодействия ОД и ФТ (ПОД/ФТ), но охватывало бы всю возможную ППД, с которой в перспективе могут столкнуться банки и их клиенты ДБО. Тем самым можно будет устранить и неоднородности в распределении соответствующих функциональных ролей между такими структурными подразделениями банков, как службы ИТ, внутреннего контроля (ВК), ФМ, безопасности (информационной или экономической), подразделениями, ответственными за работу с клиентами и т. д.

Со времени первой публикации по рассматриваемой тематике банковских рисков, связанных с ДБО, прошло уже немало времени, и количество публикаций по данной тематике постоянно увеличивается (что свидетельствует одновременно о «разрастании» рассматриваемой проблемной области). Однако угроз надежности банковской деятельности не только не стало меньше, но они стали, так сказать, еще более изощренными, а их реализация даже только в плане ППД в киберпространстве ИКБД по-прежнему обусловливается прежде всего такими факторами, как:

— новизна технологических и технических достижений в области ДБО (которые могут оказаться связаны с новыми компонентами таких банковских рисков, как операционный, правовой, репутационный, ликвидности (неплатежеспособности), стратегический, а в некоторых случаях и страновой);

— сложность анализа связанных с разновидностями ДБО потенциальных угроз, преобразующихся в компоненты банковских рисков (в том числе комплексного анализа, охватывающего все «виртуальные ворота», которые неизбежно «открывает» банк, переходящий к ДБО);

— недостаточная компьютерная (как, впрочем, и финансовая, и правовая) грамотность подавляющего количества клиентов, которые охотно переходят от традиционного банковского обслуживания на ТЭБ и пользуются соответствующими СЭБ, которые реализуют такие технологии.

Эти и другие, менее очевидные, причины для существенного расширения возможностей осуществления в банках противодействия возможной ППД в условиях применения ТЭБ будут более детально рассмотрены ниже.

Можно отметить также, что на фоне все большего усложнения компьютерных технологий, ориентированных на внеофисное обслуживание клиентов банков, и, соответственно, необходимого для этого банковского АПО, то же самое происходит и с криминальной деятельностью, поскольку преступные сообщества охотно и быстро «осваивают» новые электронные банковские технологии и используют их для создания новых вариантов ППД в киберпространстве. Одним из наиболее типичных примеров в последние годы стало использование в противоправных целях вариантов мобильного банкинга, которые приходят на смену традиционному «телефонному» банковскому обслуживанию. Вследствие этого вместе с новыми достижениями в направлениях применения этих технологий развивается и существенно усложняется сопутствующая рассматриваемой проблематике область расследования компьютерных преступлений (о чем еще будет говориться в подразделе 3.3). В современном мире эти факты целесообразно учитывать руководству высокотехнологичных банков в рамках организации противодействия возможной ППД, а теперь, в первую очередь, при внедрении и развитии ДБО.

Основной акцент при этом целесообразно делать на тех новых специализированных процедурах, которые позволяли бы эффективно учитывать во внутрибанковских процессах управления и контроля, во-первых, факт удаленности клиентов при ДБО, во-вторых, специфику виртуального пространства, через которое оно осуществляется, в-третьих, особенности функционирования так называемых открытых систем. Здесь, прежде всего, целесообразно рассмотреть организацию ПОД/ФТ, осуществляемого в связи с реализацией процессов ВК и ФМ, поскольку эти задачи имеют достаточно проработанную правовую основу (имея в виду такие основополагающие акты, как Федеральные законы «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — 115-ФЗ) и «О Центральном банке Российской Федерации (Банке России)») и сопутствующие подзаконные акты.

Как свидетельствуют материалы финансовых разведок, в том числе России, различных международных организаций, в частности ФАТФ, практически все финансовые преступления совершаются посредством проведения операций в платежных системах, в том числе трансграничных. При этом чем лучше их параметры (скорость, надежность функционирования), тем выше, при недостаточных мерах противодействия ППД, их уязвимость с точки зрения возможностей ОД и ФТ. В связи со сказанным из числа известных 40 рекомендаций ФАТФ две непосредственно связаны с использованием технологических нововведений (таких как ТЭБ), а именно Рекомендации 15 и 16:

15. Новые технологии

Странам и финансовым учреждениям необходимо определять и оценивать риски отмывания денег или финансирования терроризма, которые могут возникнуть в связи с а ) разработкой новых продуктов и новой деловой практики, включая механизмы передачи, и б ) использованием новых или развивающихся технологий как для новых, так и для уже существующих продуктов. В случае финансовых учреждений такая оценка риска должна проводиться до запуска новых продуктов, деловой практики или использования новых или развивающихся технологий. Им также следует принимать соответствующие меры для контроля и снижения этих рисков.

16. Электронные переводы средств

Странам необходимо обеспечить включение финансовыми учреждениями требуемой и точной информации об отправителе и требуемой информации о получателе в электронный перевод и сопровождающие сообщения и то, чтобы эта информация сопровождала электронный перевод или передаваемое сообщение по всей цепочке платежа.

Странам необходимо обеспечить, чтобы финансовые учреждения осуществляли мониторинг электронных переводов в целях выявления тех из них, по которым отсутствует требуемая информация об отправителе и ( или ) получателе, и принимали соответствующие меры.

Странам необходимо обеспечить, чтобы при обработке электронных переводов финансовые учреждения предпринимали действия по замораживанию. Они должны также запрещать проведение операций с установленными лицами и организациями в соответствии с обязательствами, которые определены в соответствующих резолюциях Совета безопасности ООН…

При этом ФАТФ акцентирует внимание на том, что при осуществлении ФМ и реализации процедур ПОД/ФТ следует переходить от анализа отдельных финансовых операций клиентов банков к анализу их хозяйственно-экономической деятельности. Однако, это, конечно, гораздо проще сказать, чем сделать.

Аналогичной позиции придерживается и Базельский комитет по банковскому надзору (БКБН), который в одной из своих публикаций, посвященных так называемому электронному трансферу денежных средств в части «скрытых» или «прикрытых» платежей, отмечает:

При выполнении трансграничных банковских операций помимо банка источника ордера ( originator ) и банка бенефициара в процесс передачи и обработки банковских данных могут вовлекаться другие банки, выполняющие функции посредников…

…Кредитным организациям, играющим роль таких посредников, независимо от их юрисдикции, следует соблюдать требования, предъявляемые к основным участникам трансграничных банковских операций ( источнику и бенефициару ) , включая определения, содержащиеся в « Специальных Рекомендациях VII » ФАТФ ( SR VII ) , особенно в условиях, снижающих прозрачность ( transparency ) выполняемых операций ( например, через S. W. I. F. Т. )».

Также подчеркивается:

Недостаток информации об источниках и бенефициарах переводов денежных средств может препятствовать банку-посреднику точно оценить риски, ассоциируемые с корреспондентскими и клиринговыми операциями. Такой банк не сможет сопоставить данные с признаками, требующими блокировать или задержать операции либо « заморозить » активы ее участников. <…>

…Повышение прозрачности платежных операций зависит не только от стандартов передачи данных, но и от рабочих процедур банков, вовлекаемых в их обработку, от чего зависит надежность и качество функционирования платежной системы.

Одной из наиболее неприятных для банков особенностью реализации двух связанных с ДБО эффектов взаимной анонимности является то, что банки могут оказаться незаметно для себя вовлечены в ту или иную ППД, что может негативно сказаться на их отношениях и с государством, и со своими клиентами (тем самым повышаются уровни правового и репутационного рисков). Руководству этих учреждений целесообразно помнить о последствиях такого рода, поскольку, как будет показано далее, развитие ситуации при проведении расследований ППД может негативно сказаться на их имидже, а если банки действительно окажутся обоснованно обвиненными в незаконной деятельности, то это может повлечь за собой отзыв лицензии на осуществление банковских операций (что, к сожалению, давно уже не редкость).

При совершении трансферов денежных средств в электронной форме виртуальное пространство позволяет скрывать как их инициаторов, так и бенефициаров уже при самом незначительном числе агентов сетевого «финансово-информационного» взаимодействия. При типовых трехэтапных схемах ОД («размещение — расслоение — интеграция») с участием множества промежуточных (подставных) агентов, «перекачивающих» денежные средства между своими банковскими счетами, для выявления этого взаимодействия требуется наличие достаточно сложных аналитических алгоритмов, как и для обнаружения любых сомнительных операций. А поскольку схемы ОД модернизируются, то и алгоритмы ФМ должны становиться все более сложными, точно так же, как и его информационная основа и критериальная база.

В простейшем и типичном варианте на первом этапе ОД денежные средства, полученные нелегитимным путем, «вбрасываются» в финансовую систему, как правило, через специально создаваемые подставные фирмы, которые характеризуются как минимальным капиталом, так и тем, что существуют весьма непродолжительное время, после чего выполняется совокупность проводок, «не имеющих явного экономического смысла». Это переводы со счетов юридических лиц крупных денежных сумм, «распыляемых» по карточным счетам физических лиц (так называемых дропперов), с оперативным их получением или снятием через банкоматы. От банков, не желающих подпасть под подозрение в соучастии или в организации преступных финансовых схем, при этом требуется возможно более тщательное следование принципу, постоянно пропагандируемому БКБН, — «знай своего клиента» (ЗСК, за рубежом: КУС — Know Your Client). В то же время при использовании современных схем ОД и массовом ДБО это становится затруднительно, а поэтому безоглядное стремление какого-либо банка захватить значительную часть рынка ДБО вполне может оказаться необоснованным с точки зрения достаточности ресурсной базы такого банка в плане реализации необходимых (довольно сложных) процедур в составе процесса ФМ и контроля над хозяйственно-экономической деятельностью большого числа клиентов в целом (что специально отмечалось ФАТФ).

На втором этапе денежные средства, как правило, разделяемые на части, проводятся через ряд банков с использованием дистанционного управления счетами, что позволяет серьезно затруднить отслеживание транзакций и придать анонимность процедурам перевода денежных средств (в том числе за счет подставных промежуточных агентов финансовых операций). При этом нередко задействуются офшорные зоны и варианты технологии интернет-банкинга, в которых могут быть сконцентрированы сотни банков (включая так называемые бумажные или пустые банки, фигурирующие исключительно в электронном трансфере), а также сторонние анонимные прокси-сервера, не позволяющие определить местоположение участников информационного взаимодействия.

Для выявления таких ситуаций и придания операциям статуса сомнительных или для отказа от выполнения соответствующих операций банкам необходимо разрабатывать и внедрять соответствующие аналитические процедуры (об этом еще будет говориться ниже).

На третьем этапе денежные средства, которые могут с помощью удаленного управления пройти много циклов перемещений между юрисдикциями, банками и счетами большого количества фирм, в завершение процесса ОД концентрируются на счетах вполне легитимно существующих и действующих юридических или физических лиц. При этом обоснования для транзакций могут оказаться произвольными и никак не связанными с предыдущими транзакциями (БКБН, кстати, делает особый акцент на полноте информации, сопровождающей переводы денежных средств, когда рассматривает цепочечные операции). Поэтому возникает потребность в совершенствовании аналитических методов, применяемых в процессе ФМ, особенно в целях выявления банками связанных клиентов и транзакций на базе так называемого эффективного группового подхода (имея в виду в том числе, что отдельные клиенты или связанные общими интересами группы клиентов могут осуществлять финансовые операции через разные подразделения — филиалы, дополнительные офисы и пр. — одних и тех же банков). Вследствие этого пропагандируется требование наличия единой политики работы с клиентами в групповой структуре.

Как указывает БКБН, банкам следует руководствоваться основными положениями, способствующими эффективной реализации ФМ:

Необходимо разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков и риска концентрации [50] .

Политика и процедуры на уровне филиалов и дочерних организаций должны быть согласованы с групповыми стандартами « знай своего клиента » и обеспечивать их поддержку.

Подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков.

Между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками.

Неизбежность усложнения алгоритмов ФМ видна также из содержания нормативных и других документов Банка России, которые продолжают разрабатываться и приниматься со времени принятия Закона № 115-ФЗ. По состоянию на последнее время банкам при организации и определении содержания внутрибанковского процесса ФМ (и ВК в соответствующей части) удобнее всего ориентироваться на письмо Банка России от 04.09.2013 № 172-Т «О приоритетных мерах при осуществлении банковского надзора», в котором описываются так называемые критерии определения признаков высокой вовлеченности кредитной организации в проведение сомнительных безналичных и (или) наличных операций (там же приведен и перечень документов Банка России для целей квалификации операций в качестве сомнительных). Поэтому банкам требуется разработка все более специализированных и детальных аналитических процедур ФМ (в интересах ПОД/ФТ) для идентификации указанных лиц, контроля и сопоставления данных, осуществляемых в соответствии с их ордерами. То же самое относится и к специализированному программно-информационному обеспечению (ПИО) процесса ФМ, функции которого должны соответствовать требованиям, установленным законодательными и подзаконными актами.

Если доказательство участия банка в каких-либо операциях, связанных с отмыванием денег или финансированием терроризма, карается в соответствии с федеральными законами и подзаконными актами, то наказание за другие виды ПДД далеко не всегда «находит своих героев». Расследование и доказательство преступлений, совершаемых в киберпространстве, стало в последние три десятилетия настолько актуальным, что за рубежом давно уже организована подготовка сотрудников финансовых организаций по специальности «сертифицированный инспектор по мошенничествам». В задачи специалистов, проходящих подготовку такого рода, входят прежде всего: предотвращение и (или) предупреждение мошенничеств, особенно корпоративных, проведение расследований преступлений (начиная с обеспечения сохранения улик, включая компьютерные устройства и данные, хранимые в электронной форме), взаимодействие с правоохранительными органами и участие в судебных разбирательствах и процессах в качестве экспертов; кроме того, они могут участвовать также в реализации отдельных функций в составе процессов обеспечения информационной безопасности (ОИБ), ФМ и ВК в своих организациях (постоянно или на основе привлечения).

Как отмечается в одной из популярных книг по противодействию мошенничествам, «совершение корпоративного мошенничества всегда связано с посягательством на активы корпорации и их хищением». При этом необходимо учитывать тот принципиально важный факт, что упомянутые активы теперь — преимущественно «информационные», а следовательно, методы и средства их защиты оказываются прямо связаны с процессами ОИБ, ФМ и ВК в банках. Без сомнения, банковское дело также превратилось во многом в «информационную дисциплину».

Как отмечается в одной из популярных книг по так называемому киберправосудию (или, иначе, киберследствию):

Риски, с которыми сталкивается руководство кредитных организаций, по мере усложнения технологий только повышаются. Лица, склонные к злоупотреблениям технологиями, обнаруживают, что их возможности в этом плане расширяются, тогда как возможности руководства по удержанию их от этого становятся экспоненциально более проблематичными и ограниченными…

В XXI веке ни одна организация не может забывать о возможности возникновения потребности в высококвалифицированном специалисте в области киберправосудия, независимо от включения его в персонал или приглашения со стороны. При этом актуальным является вопрос не « если » потребуется, а « когда » …

Необходимость наличия актуальной программы киберправосудия, обеспеченной подготовленным персоналом с квалификацией сертифицированного инспектора по мошенничеству и требуемыми рабочими процедурами для проведения служебных расследований, должна полностью осознаваться.

В формируемых новыми информационными технологиями условиях «электронной» финансовой и, в частности, банковской деятельности кибермошенничества становятся все более привлекательными, так как преступник «может скрываться» за киберпространством и использовать для совершения преступления специфические технологии: сетевые, хакерские, шпионские, троянские и т. п., а также прикрытия в форме сетевых атак, фальсификации маршрутной информации (к примеру, IP-адресов при ДБО в варианте интернет-банкинга и др.), равно как и разнообразные приемы, которые позволяют скрывать инициатора мошенничества, его бенефициаров или же сами факты мошенничества (когда прикрытие срабатывает). Практически все подходы такого рода базируются на одной основе — сочетании тех или иных способов НСД к атакуемым ресурсам и БАС кредитных организаций, а также аппаратно-программным средствам их удаленных клиентов (в том числе через автоматизированные системы провайдеров).

Надо отметить, что любое мошенничество, реализуемое через тот или иной способ НСД, связано с упоминавшимся выше «хищением личности», то есть с приданием видимости легитимности обращения к каким-либо информационным активам и операциям с ними. Из этого следует, что основное внимание при использовании любых современных форм платежей и расчетов следует уделять способам и средствам подтверждения идентичности пользователя конкретных информационно-процессинговых ресурсов и правомерности использования тех или иных полномочий доступа к информационно-процессинговым ресурсам. В свою очередь, само возникновение возможностей НСД всегда обусловлено недостатками в установлении ограничений на физический и логический доступ к АПО и информационным ресурсам организаций, что, в свою очередь, свидетельствует, как правило, о неполноте проведения приемо-сдаточных испытаний конкретных автоматизированных системы (БАС или СЭБ). Такая неполнота при построении логики рассуждений в обратном порядке свидетельствует о наличии недостатков в программах, методиках, актах и протоколах проведения этих испытаний, а значит, о недопонимании руководством банка значимости полного подтверждения заявленных свойств БАС и (или) СЭБ. Логическая последовательность обеспечения легитимности прав и полномочий доступа к чувствительным информационно-процессинговым ресурсам, с известной долей условности показана на рисунке 3.2, скомпонованном на основе карикатуры, хорошо отражающей суть данной проблематики. Тем самым отражается также тесная и неразрывная связь процедур управления распределением прав и полномочий доступа к информационно-процессинговым ресурсам банка (включая филиалы, дополнительные офисы и пр.) и контроля над ними.

Рис. 3.2. Пример проблематики разграничения прав и полномочий доступа в условиях применения технологий электронного банкинга

Следует отметить, что нередко наблюдаемое в кредитных организациях, прежде всего банках, желание руководства «сэкономить» на так называемых незарабатывающих подразделениях, к числу которых, как исторически сложилось, относятся подразделения ИТ, ОИБ, ВК, ФМ, УБР и ряд других, гарантированно приводит к недостаткам в обеспечении надежности банковской деятельности. Следствиями такой «экономии» часто оказывается нехватка высококвалифицированного персонала, необходимого для правильной и надежной организации автоматизированной банковской деятельности, или недопустимая концентрация полномочий, в особенности это касается совмещения в одних руках функций администрирования: системного, сетевого, баз данных, информационной безопасности и т. п. Ситуация, в которой один человек совмещает несколько функций, которые в соответствии с правилами здравого смысла (в отсутствие соответствующих нормативных правовых актов) должны быть разделены, как это считается необходимым с точки зрения обеспечения гарантий невозможности НСД высокого уровня, может оказаться связанной с угрозами для безопасности информационных активов организации, так как при этом заведомо не выполняется упоминавшийся принцип «четырех глаз». В этом случае те или иные сотрудники, с одной стороны, получают наиболее полные права и полномочия доступа к таким ресурсам, а с другой стороны, оказываются фактически неподконтрольными.

Как отмечает в своей оригинальной книге один известный в прошлом в США мошенник: «Важно помнить: если для людей невольно создаются условия, чтобы они воровали, они будут это делать!», вследствие чего постулируется, что «Доверие — хорошо, но контроль — лучше!». Данный автор знает, что говорит, когда заявляет в этой книге, что «Абсолютной надежности не существует» и что «Обман не прекращается никогда», — проведя за решеткой несколько лет за махинации с чеками, банкоматные мошенничества и прочую противоправную деятельность, он по освобождении открыл консультационную фирму по организации противодействию корпоративным и другим мошенничествам и написал упомянутую в ссылке книгу. В ней, помимо прочего, он приводит такие данные социологического опроса, которым были охвачены сотрудники нескольких сотен североамериканских компаний, которым задавались вопросы об их отношении к воровству:

Результаты исследований показали, что 10 % работников воровали бы все время, еще 10 % никогда не украли бы, а 80 % воровали бы, если бы у них была для этого причина. Это свидетельствует о том, что руководство компаний должно проявлять обеспокоенность о 90 % своего персонала…

По данным указанного автора:

Банки теряют в пять раз больше денег от хищения денежных средств, чем от вооруженных ограблений. Кража на рабочем месте может быть настолько пагубной для компании, ставшей ее жертвой, что почти одна треть всех банкротств приписываются присвоению чужих средств.

Остается надеяться, что столь безрадостная картина является типичной только для США…

Ситуация усугубляется тем, что в виртуальном пространстве мошенничества совершаются мгновенно и практически незаметно. При виртуальном мошенничестве обычно неизвестно наверняка, кем является злоумышленник. Его нельзя увидеть, потому что это — аноним, скрытый технологиями и автоматизированными системами. Кроме того, как отмечает тот же автор, «Для подавляющего большинства клиентов банков электронные банковские операции все еще остаются загадочными». Практика изучения жалоб клиентов российских банков подтверждает этот неутешительный вывод, поэтому помимо широко обсуждаемой потребности в повышении финансовой грамотности населения логично было бы говорить и о повышении его «технологической грамотности». Сказанное относится и к качеству соглашений о ДБО в том смысле, что в соответствующих договорах, как правило, не оговариваются упоминавшиеся выше его доказательная база и ее юридическая сила.

В настоящее время специфика условий функционирования российского банковского сектора предполагает, как отмечалось, возникновение новых источников компонентов только для следующих банковских рисков: стратегического, операционного, правового, репутационного (потери деловой репутации), ликвидности (неплатежеспособности) и, в некоторых специфических случаях, странового. Чтобы правильно определить состав источников компонентов рисков, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, в соответствии с принятой в том или ином банке методологией УБР, можно сгруппировать отдельные факторы или источники компонентов рисков по их возможному проявлению в тех или иных типичных банковских рисках, которые описываются, как правило, во внутрибанковских документах типа «Положения об управлении банковскими рискам». Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше, при переходе к применению ТЭБ.

Ниже проводится краткий анализ структуры этих банковских рисков в части свойственных применению ТЭБ и реализующих их СЭБ причинно-следственных связей их компонентов наряду с теми угрозами надежности банковской деятельности, которые привносит ДБО само по себе. Если говорить конкретно о ППД, то, трактуя понятие указанной надежности с точки зрения выполнения кредитными организациями (в широком смысле) своих обязательств перед клиентами и контролирующими органами, можно определить те компоненты типичных банковских рисков, которые непосредственно связаны с опасностью осуществления ППД:

• для операционного риска — это потенциальные финансовые потери, обусловленные мошенническими действиями в отношении кредитной организации и (или) ее клиентов за счет перевода автоматизированных систем, применяемых ею для осуществления банковской деятельности, в нештатные (в широком смысле) режимы функционирования, из-за чего могут осуществляться противоправные действия, включая проведение несанкционированных транзакций или прямые хищения финансовых средств в электронной форме либо конфиденциальной («чувствительной») информации и пр., происходить нарушения доступности автоматизированных систем и (или) непрерывности их функционирования (включая как причины «удачные» сетевые и хакерские атаки, отказы и сбои аппаратно-программного обеспечения для прикрытия мошенничеств как самой кредитной организации, так и ее провайдеров), следствием чего окажется невыполнение кредитной организацией обязательств перед клиентами;

• для правового риска — это потенциальные финансовые потери, обусловленные невыполнением кредитной организацией требований нормативных правовых актов, регулирующих банковскую деятельность, и (или) законодательной неопределенностью дистанционного предоставления банковских услуг, а также судебными издержками/санкциями из-за невыполнения обязательств перед клиентами (включая потерю значимых данных и утечку «чувствительной» информации, нарушение банковской тайны, противоправную деятельность, которая оказывается возможной из-за недостатков аппаратно-программного или программно-информационного обеспечения банковской деятельности как самой кредитной организации, так и ее провайдеров, хищения денежных средств клиентов и т. д.), включая ситуации, в которых клиенты оказываются не способны выполнять свои обязательства перед третьими сторонами по вине кредитной организации и (или) ее провайдеров;

• для риска ликвидности (неплатежеспособности) — это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);

• для репутационного риска — это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);

• для стратегического риска — это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).

Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними — и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.

Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях — это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков — нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.

Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?

Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода, с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей» , позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).

Общая «беда», сопутствующая внедрению и применению в банках новых информационных технологий, состоит в том, что нередко такие немаловажные внутрибанковские процессы, какУБР, информатизация банковской деятельности, ОИБ, ВК, ФМ и работа других, как считается, «не зарабатывающих» подразделений кредитной организации, вообще финансируются по «остаточному принципу». При этом наблюдаются и такие нежелательные варианты «экономии» на дорогостоящих специалистах, что, как отмечалось, ведет к образованию чрезмерной концентрации полномочий в руках отдельных должностных лиц или к невозможности надежного выполнения довольно «тонких» функций в части ОИБ, таких как настройка брандмауэров, прокси-серверов и т. п. в том смысле, что специалисты, обладающие необходимой для этого достаточно узкой специализацией и высокой квалификацией, во-первых, становятся «штучным товаром», во-вторых, их действия оказывается некому контролировать. Кроме этого, средства сетевой защиты стоят, как правило, недешево, а не в каждом банке руководство имеет полное представление о тех мерах и средствах защиты, которые необходимо приобретать, внедрять, настраивать и сопровождать в связи с каждым новым ИКБД, формируемым той или иной новой ТЭБ. Вследствие этого надежно защитить все «виртуальные ворота» такого рода окажется весьма проблематично, то есть опять-таки может формироваться почва для использования служебных полномочий в личных целях (на исполнительском уровне) с последующим нанесением крупного финансового ущерба банку и его клиентам — это тот же проблемный вопрос о контролируемости информационных сечений, возникающих в ИКБД, между БАС и СЭБ и т. п.

Известно, что «рыба ищет, где глубже, а человек — где лучше», и такого рода поиски неудовлетворенных своим положением специалистов с высокой и достаточной специфичной узкой квалификацией могут приводить к тому, что отдельные банки будут терять определенных специалистов уровня, например, системных администраторов и других, которые при уходе в другую организацию будут уносить с собой всю информацию о составе и архитектуре БАС и СЭБ покидаемого ими банка, порядках, правилах, правах и полномочиях доступа к чувствительным программно-информационным ресурсам ит.п., то есть представлять в итоге совершенно конкретные угрозы для этого банка. Такие угрозы, будучи «сдобрены» плохими взаимоотношениями с прежними работодателями (причины которых — в недостаточной по мнению того или иного лица финансовой оценке его квалификации, трудозатрат, ответственности, функциональной и технологической зависимости и т. п.), могут оказаться причинами последующих инцидентов ППД, причем по своему характеру наиболее серьезных для банка и его клиентов (точнее, принадлежащих им финансовых средств и конфиденциальной информации, что в условиях известной «криминализации» российской экономики может обернуться для участников финансовых отношений непредсказуемыми последствиями). Известны случаи «закладывания» увольняющимися специалистами своего рода «программных бомб», которые через какой-то интервал времени наносят физический ущерб ПИО банков, организации ими скрытых каналов доступа к разным компонентам ПИО, сговора с отдельными сотрудниками подразделения, отвечающего за ИТ или ОИБ с целью совершения впоследствии хищений финансовых средств или конфиденциальной информации и т. д.

В общем случае руководству насыщенных информационными технологиями банков (да и любых кредитных организаций) необходимо учитывать все источники угроз, связанных прежде всего с проявлениями так называемого человеческого фактора, которые показаны на рисунке 3.3.

Рис. 3.3. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления В К

Совокупность рассмотренных в настоящем подразделе проблемных вопросов свидетельствует о том, что в области таких наиболее современных электронных банковских технологий, как ДБО, присутствуют серьезные компоненты стратегического риска, чему нередко просто не уделяется внимание (чтобы убедиться в этом, достаточно прочитать те же «Положения об управлении банковскими рисками» в высокотехнологичных кредитных организациях). Очевидно, что если в отношении новых угроз надежности банковской деятельности не принимаются должные меры, препятствующие их реализации, — хотя для этого достаточно начать с полноценного анализа зон концентрации источников компонентов банковских рисков и зон ответственности банка, то и сам бизнес в рамках ДБО может оказаться скомпрометированным. Следствием этого станут финансовые потери банков и их клиентов, а итоговыми последствиями — отказ от использования той или иной СЭБ, то есть в результате, как уже отмечалось, к ее нерентабельности и вообще неокупаемости, возможно, многомиллионных внедренческих и эксплуатационных расходов (чему в российском банковском секторе также имеются примеры). А в обществе возникнут и сомнения в квалификации персонала банка. Порочный круг!

В качестве только одного такого варианта можно привести многогранный и интенсивно развивающийся карточный бизнес. Главная беда здесь заключается в том, что само наличие возможностей осуществления карточных мошенничеств и наблюдаемое интенсивное использование их преступными элементами при негарантированном обеспечении возврата утраченных финансовых средств могут подорвать доверие клиентов кредитных организаций к карточному обслуживанию как разновидности электронного банкинга. Отсутствие полного доверия со стороны клиентов банков к данному виду услуг ДБО проявляется в первую очередь в том, что в подавляющем большинстве случаев пластиковые карты используются для получения наличных денег в банкоматах.

К сожалению, недостатки российского законодательства в части обеспечения предоставления финансовых услуг в электронной форме не удается до настоящего времени компенсировать и с помощью законодательных актов, например принятием Федерального закона «О национальной платежной системе» (имеется в виду прежде всего многострадальная статья 9). На фоне отсутствия полноценного законодательства о предоставлении финансовых услуг «в электронной форме» это также свидетельствует о недостаточности паллиативных мер для обеспечения гарантий надежности вне офисной банковской деятельности. Сказанное относится и к другим видам ДБО. Поэтому кредитные организации фактически вынуждены самостоятельно находить эффективные и полноценные способы предотвращения ППД в киберпространстве, что не у всех из них хорошо получается.

Наиболее очевидные недостатки в организации ДБО российскими банками проявляются в организации договорных отношений с его клиентами и контрактных отношений с провайдерами, возникающими в ИКБД вместе с каждой новой ТЭБ. Эти недостатки очень серьезно затрудняют ведение соответствующей претензионной работы и крайне негативно сказываются на интересах указанных клиентов, в том числе в ходе судебных разбирательств (об этом еще будет говориться в подразделах 3.3 и 3.4).

 

3.2. Организация финансовых преступлений с помощью технологий электронного банкинга и воздействие на удаленных клиентов кредитных организаций

Как уже отмечалось, преступные сообщества и отдельные криминальные элементы во всем мире охотно применяют «высокие технологии» в своей противоправной деятельности. При этом в России они пользуются, с одной стороны, недостатками российского законодательства (включая Уголовный кодекс РФ), с другой стороны — отсутствием закрепленных в нормативных правовых документах «канонов» ДБО, и, в-третьих, недостаточной финансовой и компьютерной грамотностью клиентуры кредитных организаций. В случае ДБО речь всегда идет об использовании для организации инцидентов ППД маскировки злоумышленника той или иной средой информационного взаимодействия (тем же киберпространством). Руководству кредитных организаций никогда не следует забывать о том, что ППД — это непрерывный процесс, характеризуемый тем, что преступные сообщества постоянно изыскивают все новые способы ОД, совершения мошенничеств, а также хищения конфиденциальной информации. Недостаточное осознание специфики электронного банкинга может привести к появлению серьезных проблем с управлением банковской деятельностью и контролем над ней в плане обеспечения ее надежности и соответствия установленным требованиям (то есть к потере полноценного управления и контроля). Поэтому руководству и персоналу высокотехнологичных банков необходимо отчетливо понимать, кто конкретно может являться агентами угроз, знать их образ действия и применяемые способы маскировки как ППД, так и самих этих агентов.

Для осуществления финансовых преступлений, в особенности ОД, чаще всего используется эффект анонимности пользователя, скрытого киберпространством, что позволяет реализовать многочисленные проводки (трансферы, транзакции) без личной явки в банк. При этом может имитироваться деятельность сколь угодно большого количества клиентов: главное — разжиться достаточным числом средств и полномочий удаленного доступа, для чего преступными сообществами обычно специально и тщательно формируется своя «клиентская база». Можно привести некоторые примеры из материалов реальных расследований.

Наиболее простой способ осуществления одновременно хищений и ОД может основываться, к примеру, на контракте на выполнение неких строительных работ, который заключается между фирмой-посредником и государственной организацией и который никогда не будет выполнен. Эта фирма, в свою очередь, заключает договор с подставными компаниями, которые якобы должны выполнять строительные работы, и эти работы действительно как бы начинаются. Компания-»исполнитель» нанимает за некоторое денежное вознаграждение некое лицо, которое должно сыграть роль ее генерального директора. Такой «директор» является в небольшой банк, расположенный обычно в другом городе, предоставляющий услуги интернет-банкинга, открывает необходимый для осуществления финансовых операций счет, после получения первой фирмой (якобы исполнителем по контракту) бюджетных средств в крупном размере возникают невесть откуда взявшиеся компании со счетами в других банках, и начинается финансовая чехарда, причем, естественно, управление счетами осуществляется дистанционно, так что банк-посредник первый и единственный раз видит упомянутого директора, а поскольку компания иногородняя, то не возникает и мысли проверить ее местонахождение. После того как казенные деньги будут распылены по счетам подставных фирм и «выведены» из оборота, имитация бурной деятельности на объекте прекращается, затраты преступной группировки ограничиваются стоимостью возведения забора и кратковременной арендой технических средств и оказываются существенно меньше выделенных на производство заявленных работ, к примеру десятков миллионов рублей. Через некоторое время за дело берутся следователи, которые выясняют, что по своему юридическому адресу строительная компания никогда не находилась, ее генеральный директор в силу очень преклонного возраста успел своевременно скончаться, отправившись на свою традиционную прогулку, выяснить, кому он передавал средства и права доступа, невозможно, задействованные фирмы-однодневки исчезли, а установить с помощью функций и баз данных той же системы интернет-банкинга, откуда именно и кем осуществлялось управление счетами, невозможно, потому что необходимые для этого данные в составе СИ почему-то не фиксировались (а никто, собственно, и не обязывал банк это делать). В итоге следствие заходит в тупик, а виновных не найти, потому что в схеме были задействованы утерянные и фальшивые документы, бомжи и пр., однако сам банк уже вовлечен в преступную схему, а значит, с большой вероятностью попадает под подозрение в соучастии.

Речь может идти и о крупномасштабных закупках какого-либо оборудования за рубежом, которое отсутствовало в природе, и тогда дистанционное управление счетами в банках-посредниках может вестись как из Москвы, откуда выделяются бюджетные деньги компаниям, обещавшим такие закупки осуществить, так и из-за рубежа, где также окажутся зарегистрированы некие компании-посредники. Здесь счет может идти уже на сотни миллионов и даже миллиарды рублей, поскольку масштабы операций гораздо больше, а проверять целый ряд фирм-нерезидентов (для данного города), тем более зарубежных «партнеров», существенно сложнее. Опять-таки для операций выбирается какой-нибудь среднерусский «банчок», в котором доверенными лицами открываются счета для фирм-посредников, отечественных и зарубежных. Выделенные из бюджета суммы дробятся на несколько или множество финансовых потоков, в выбранном банке, располагающем системой интернет-банкинга, они в рамках ДБО конвертируются и переводятся на счета зарубежных фирм в России, после чего осуществляется их трансфер за рубеж. Никаких поставок, естественно, не происходит, но банк формально ничего не нарушает — в его системе интернет-банкинга и БАС происходят какие-то вполне законные операции, за IP-адресами он следить не обязан (то есть он может даже не фиксировать их, как и другую маршрутную информацию в составе СИ, и тем более не анализировать). Через какое-то время из банка начинают направляться запросы на документы, подтверждающие поставки оборудования, но, к сожалению, отвечать на эти запросы давно уже некому, а доверенные лица растворились на бескрайних российских и мировых просторах. В итоге на счетах в зарубежных банках оседают уже сотни миллионов долларов, однако реальные бенефициары остаются неизвестными, а руководство банка недоуменно пожимает плечами и объясняет следователям и Банку России, что никто не ожидал такого эффекта от дистанционного предоставления банковских услуг, и уж теперь-то ДБО лучше и не заниматься! Однако, немалые премиальные, по-видимому, получены…

ДБО через Интернет может использоваться и для подпольной банковской деятельности, при этом организуется имитация производственной, торговой и даже банковской деятельности, то есть в электронном трансфере фигурируют как реально существующие, так и не существующие бумажные» (или «пустые») банки. Одним из примеров является организация фиктивных поставок товаров и услуг за рубеж, за которые впоследствии взимается компенсация НДС, в том числе — в страны СНГ или бывшего СССР. При этом преступным сообществом организуется управляющий центр, в котором концентрируется большое количество идентификационных данных для обслуживаемых банками лиц и подставных фирм, якобы занятых упомянутой деятельностью, которая может продолжаться годами. Результаты ее оцениваются во многие десятки и сотни миллионов долларов, при этом в управляющем центре ведется свой бухгалтерский учет, а банкам, для того чтобы оказаться замешанными в таких операциях и потом — в числе подозреваемых, достаточно просто не обращать особого внимания на то, откуда ведется управление счетами, не анализировать СИ и не проверять реальное существование участвующих в имитируемой «деятельности» банков-контрагентов, предприятий, компаний, индивидуальных предпринимателей и т. д. Правда, в итоге может возникнуть необходимость каким-то образом оправдывать впоследствии перед контролирующими и правоохранительными органами свою невнимательность к тому, что происходит под видом ДБО, или халатность…

В большинстве известных примеров ППД, связанной с финансовыми хищениями и ОД, применяется централизованная схема управления счетами, хотя немало и вариантов с распределенным управлением ими в разных банках, которых объединяет наличие систем ДБО. Велико и количество ситуаций, в которых используются фальшивые ордера клиентов ДБО, в особенности юридических лиц, со счетов которых деньги уходят на счета физических лиц, упоминавшихся «дропперов» (или «дропов»), обналичивающих денежные средства. Несмотря на то что количество подобных случаев велико и ситуации такого рода продолжают множиться, ни у руководства, ни у персонала банков не возникает мыслей хотя бы убедиться в том, что десятки миллионов рублей со счетов тех или иных фирм совершенно законным образом перекачиваются в карманы физических лиц, якобы выполнявших некие дорогостоящие работы. Подобных своего рода «разведпризнаков» можно набрать немало, причем их целесообразно было бы не только использовать в процессе ФМ, но и «увязывать» с процессом УБР, что должно было бы отражаться и во внутрибанковских документах. В этом могла бы проявляться активность высшего руководства банков, заботящихся о своей репутации.

Для прикрытия мошенничеств в киберпространстве используются различные приемы, варьирующиеся от задействования, как отмечалось, так называемых анонимных или слепых прокси-серверов, которые позволяют скрывать истинное местоположение в мировой паутине злоумышленников, управляющих счетами, до сетевых атак типа Denial of Service (DoS) или наиболее опасных — типа Distributed DoS (DDoS), которыми блокируются вычислительные мощности кредитных организаций и (или) их провайдеров. В то же время наибольший ущерб (по совокупности похищенных средств — за последние несколько лет счет уже идет на миллиарды рублей) наносится клиентам кредитных организаций.

Подавляющее большинство мошенничеств в отношении клиентов ДБО — физических лиц основывается на различных методах так называемой социальной инженерии. Многие виды мошенничеств такого рода, широко распространявшиеся за последние 30 лет в Западной Европе и США, в российских условиях оказались непопулярными из-за исторических различий в развитии инфраструктуры и информационных технологий (скажем, атаки через центры обслуживания или внутриведомственные коммутаторы), вследствие чего здесь они не рассматриваются. Вместо этого весьма быстрое развитие получили способы реализации приемов «социального инжиниринга» на основе вариантов мобильного банкинга. В свою очередь, примерно 70–80 % из них ориентированы на обман владельцев карточных счетов. Ниже приведены отдельные примеры типичных попыток совершения мошенничеств на основе приемов такой разновидности социального инжиниринга (которые тем не менее нередко срабатывают):

• «Проверка персональных данных, перезвоните по указанному номеру телефона».

• «Ваша карта заблокирована, необходимо сообщить пин-код службе безопасности банка по телефону…»

• «Ваша карта заблокирована, необходимо связаться со службой безопасности по указанному номеру телефона».

• «Ваша карта заблокирована Центральным банком РФ, необходимо связаться со справочной службой по указанному номеру телефона».

• «Отдел безопасности: ваша карта заблокирована, для разблокировки необходимо сообщить ПИН-код».

• «Ваша карта заблокирована по инициативе банка, срочно оплатите долг 1000 рублей. Телефон…»

• «Операции по вашей банковской карте временно приостановлены, справка по указанному телефону».

• «Действие вашей карты приостановлено ввиду взлома ПИН-кода, перезвоните по указанному номеру телефона».

• «Была попытка взлома ПИН-кода, ваша карта заблокирована, срочно перезвоните по указанному номеру телефона».

• «Ваша карта заблокирована, для разблокировки необходимо подойти к ближайшему банкомату и выполнить следующие действия…»

• «Была попытка перевода денег с вашего счета, перезвоните по указанному номеру».

• «С вашей карты списано хх ххх рублей, перезвоните по указанному номеру».

• «С вашего счета произойдет списание на сумму хх ххх рублей, инфо по телефону…»

• «Ваша заявка на перевод в сумме хх ххх рублей принята, перезвоните по указанному номеру».

• «Подготовка перевода на сумму хх ххх рублей с вашего счета завершена, для справки позвоните по указанному номеру телефона».

• «Для подтверждения платежа по вашей карте в размере хх ххх рублей позвоните по указанному номеру телефона».

• «Вам звонят из банка ***, зайдите в интернет-банк и введите пароль…»

• «Вам звонят из банка***, зайдите в интернет-банк, введите пароль и нажмите кнопку “Отмена”».

• «Введите подтверждающие данные для входа в интернет-банк…»

• «Была попытка входа в ваш интернет-банк, для предотвращения мошенничества перезвоните по указанному номеру и приготовьте данные по карте».

Любой звонок обеспокоенного клиента по предлагаемому номеру телефона влечет за собой «уговоры» сообщить данные персональной идентификации удаленного клиента или заставить его «выдать» их другими способами. Как видно, в подавляющем большинстве случаев используется достаточно примитивный подход (из-за чего многие клиенты сразу обращаются в свой банк), при этом интересно отметить, что мошенники зачастую даже не затрудняют себя сменой номеров телефонов, с которых звонят клиентам банков (а на условиях анонимности владельца номера этого и не требуется). Используются десятки вариантов социального инжиниринга такого рода и, что интересно, находятся люди, неоднократно «попадающие» под одни и те же приемы и, как следствие, теряющие деньги более одного раза. Как говорится, «для компьютерных программ могут существовать “заплатки”, но от человеческой глупости их придумать невозможно». Все перечисленные выше подходы (равно как и многие другие) банкам нужно иметь в виду и «обучать» своих клиентов противодействию таким «социальным» атакам, к чему можно добавлять и выпуск специальных памяток, информирование через Интернет и т. д.

Более «тонкие» методы используют своего рода «настройки» на клиентов конкретных сервисов и могут характеризоваться довольно специфической предварительной подготовкой, обескураживающей атакуемого клиента или завлекающего его в ловушку, например:

• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о блокировке карты и крупной суммы на карточном счете в связи со «взломом ПИН-кода», после чего для разблокировки предлагается сообщить реквизиты карты, что тот и делает.

• Клиенту поступает сообщение «Вы выиграли ноутбук, позвоните в банк по указанному номеру телефона»; когда клиент (любитель халявы!) звонит по указанному номеру, ему предлагают дать номер карты и ввести заданный код для перевода средств с его счета, что зачастую и происходит.

• Клиенту поступает телефонный звонок с предложением якобы от сотрудника банка о возможности льготного кредитования на крупную сумму, после чего следует запрос о его идентификационных данных, номере банковской карты и т. п.

• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о необходимости «войти в интернет-банк» и ввести предлагаемый в коротком сообщении, пришедшем на его мобильный телефон, пароль в связи с тем, что надо отменить некую мошенническую операцию.

• Клиенту не удается инициировать сеанс ДБО, после чего ему поступает телефонный звонок с вопросом якобы от сотрудника банка о технических проблемах с ДБО и предложением ввода данных персональной идентификации в поля диалогового окна, которое выводится на экран его дисплея.

Можно было бы также привести десятки подобных примеров и данные о тысячах ежегодных целенаправленных атак на клиентов ДБО высокотехнологичных банков (и на сами банки с проникновениями в их сетевые структуры), при этом за счет низкой компьютерной грамотности клиентов и нередко безразличной позиции банков клиенты терпят убытки и потом предъявляют претензии тем же банкам. Ситуация может существенно осложниться, если «крот» заводится в самом банке или в организации-провайдере, через которую проходят «чувствительные» данные (о чем клиент обычно не знает, поскольку очень слабо представляет собой используемую ТЭБ и ИКБД).

Вместе с тем следует отметить нередко возникающую «солидарность» клиентов, которые, заподозрив, что в их отношении имеет место попытка совершения мошенничества, обращаются в так называемые колл-центры (или сервис-центры, горячие линии и т. п.) и сообщают о таких фактах, предлагая сотрудникам банка уведомлять других клиентов о подобных мошеннических приемах. Учитывая массовость случаев мошенничеств, можно было бы предположить, что колл-центры и службы безопасности банков, к которым за последние три года все чаще обращаются с подобной информацией клиенты ДБО, вполне могли бы разработать и критериальную базу для выявления попыток мошенничеств, и типовые схемы их предупреждения. В их число могли бы (должны бы!) входить и такие схемы, которые были бы направлены на оперативное пресечение очевидных «необдуманных» действий клиентов, которые они совершают по указаниям мошенников, представляющихся сотрудниками «их» банков. Вместе с тем следует отметить, что наилучшим способом противодействия социальному инжинирингу является все же осведомленность как клиентов, так и персонала банков.

Терминальное обслуживание с использованием пластиковых карт давно привлекло внимание криминальных сообществ, и в этом направлении тоже существует своего рода «технический прогресс». Все, вероятно, наслышаны о так называемом скимминге (skimming), однако люди продолжают попадаться даже на нехитрые приемы, и автору множество раз приходилось наблюдать за поведением людей, которые снимали деньги в банкоматах, но перед тем не проводили даже элементарного осмотра устройства, которым пользовались. Казалось бы, нетрудно осмотреть хотя бы «рабочую зону» с клавиатурой и провести пальцами под нависающей над клавиатурой панелью (или заглянуть под нее, да и просто оглядеться полезно), чтобы убедиться в отсутствии глазка миниатюрной видеокамеры, однако кредитные организации явно не учат своих клиентов мерам предосторожности при пользовании банкоматами. В результате известно множество случаев, когда на одни и те же банкоматы в течение суток неоднократно устанавливались и через некоторое время снимались скиммеры, «ворующие» данные персональной идентификации владельцев пластиковых карт, и продолжается это нередко длительное время.

Конечно, некоторые виды банкоматных мошенничеств постепенно уходят в прошлое, как, например, применение накладных клавиатур или использование так называемой ливанской петли (хотя отдельные случаи еще имеют место), но дополнением скимминга стал так называемый шимминг — технология, позволяющая считывать и передавать по радиоканалу данные с банковских карт. Считывающее устройство — плата (шиммер) вставляется в приемный слот (кардридер) с помощью пластиковой опоры, имеющей такие же размеры, как у обычной банковской карты. После его размещения пластиковая опора извлекается, вследствие чего при поверхностном осмотре терминала ничего подозрительного не видно, хотя в принципе подложку шиммера можно увидеть как очень тонкую полоску; иногда на терминале остаются царапины или следы клея, но многие ли клиенты обращают внимание на такие «мелочи»? Похищенные данные передаются преступнику, находящемуся в зоне распространения радиосигнала с приемно-записывающим устройством, поэтому он может не «дежурить» около «заряженного» объекта атаки.

Наконец, возможно, наиболее серьезной проблемой современности, которая связана со всеобщей компьютеризацией, стало шпионское программное обеспечение (SpyWare). Оно ориентировано на поиск и хищение персональной информации пользователей, начиная с их веб-серфинга и заканчивая паролями и банковскими счетами. В отсутствие должных мер обеспечения информационной безопасности персональная информация похищается незаметно для пользователя, даже если никаких внешних изменений в работе его компьютера может не быть (хотя отдельные признаки таких изменений иногда все же бывают заметны). Поэтому необходимо, в частности, объяснять клиентам ДБО, что не следует путать SpyWare с компьютерными вирусами. Программы антивирусной защиты не выявляют шпионские программы, поскольку это совершенно иной вид угроз, реализуемых через недостатки в системном программном обеспечении (например, операционных системах и т. п.) и организации взаимодействия с теми или иными сетевыми структурами. Типичная последовательность действий связана с «заражением» компьютеров неосторожных клиентов так называемыми троянами или программами-шпионами, подстановкой им веб-страниц или веб-сайтов-муляжей для хищения персональных данных и т. п. Таким образом, можно говорить об «эффективном» во многих случаях совмещении технологий сетевых атак, фишинга и фарминга, то есть о таких технологиях, о которых, судя по количеству и содержанию жалоб, большинство клиентов ДБО кредитных организаций пока еще не догадываются.

Дополнительным стимулом для быстрого расширения комбинированных атак через виртуальное пространство на клиентов ДБО кредитных организаций за последние два года стало повсеместное распространение смартфонов и компьютерных планшетов, оснащенных мобильными клиентскими компонентами ДБО. Открытость таких операционных систем, как Android, наряду со встроенными возможностями управления информационной безопасностью непосредственно клиентами-пользователями, сформировали дополнительную почву для компьютерных сетевых мошенничеств. Приемы здесь используются те же самые, что и в отношении клиентов интернет-банкинга, тем не менее клиенты охотно покупаются на обещания выигрышей или подарков, расставаясь с данными своей персональной идентификации, «впускают» в свои портативные устройства программы-трояны и другое SpyWare, вынуждая банки проводить все новые расследования и в ряде случаев компенсировать потери. Однако везет таким образом далеко не всем клиентам, так что суммарный счет потерь, связанных с этой частью киберпространства, тоже идет уже на сотни миллионов долларов (по данным СМИ).

Наблюдаемый в современном мире массовый характер мошенничеств такого рода должен был бы, по идее, подталкивать руководство банков к активизации разъяснительно-предупредительной работы с клиентами ДБО, что, естественно, затруднительно при массовом обслуживании, когда счет числа клиентов идет на сотни тысяч и миллионы. Тем не менее это представляется в любом случае желательным, если банки не намерены наращивать свои затраты на судебные издержки, компенсационные выплаты и вообще расходовать свои ресурсы на разбор конфликтных ситуаций с клиентами и контрагентами. В итоге данная проблематика оказывается тесно связанной с недостатками в организации и осуществлении договорной работы с клиентами ДБО и оформлении контрактов с провайдерами, от которых оказывается зависимой надежность банковской деятельности.

Впрочем, самих клиентов ДБО это беспокоит нечасто, потому что интерес к содержанию договорных документов на ДБО проявляет не более 25 % клиентов банков, о чем свидетельствуют опросы населения. В этом проявляется невысокая правовая культура и сохранившиеся до сих пор у значительной части населения надежды на «государство, которое всегда защитит», и эту ситуацию банкам следовало бы учитывать, детально разъясняя клиентам ДБО содержание подписываемых ими договорных документов и те гарантии, которые им предоставляются (или не предоставляются). Причем желательно также убеждаться в том, что клиент правильно понял содержание договора, особенно если в нем активно используется специальная терминология из математического аппарата теории кодирования.

Банк России давно уже обратил внимание на рассматриваемые проблемы и инициировал разработку целого ряда рекомендаций для кредитных организаций (законодательные ограничения не позволяют, к сожалению, разрабатывать нормативные правовые документы, ориентированные на повышение эффективности и надежности применения ИТ и организации ДБО), имея в виду в том числе их работу с клиентурой. В качестве некоторых примеров таких документов можно упомянуть следующие письма Банка России:

— от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;

— от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» (далее — 36-Т);

— от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;

— от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”»;

— от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания»;

— от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов» и т. п.

Все эти документы ориентированы на защиту интересов клиентов кредитных организаций и самих этих организаций от ППД в киберпространстве. К сожалению, не всеми этими организациями в должной мере уделяется внимание тем документам Банка России, которые не могут по своему статусу считаться нормативными. Да и «массовость» ДБО не позволяет в ряде случаев реализовать полноценный индивидуальный подход даже тем банкам, которые располагают крупными колл-центрами и большим количеством персонала в своих офисах. Впрочем, ситуация постепенно меняется в лучшую сторону, поскольку Банк России в последние годы проводит активную работу по повышению «финансовой грамотности» населения страны.

 

3.3. Организация противодействия противоправной деятельности в условиях применения технологий электронного банкинга

Изложенное выше теоретически должно было бы подталкивать руководство кредитных организаций к тому, чтобы при принятии решения о внедрении какой-либо системы ДБО предварительно изучать особенности конкретной ТЭБ и информационно-телекоммуникационных систем, которые ее реализуют (то есть формируемого ИКБД и его состава), с позиций определения возможностей адекватного сопровождения ордеров клиентов на выполнение транзакций, самих транзакций, их результатов (включая выявление сомнительных операций, мошенничеств, хищений конфиденциальной информации и определение выгодоприобретателей, а также попыток взлома компьютерных систем). К этому примыкает и анализ систем ДБО на уязвимость к тем или иным видам ППД со стороны его клиентов.

В связи с этим в упоминавшейся выше работе БКБН о консолидированном управлении рисками, связанными с невыполнением принципа ЗСК, дополнительный акцент сделан на контроле над транзакциями клиентов, которые могут иметь связанный характер. Пропагандируемый «групповой подход» имеет важное значение потому, что клиенты-злоумышленники могут действовать через разные каналы доступа к информационно-процессинговым ресурсам банка — разные СЭБ, филиалы, дополнительные офисы, а также объединяться в рамках хозяйственно-экономической деятельности (о чем говорится и в материалах ФАТФ). Поэтому в современных условиях целесообразно отслеживать также такие возможности, как дробление сумм переводимых финансовых средств (например, до неконтролируемых в связи с установленным пределом в 15 000 рублей), использование разных каналов ДБО (на основе комплексного анализа СИ и маршрутной информации в ее составе), сомнительные операции между счетами юридических и группы физических лиц, близкие по времени двунаправленные крупномасштабные переводы, которые могут свидетельствовать об откатах или использовании клиентов ДБО и их счетов в качестве так называемых мулов (то есть о задействовании их счетов в качестве транзитных для сокрытия целевых противоправных финансовых транзакций), работе межрегиональных преступных группировок и т. п.

Кроме того, кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться ненадежной именно с точки зрения своих клиентов или незаметно для себя вовлеченной в ППД (особенно в случаях массового ДБО) и при необходимости выявления в соответствии с законодательством операций, подлежащих обязательному контролю, как говорится, «на проходе» (то и другое связано с репутационным, правовым и даже стратегическим рисками), если ее руководство недостаточно осознает необходимость обеспечения соответствия деятельности «своей» организации теперь уже трем основным принципам:

1. Знай своего клиента.

2. Знай своего работника.

3. Знай свои технологии.

В последнее время на федеральном уровне усиливается акцент на борьбе с противоправной деятельностью в рамках ПОД/ФТ, что необходимо учитывать высокотехнологичным банкам, чтобы не оказаться незаметно для себя в числе нарушителей Закона № 115-ФЗ. Надежная политика и процедуры для реализации принципа ЗСК не только содействуют, как пропагандирует БКБН, общей безопасности и надежности банков, но также защищают целостность банковской системы за счет снижения вероятности превращения банков в транспорт для отмывания денег, финансирования терроризма и другой ППД.

Вследствие этого (в части противодействия возможной ППД) структуру управления кредитной организации целесообразно сформировать таким образом, чтобы как минимум были гарантированы:

Разделение обязанностей, то есть наличие средств, которые гарантировали бы, чтобы те, кто управляет активами, не отвечали за контроль над соответствующими действиями, целостность записей об этом и не были связаны с собственно осуществлением транзакций. Обычно для этого проверяются совместно идентификация, аутентификация и авторизация пользователей (независимо от того, о ком конкретно идет речь: клиентах, операторах, операционистах, администраторах и пр.). Речь идет о грамотном разделении функций управления и контроля, а их не всегда легко определить (как, к примеру, в случае разработки и эксплуатации ПИО в банках).

Компетентность и ответственность персонала, поскольку контроль будет эффективным, только если те, кто его осуществляют, будут иметь необходимую квалификацию и при этом еще будут честными. Это означает, что в современных условиях информатизации, обусловливающих наличие высокой степени риска, недостаточно просто назначить специалистов для исполнения обязанностей, но требуется понимать, что заложенные в автоматизированные системы средства контроля должны действовать именно так, как предполагалось (и к тому же их нельзя было «обойти»).

Должный уровень полномочий ввиду того, что как отмечалось выше, типичной ошибкой в управленческих структурах является чрезмерная концентрация полномочий. Полномочия должны распределяться исключительно в границах необходимости их наличия. Очевидно, это требует от тех должностных лиц, которые управляют распределением полномочий, понимания того, какие существуют уровни полномочий и какие из них требуются в каждом конкретном случае. Здесь также должно действовать ограничение типа «необходимо знать» (то есть не более, чем требуется).

Регистрируемость, которая означает требование наличия средств контроля для регистрации всех решений, транзакций и действий, которые позволят определить, кто, что, когда делал, с должным уровнем уверенности. Как правило, для этого используются специальные компьютерные журналы (файлы — так называемые системные логи и аудиторские трейлы). Само по себе поддержание таких компьютерных журналов ничего особенно не гарантирует, поскольку их наличие может создать в организации ложное чувство безопасности. Поэтому, для того чтобы такие записи оставались эффективными, они должны регулярно тщательно пересматриваться на предмет их адекватности с принятием необходимых корректирующих мер.

Наличие достаточных ресурсов, в число которых входят: персонал, финансирование, оборудование, материалы и методологии. Руководство часто недооценивает стоимость ресурсов, требуемых для осуществления контроля, особенно в условиях распределенных компьютерных систем и ДБО. Мало того, встречаются ситуации, когда руководство просто не понимает необходимости расходов на те или иные специфические аппаратно-программные решения и квалифицированный персонал, обусловленные требованием обеспечения надежности банковской деятельности.

Контроль и проверки, поскольку адекватный надзор соответствующего типа является фундаментальным фактором реализации надежного ВК. При этом он должен быть адекватным именно применяемым кредитной организацией технологиям и архитектурам вычислительных сетей и систем, и это целесообразно отражать в соответствующих распорядительных документах.

Начинать применять описанную идеологию целесообразно с адаптации процесса УБР в кредитной организации. В наиболее общем случае переход организации к применению какой-либо ТЭБ и внедрение реализующей ее автоматизированной системы логично было бы сопровождать (точнее, как отмечает БКБН, предварять) принятием руководством этой организации решений относительно:

— анализа состава источников новых компонентов банковских рисков;

— внесения изменений в описания типичных банковских рисков;

— содержания адаптации УБР;

— модернизации внутрибанковских процессов, связанной с адаптацией УБР;

— выпуска новых редакций соответствующих внутрибанковских документов.

Организация процесса УБР в высокотехнологичной кредитной организации может быть оценена как пруденциальная, только если его реализация заложена во всей системе управления рисками в ней, к которой следует относить целый ряд ее структурных подразделений (а не только то подразделение, которое непосредственно должно, как говорится, «управлять рисками»). Такое управление целесообразно осуществлять обоснованно (в документах), согласованно, последовательно и контролируемо (со стороны высшего руководства банка) в отношении:

— общей методологии управления рисками, включая анализ формулировок банковских рисков на предмет адекватности изменяющимся способам и условиям банковской деятельности, определяемым конкретными ТЭБ и СЭБ;

— следующих из нее административных, технологических и организационно-технических решений;

— внутрибанковских распорядительных документов, отражающих решения такого рода;

— выработки и внедрения новых управленческих и контрольных функций, что обусловлено спецификой внедряемой ТЭБ;

— положений о структурных подразделениях организации и должностных инструкций менеджеров и исполнителей.

В определении, внедрении и эффективном контроле над выполнением таких новых функций и состоит процесс адекватной адаптации деятельности кредитной организации к условиям применения ТЭБ. По существу, необходим именно стратегический подход к управлению банковскими рисками, которые содержат компоненты, обусловленные угрозами возможного осуществления ППД, то есть к воздействию на источники этих компонентов. В совокупности требуется адаптация корпоративного управления в части управления рисками банковской деятельности при ДБО, политики ее информатизации, ОИБ, ВК, ФМ, правового обеспечения, отношений с провайдерами, претензионной работы, функций колл-центров и т. д.

Говоря о процессе управления информационными технологиями (УНТ), целесообразно обращать внимание на то, что время от времени в связи с развитием бизнеса, внедрением ДБО и новых сервисов для клиентов банков, да и просто с обновлением АПО возникает необходимость в его замене. Такие процедуры должны осуществляться обоснованно и контролируемо, чтобы не происходило прерывания деловой активности и прежде всего — выполнения обязательств кредитной организации перед своими клиентами. В части предотвращения ППД это означает, что в процессе замены АПО не должно возникать новых возможностей для НСД, несанкционированной или непроверенной замены отдельных его компонентов, злонамеренного вмешательства в этот процесс и т. д. Целью таких мероприятий является обеспечение гарантий контролируемости структуры и уровней банковских рисков. Это означает, что все изменения:

— обоснованны;

— санкционированы;

— сделаны;

— учтены (документированы);

— экономически эффективны,

а также то, что сделаны только санкционированные изменения.

Указанный контроль требует скоординированных усилий руководства, менеджеров среднего звена, ИТ-персонала, специалистов по ИТ, ОИБ, ВК, ФМ и аудиторов информационных систем. Фактически речь должна идти о гарантированной безопасности БАС и СЭБ, а также протекающих в них процессов и проходящих сквозь них информационных потоков.

Вместе с тем следует помнить, что до настоящего времени идеальных способов и средств ОИБ в сетевых структурах не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, а мастерство тех, кто защищает банк и его клиентов от реализации компонентов рисков, связанных с инцидентами информационной безопасности, как раз и заключается в том, чтобы в совокупности «охватить» максимально возможное количество зон источников компонентов банковских рисков такими средствами защиты, недостатки которых не совпадают. Обычно в литературе пропагандируется принцип так называемой эшелонированной обороны, который реализуется как за счет полноты документарного ОИБ и «Политики обеспечения информационной безопасности», так и, например, за счет применения брандмауэров и других средств сетевой защиты различных видов, возможно, разных производителей или основанных на различных аппаратно-программных платформах. При этом желательно и разделение обязанностей по их настройке, использованию и контролю. В то же время целесообразно помнить о том, что хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки способны обнаруживать. Поэтому после них целесообразно устанавливать компоненты IPDS (Intrusion Protection and Detection System — система предотвращения и обнаружения проникновений).

Сетевая защита и грамотный выбор протоколов для передачи чувствительной информации являются основой ОИБ, особенно в структурах распределенных вычислительных сетей (муниципальных и зональных). Прослушивание сетевого трафика или перехват передаваемой по вычислительным сетям информации может раскрыть более чем достаточно сведений для хакера (прежде всего, инсайдера), стремящегося к получению прав и полномочий наиболее высокого уровня, обеспечивающих бесконтрольный доступ к информационным активам. Такие атаки являются пассивными, вследствие чего их труднее обнаружить, поэтому необходимо применять средства обнаружения «прослушки» в вычислительных сетях. Вместе с тем целесообразно учитывать желательность разнообразия средств не только пассивной, но и активной защиты. Если, например, злоумышленники способны использовать специальные программы-»вынюхиватели» для перехвата, допустим, идентификационных кодовых последовательностей в сетевом трафике, то и в качестве средств сетевой защиты уместно применять программы, позволяющие обнаружить и идентифицировать таких «вынюхивателей». То есть речь здесь идет об известном принципе, который можно было бы переформулировать так: «чтобы поймать хакера, нужен хакер». Это относится и к выявлению источников сетевых атак через Интернет, в данном случае — на банковские автоматизированные системы, о чем желательно иметь представление сотрудникам кредитной организации, отвечающим за ОИБ, поскольку многие зловредные действия в киберпространстве стали в последнее время уголовно наказуемыми, и все больше становится специалистов, занятых в том числе проведением расследований в Сети. Впрочем, как и тех, кто занимается ППД «профессионально», о чем тоже не следует забывать.

Уместно также помнить о том, что защиту лучше строить не как «реактивную», а как «проактивную». Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого в том числе строится эффективная система ОИБ, определяются методы и средства защиты данных и операций. Кроме того, для управления средствами сетевой защиты и IPDS лучше организовывать в банке обособленную хорошо защищенную сетевую структуру, доступную для использования исключительно тем сотрудникам, которые отвечают за ОИБ. Иногда применяются специальные сетевые решения, которые позволяют вообще скрыть наличие IPDS от потенциального атакующего злоумышленника, для того чтобы на них нельзя было осуществить превентивную атаку для нанесения последующего ущерба организации. Для этого требуется создание отдельной сети управления комплексом IPDS, что может оказаться чрезмерно затратным и создавать неудобства для администраторов, управляющих этими системами, однако может стать и неизбежным. Если же такое решение принимается, то дальнейшее повышение безопасности самих IPDS может быть связано с организацией для них специальной виртуальной частной сети (VPN — Virtual Private Network), через которую будут реализоваться соответствующие функции управления и контроля и которая сама должна быть гарантировано защищена.

Поскольку в современном мире, в том числе в банковской сфере, все шире применяются подходы, связанные с аутсорсингом и распределенной обработкой данных, важнейшей задачей является обеспечение гарантий прозрачности ДБО как для высокотехнологичного банка, так и для его клиентов, ориентированных на внеофисное обслуживание (особенно в случае использования информационных технологий и автоматизированных систем, прежде всего СЭБ, предоставляемых провайдерами). В тех случаях, когда заведомо существует неопределенность в процедурах формирования, приема/передачи, хранения данных (в том числе в силу ограничений на доступ к технологиям, устанавливаемых провайдерами), от непрозрачных схем ИКБД предпочтительнее отказываться. В российских условиях принятая во многих зарубежных странах практика обязательного знакомства кредитных организаций с технологиями и автоматизированными системами, которые используются ими на условиях аутсорсинга, пока не закреплена. Это, в свою очередь, приводит к тому, что в случаях хищения конфиденциальных клиентских данных и (или) финансовых средств, равно как и сетевых или хакерских атак на банки и их клиентов возникает неопределенность ответственности, которую практически невозможно разрешить. Несовершенство российского финансового и, в частности, банковского законодательства только способствует возникновению подобных ситуаций, а значит, поиски выхода из них остаются прерогативой самих кредитных организаций, предлагающих ДБО.

Одним из дополнительных, но весьма существенных факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых российскими банками, является отсутствие достаточного внимания к содержанию взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом финансовая организация должна иметь полное представление о таких характеристиках своих провайдеров:

— лицензионные данные;

— история, опыт и отзывы о деятельности;

— состав ИТ и АПО;

— организация ОИБ;

— квалификация ключевого персонала;

— средства обеспечения непрерывности функционирования;

— содержание планов на случай чрезвычайных обстоятельств;

— организация ВК;

— финансовое состояние;

— наличие и содержание субконтрактов на аутсорсинг;

— результаты аудиторских проверок.

Данный перечень соответствует минимальным требованиям такого рода, но относится ко всем видам технологического аутсорсинга.

Тем самым обеспечивается прозрачность ИКБД для банка и, во многом, технологическая надежность ДБО. Очевидно, что правильная организация работы с провайдерами прямо зависит от понимания значимости данной проблематики руководством банков. Можно, кстати, отметить, что на это обращается внимание многими зарубежными органами банковского надзора, к примеру, в одном из руководств Федеральной корпорации страхования депозитов США, посвященном оцениванию банковских рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».

Поскольку, как отмечалось ранее, компьютерные системы провайдеров могут использоваться в качестве промежуточных «усилителей» для атак на банки, их специалистам целесообразно время от времени проводить работу по изучению состояния дел с ОИБ у провайдеров (как минимум ежегодно, в соответствии с рекомендациями БКБН). Кроме того, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем непосредственно зависит и технологическая надежность обслуживаемого банка, одновременно знакомя их с обязательствами данного банка перед клиентами и теми гарантиями, которые сам банк им обязуется обеспечить. Таким образом, желательно было бы убеждаться также и в том, что специалисты провайдера осведомлены о возможных инцидентах информационной безопасности, сетевых атаках и т. п.

и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.

В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4.

Рис. 3.4. Программа защиты активов и программа предотвращения мошенничества, а также их компоненты

По аналогии с «Политикой обеспечения информационной безопасности» в таком документе следует предусмотреть совокупность мероприятий, выполнение которых позволит существенно снизить количество угроз, реализуемых в целях любой ППД. Вследствие этого неизбежна тесная связь мероприятий по ОИБ, формирующих периметр безопасности кредитной организации в киберпространстве, с мерами противодействия возможному противоправному использованию технологий ДБО. Следует отметить, что в данном случае типичный акцент на работу службы безопасности банка не оправдан — процесс эффективного возможной ППД неизбежно является комплексным!

На изучение ситуации с противодействием компьютерным мошенничествам в отношении высокотехнологичных банков и их клиентов было ориентировано Письмо Банка России от 25.02.2013 № 27-Т «О запросе и получении от кредитных организаций информации», в котором содержалась анкета по тематике организации противодействия возможной противоправной деятельности с использованием информационных технологий, в том числе интернет-технологий и других технологий ДБО. К сожалению, указанная анкета имела достаточно общий характер и поэтому может служить преимущественно в качестве принципиального ориентира для банков на те подходы, которым целесообразно было бы следовать при организации противодействия возможной ППД. Как видно из содержания входящих в анкету вопросов, основное внимание целесообразно уделять как раз перечисленным выше внутрибанковским процессам: УИТ, ОИБ, ВК, ФМ, правового обеспечения и претензионной работе.

Темпы развития все новых ИТ и способов их противоправного использования приводят к серьезным проблемам для тех, кто обязан воспрепятствовать осуществлению компьютерных преступлений и проводить компьютерные же расследования, чтобы оставаться, так сказать, «на уровне» развития информационных технологий и тем более предупреждать разрушительную деятельность «плохих парней» (как говорят в США). Вследствие этого весьма желательно оценивать новые технологии с позиций возможного их применения для сокрытия ППД, обхода мероприятий по ОИБ, ВК, ФМ и маскировки действий или маскирования личности злоумышленников. В этом плане крайне важны грамотное распределение функциональных ролей в управленческой иерархии кредитной организации и контроль над ними.

В зарубежной литературе, посвященной тематике киберправосудия, считается, что в организациях знаниями о его законодательной основе и основных принципах осуществления следует обладать:

— членам советов директоров;

— главным бухгалтерам (Chief Financial Officers);

— операционным директорам (Chief Operational Officers);

— руководителям, ответственным за информационные технологии;

— руководителям обеспечения информационной безопасности;

— руководителям службы внутреннего контроля (аудита);

— директорам кадровых служб;

— менеджерам, ответственным за непрерывность бизнеса;

— менеджерам, ответственным за реагирование на инциденты.

Данный перечень не является исчерпывающим, но скорее изначальным. Отмечается, что круг лиц, от которых потребуется наличие знаний такого рода, с течением времени будет неизбежно расширяться за счет охвата второго и третьего уровней управленческой иерархии (при усложнении компьютерных систем организации).

Грамотное осуществление ВК и ФМ в условиях применения ТЭБ стало принципиально важным за последние десять лет, но, к сожалению, это не всегда в должной степени осознается руководством высокотехнологичных кредитных организаций. Как всегда подчеркивает в своих работах БКБН, «банкам необходимо располагать средствами внутреннего контроля, адекватными характеру, видам и масштабам их деятельности. Цель использования средств ВК заключается в содействии обеспечению руководством гарантий упорядоченного и эффективного ведения бизнеса, включая приверженность политике управления, защищенность активов, предотвращение и обнаружение мошенничества и ошибок, точности и полноты записей в бухгалтерском учете, а также своевременной подготовки достоверной финансовой отчетности. Разработка специализированных компьютеризованных информационных систем существенно улучшила возможности для осуществления контроля, однако, в свою очередь, привнесла дополнительные риски, связанные с возможностью отказов компьютерной техники или ее мошеннического использования». Упоминание новых рисков не совсем уместно, поскольку на самом деле речь следовало бы вести об усложнении их структуры (появлении новых компонентов рисков), но ключевое слово здесь — «адекватный», и это совершенно верный акцент.

В условиях новых ИКБД, создаваемых любой ТЭБ, требования к осуществлению ВК неизбежно повышаются, и сама эта работа становится пропорционально более сложной, требующей дополнительной и достаточно высокой квалификации, позволяющей «проникать» в не раз упоминавшееся в данной главе киберпространство и контролировать протекающие в нем процессы. Нельзя при этом забывать о том, что пространство это простирается от устройств, которыми пользуются клиенты, через телекоммуникационные системы, СЭБ и вычислительные сети до той или иной БАС кредитной организации, реализующей ее так называемый бэк-офис. Именно в нем и реализуется наибольшее количество компонентов таких банковских рисков, как операционный, неплатежеспособности, репутационный и, отчасти, стратегический, чему как раз и должен воспрепятствовать ВК. Отсюда можно сделать вывод, какими знаниями и квалификацией необходимо обладать специалистам службы ВК.

Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:

— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;

— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;

— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;

— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,

или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного. Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.

В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.

Рис. 3.5. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления ВК

Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.

В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем. При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода. Можно отметить, что на рынке программно-информационных продуктов, предлагаемых банкам, уже появилась целая линейка средств обнаружения и предотвращения противоправной деятельности (модули, называемые «антифрод», «антидроп» и им подобные).

В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:

— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;

— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;

— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;

— политика подбора надежного персонала;

— порядок ограничения использования мобильных носителей информации;

— порядок сбора информации о совершении компьютерных мошенничеств;

— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;

— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;

— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;

— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;

— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);

— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;

— порядок ведения, использования и защиты компьютерных журналов;

— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);

— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;

— порядок ведения претензионной работы с удаленными клиентами;

— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;

— порядок мониторинга профилей операционной деятельности клиентов;

— порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;

— порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.

Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.

Суммируя сказанное выше касательно технических мероприятий, необходимо также:

— разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;

— применение средств обнаружения сетевого мониторинга (sniffing’a);

— применение межсетевых экранов при соединении сегментов сетей;

— применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;

— применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;

— проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;

— ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;

— ведение системных журналов регистрации доступа клиентов банка — пользователей СЭБ к информационно-процессинговым ресурсам этих систем;

— проведение проверок отсутствия возможностей использования на функциональных автоматизированных рабочих местах устройств дистанционного доступа (точки доступа беспроводных сетей, модемы и др.);

— осуществление обязательного контроля над установкой и модификацией программных средств в банке и т. д.

В целом уместно было бы поддерживать также адекватный «арсенал» средств для проведения непосредственно в кредитной организации криминалистической компьютерной экспертизы, имея в виду технические средства и приемы, так как формирование в ее структуре полноценного следственного подразделения вряд ли экономически целесообразно — важно как минимум располагать средствами для фиксации улик и свидетельств внутрисистемного аудита. Поскольку преступники меняют тактику, необходимо понимать их действия и знать, чем именно мошеннические действия отличаются от типовых действий и привычек обычных клиентов. В общем случае, как уже отмечалось ранее, для того чтобы поймать преступника, уместно думать так же, как преступник, при этом руководству кредитной организации следует учитывать, что наилучший подход для осознания угроз ее информационным системам состоит в их оценивании с точки зрения злоумышленника, который к тому же будет стараться скрыть следы своих действий. Итак, при организации противодействия ППД целесообразно реализовать следующие этапы:

— определение в соответствии с установленным порядком причины проведения расследования или соответствующее обоснование;

— определение того, насколько реально проведение эффективного расследования или доведение его до логического завершения;

— определение состава и сбор свидетельств, их сохранение, оформление и систематизация;

— комплексный анализ свидетельств и составление перечней свидетелей, объектов и процедур, относящихся к расследованию;

— подготовка отчета о результатах проведенного расследования и, при необходимости, представление его следственным органам.

Соответствующий набор методов, алгоритмов и средств их реализации целесообразно продумывать для каждой внедряемой ТЭБ (и даже ее однородных вариантов!), так как в противном случае противодействие возможной ППД окажется неэффективным. Излишне говорить о крайней желательности документарного оформления перечисленных мероприятий и такого же «циклического» пересмотра содержания этих документов, порядков, процедур, аналогичных инструкций на предмет актуальности и адекватности реальной ситуации в банке, наращивающем свои «технологические мускулы».

 

3.4. Особенности организации претензионной работы при применении технологий электронного банкинга

Наряду с изложенным в предыдущих подразделах, весьма важным для банков, переходящих к ДБО, становится внедрение эффективной политики осуществления претензионной работы в отношении клиентов, взаимодействующих с банками дистанционно, а также обеспечение гарантий защиты их интересов. При этом в общем случае необходимо учитывать, что применение разнородных ТЭБ заведомо приводит к различию и в процедурах разрешения конфликтных ситуаций, и в порядке и правилах реализации киберправосудия, и в составе информации, которую, возможно, при необходимости потребуется предоставлять правоохранительным органам и которая, не исключено, будет фигурировать и в ходе последующих судебных разбирательств (имея в виду все варианты ППД). С учетом сказанного выше, руководству банков следует чрезвычайно внимательно относиться к качеству договорных документов с клиентами, включая в их текст детальные описания состава упоминавшейся в подразделе 3.1 доказательной базы и обеспечения ее юридической силы, которые одновременно будут понятны клиентам ДБО и не вызовут разночтений в случаях предъявления судебных исков.

Это же относится к описанию процедур, реализуемых так называемыми конфликтными комиссиями, требований к их составу и квалификации соответствующих специалистов, равно как и определению того, какую юридическую силу будут иметь экспертные заключения такой комиссии в случае, если дело дойдет до судебного разбирательства. Такую же информацию целесообразно отражать и в текстах договоров на ДБО (контрактов, дополнительных соглашений к договору банковского счета и т. п.), а также убеждаться в том, что каждый клиент ДБО ознакомлен с перечисленными видами информации, ответственно подписывает содержащий ее правоустанавливающий документ и подтверждает согласие на использование соответствующих порядков и правил в случаях, когда возникает необходимость в разрешении конкретных — зафиксированных документально — спорных (конфликтных) ситуаций, в том числе при возникновении угроз возбуждения судебных исков.

Разрешение «цифровых» аспектов многих современных преступлений требует участия опытных специалистов по криминалистической экспертизе, владеющих необходимыми навыками сбора и анализа улик, содержащихся в компьютерах, а в настоящее время такие аспекты содержатся почти в каждом преступлении, связанном с хищением финансовых средств или конфиденциальной информации, равно как и расследованием инцидентов ПОД/ФТ в целом. В компьютерах разного рода, мобильных телефонах, коммуникаторах, PDA, компьютерных планшетах и других электронных устройствах часто хранится информация, которая может оказаться полезной для хода расследования (равно как и в сообщениях электронной почты). Специалисты, первыми прибывающие на место преступления (а затем и следователи), должны уметь распознавать потенциальные «цифровые» улики и знать, как сохранить их для анализа экспертов.

Состав таких улик в зависимости от конкретных применяемых ТЭБ варьируется, что прямо сказывается как на формировании подмножеств данных, используемых в составе СИ, так и на видах сведений, предоставляемых тем, кто расследует те или иные компьютерные преступления, совершаемые в банковском секторе (инсайдерами банков, крэкерами в отношении банков или хакерами в отношении клиентов ДБО и пр.). К сожалению, до настоящего времени для российской финансовой сферы не разработаны какие-либо нормативные правовые акты, которые хотя бы в общих чертах регламентировали бы организацию специализированных внутрибанковских процедур, ориентированных на предупреждение и обеспечение расследования возможной ППД. Поэтому с формальной точки зрения банки, к сожалению, не обязаны именно пруденциальным образом организовывать и контролировать действия своих удаленных клиентов и провайдеров (входящих в каждый конкретный ИКБД) в связи с теми или иными сомнительными ситуациями (которые впоследствии могут привести как к финансовым, так и к правовым проблемам). Ниже приведен ориентировочный (и заведомо неполный, хотя вполне пригодный для использования) перечень процедур такого рода:

— осуществление многофакторной идентификации клиентов ДБО (включая отслеживание их перемещений);

— сопоставление IP-адресов, с которых поступают ордера клиентов;

— обоснованное блокирование счетов подозрительных клиентов;

— предупреждение и парирование возможных ошибок клиентов, — оперативное реагирование на противоречивые ситуации с клиентами ДБО;

— разработку инструкций для операторов колл-центра с описанием вариантов мошенничеств и оперативного реагирования на них;

— определение в договорах с клиентами ДБО мер безопасности;

— определение в контрактах с провайдерами условий аутсорсинга;

— изучение информационных технологий, используемых провайдерами;

— проверку технологической надежности и безопасности провайдеров;

— использование процедур аутентификации различных информационных сообщений (включая ордера клиентов, сеансовые пароли и пр.);

— принятие конкретных мер по предотвращению мошенничеств, а также установлению ограничений на действия клиентов ДБО;

— определение возможностей обнаружения программ-шпионов, программ-вирусов и другого вредоносного программного обеспечения;

— принятие конкретных мер по обеспечению доступности, функциональности и информационной безопасности ДБО;

— сопоставление номеров телефонов, с которых к клиентам обращаются якобы сотрудники банка или Банка России;

— информирование правоохранительных органов о подозрительных номерах телефонов, с которых клиентам звонят злоумышленники;

— информирование клиентов ДБО о системах провайдеров и их функциях (как минимум связанных с передачей чувствительных данных);

— угрозах, связанных со «странными» телефонными звонками, сообщениями о поступлении MMS, интернет-сообщениями неясного происхождения.

Тем не менее каждое из подобных мероприятий прямо связано с обеспечением гарантий выполнения кредитными организациями обязательств перед своими клиентами и защитой их интересов. Некоторое содействие в плане сохранения СИ в связи с принятием Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» могут оказать отдельные выпущенные «под него» подзаконные акты Банка России, например, Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Однако указанный закон, к сожалению, тоже страдает неполнотой с точки зрения защиты интересов клиентов кредитных организаций, в частности клиентов ДБО.

К претензионной работе имеют отношение многие современные негативные явления, связанные с прямыми и косвенными атаками на клиентов ДБО кредитных организаций, о чем, вообще говоря, целесообразно было бы ставить в известность таких клиентов. Например, в Письме Банка России от 25.06.2009 № 76-Т «О рекомендациях по информированию клиентов о размещении на веб-сайте Банка России списка адресов веб-сайтов кредитных организаций» сообщалось о «появлении в российском сегменте сети Интернет веб-сайтов, имитирующих интернет-представительства ряда российских кредитных организаций. Доменные имена и стиль оформления таких сайтов, как правило, сходны с именами подлинных веб-сайтов банков, а содержание прямо указывает на их якобы принадлежность соответствующим кредитным организациям. При этом посетителям таких веб-сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация. Использование подобных реквизитов, а также вступление в какие-либо деловые отношения с лицами, фактически представляющими “ложные” банки, связано с риском и может привести к нежелательным последствиям для клиентов кредитных организаций». В связи с этим «в целях противодействия распространению подобных негативных явлений Банк России, начиная с 11.06.2009, приступил к регулярному размещению на своем веб-сайте… списка адресов (доменных имен) официальных веб-сайтов кредитных организаций».

Одновременно отмечалось, что «Банк России считает целесообразным рекомендовать кредитным организациям предупреждать клиентов о распространении в сети Интернет недостоверной информации об интернет-ресурсах кредитных организаций, а также информировать их о размещении списка адресов официальных веб-сайтов кредитных организаций на веб-сайте Банка России. Кредитным организациям рекомендуется подготовить и распространить среди клиентов памятку, содержащую исчерпывающую контактную информацию, рекомендации по безопасному использованию банковских интернет-технологий, а также предложения клиентам информировать кредитную организацию о самостоятельно выявленных ложных веб-сайтах банка или о полученных сведениях подобного рода по электронной почте или иным способом. При наличии в распоряжении кредитной организации сведений об установленных ложных веб-сайтах, списки их адресов также целесообразно доводить до клиентов, в том числе путем публикации на официальных интернет-представительствах кредитной организации».

К сожалению, из-за недостатков действующего законодательства Банк России не имеет возможности полноценного регулирования всех процедур организации, управления и контроля ДБО, а также обеспечения его надежности (в широком смысле), вследствие чего кредитные организации вынуждены решать многие из таких вопросов самостоятельно, почему в упоминавшемся Письме Банка России 36-Т и содержится достаточно обширный 5-й раздел, где описываются информационные компоненты, которые целесообразно использовать руководству этих организаций при принятии бизнес-решений в области ДБО. Указанные там информационные компоненты охватывают широкий круг вопросов от управления банковскими рисками в связи с применением ТЭБ и технического обеспечения ДБО до сведений о негативных ситуациях, имевших место при использовании СЭБ (по пяти направлениям информирования). Поэтому 5-й раздел Письма Банка России 36-Т уместно использовать в качестве информационной основы для принятия указанных решений.

Наиболее современный подход к аналитической работе в кредитных организациях связывается с применением технологий так называемых систем поддержки принятия решений (СППР), в которых по существу реализуются элементы так называемого искусственного интеллекта. Это направление идеологически и алгоритмически сходно с другим его направлением — «экспертными системами», давно используемыми в банковских секторах западных стран в аналитических целях (как центральными банками, так и банковским сообществом). Экспертные системы применяются в аналитических целях для поиска решений, требующих комплексного когнитивного анализа информации (например, об уровнях банковских рисков, в целях комплайенс-контроля и др.). Такие системы позволяют использовать обширные информационные базы фактов, так называемые базы знаний и механизмы логического вывода, с помощью которых обеспечивается некий минимальный уровень экспертизы, который в условиях крупномасштабной и многогранной банковской деятельности обеспечить затруднительно в силу сложностей с аналитической обработкой огромных массивов данных, особенно разрозненных. В качестве примеров можно привести функции любого колл-центра и службы поддержки клиентов крупной кредитной организации, формирование, сохранение и аналитическое применение так называемых паттернов (шаблонов, образов) действий клиентов и мошенников (благо для финансового сектора существует уже немало таких разработок, предлагаемых на различных форумах, в том числе банковских). Комплексный анализ такого рода имеет непосредственное отношение к исключению возможностей осуществления и предотвращению ППД, которая далеко не исключена при ДБО, и расследованию ее инцидентов.

СППР обычно комбинируются с хранилищами данных, то есть базы данных используются для принятия фундаментальных бизнес-решений, в том числе за счет так называемого глубокого комплексного анализа данных (что в зарубежной литературе определяется как data-mining). В таких случаях весьма важно, чтобы руководство кредитной организации могло полагаться на точность, полноту, целостность, конфиденциальность и актуальность этих систем, тем более что в условиях массового обслуживания и лавинообразного роста количества ордеров удаленных клиентов СППР (или сходная с ней экспертная система, обеспечивающая минимально необходимый уровень квалификации для принятия решений) может оказаться незаменимым вариантом информационно-аналитической работы персонала и руководства высокотехнологичного банка, в том числе в плане УНТ, управления и контроля функционирования СЭБ. Для полноценной работы СППР требуется полноценное сохранение сведений о поступающих в обработку ордерах клиентов, направляемых в банк в ходе сеансов ДБО, в течение каждого сеанса такого обслуживания каждого клиента с момента начала сеанса и до момента завершения (прерывания) сеанса ДБО. Одновременно необходимо отметить, что банкам целесообразно организовывать комплексный анализ самих ордеров клиентов, в котором используются и данные СИ, поскольку в случае использования многоканальных СЭБ, в особенности с децентрализованной (или распределенной) архитектурой, возможны ситуации пропуска противоправных (или сомнительных) действий клиентов через разные каналы доступа к информационно-процессинговым ресурсам банка, через разные филиалы, дополнительные офисы и т. п.

В завершение настоящего раздела необходимо отметить, что в условиях полностью компьютеризованной современной банковской деятельности и в том числе ДБО руководству высокотехнологичных банков целесообразно было бы формировать в их структуре специальные подразделения (лучше — действующие на постоянной основе), в которые входили бы специалисты с подготовкой по ИТ, ОИБ, экономической безопасности, ФМ, ВК, УБР, правовому обеспечению и, возможно, с другими видами квалификации. Тремя основными задачами таких подразделений можно было бы считать:

1) организацию противодействия возможной ППД в киберпространстве банковской деятельности (включая ЛВС банка);

2) обеспечение проведения расследований инцидентов, связанных с такой деятельностью (отмывание денег, мошенничества, хищение информации);

3) взаимодействие с правоохранительными органами в ходе и по результатам таких расследований (если речь идет об уголовном преследовании).

В самом банке целесообразно организовать специальное взаимодействие между структурными подразделениями, которые имеют прямое отношение к рассмотренной проблематике, что может быть сделано по аналогии с рассмотренным выше взаимодействием в части обеспечения и реализации ВК (рис. 3.6).

Рис. 3.6. Взаимодействие структурных подразделений кредитной организации в рамках противодействия ППД

Приведенная на рисунке 3.6 схема не является исчерпывающей и может быть расширена в зависимости от структуры конкретной кредитной организации, видов и масштабов ее деятельности, типов/вариантов ДБО и СЭБ и т. д. Требуемые дополнительные функции указанных подразделений, равно как и детали информационного взаимодействия между ними, вполне очевидны из вышеизложенного и поэтому здесь не комментируются. Описанное взаимодействие целесообразно отразить в соответствующих распорядительных документах и порядках кредитной организации, а также закрепить в положениях об этих подразделениях и в должностных инструкциях их сотрудников.

Обоснованность, полноту, качество реализации и контролируемость соответствующих функций с течением времени целесообразно проверять, в том числе исходя из оценивания их адекватности тем новым способам и условиям банковской деятельности, которые привносят вместе с собой новые технологии и системы ДБО. В документах БКБН вообще рекомендуется регулярно (ежегодно) оценивать реализацию основных внутрибанковских процессов (управления, контроля, документарного обеспечения, применения ИТ, ОИБ, ВК,ФМ, УБР, взаимодействия с провайдерами и др.) с точки зрения их адекватности способам и условиям банковской деятельности и при необходимости осуществлять их адаптацию, если становятся очевидными какие-либо недостатки в их содержании и организации. Это целесообразно делать с учетом развития банковского бизнеса, внедрения новых сервисов и реализующих их автоматизированных систем и систем электронного банкинга, а также расширяющегося ИКБД. Тем самым может быть сформирована полноценная основа, как информационная, так и операционная, для осуществления эффективной претензионной работы с клиентами ДБО, ориентированной прежде всего на защиту их законных интересов.

Наконец, необходимо помнить о том, что любая методология анализа банковских рисков с течением времени устаревает. Точно так же устаревают и те или иные приемы противодействия ППД, мало того, приходится разрабатывать новые подходы к такому противодействию с учетом постоянно развивающихся технологий и появления новых вариантов предоставления банковских сервисов, особенно в рамках мобильного банкинга, который, не исключено, постепенно вытеснит развитые в настоящее время способы ДБО. В постоянном обновлении банковских технологий, целенаправленном повышении надежности реализующих их автоматизированных систем и совершенствовании противодействия ППД заключается залог надежности современной и перспективной банковской деятельности.