Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
Регулирующие органы рекомендуют банкам эффективнее использовать все ресурсы для выявления сомнительных операций, направленных на отмывание денег. Меры по предотвращению отмывания денег предпринимаются банками не только в соответствии с требованиями законодательства, но и в собственных интересах [97, c. 32].
В рамках проведения процедур идентификации клиентов кредитным организациям следует:
– разработать и внедрить комплексные процедуры, связанные с открытием счетов, установлением кредитных и других деловых взаимоотношений, а также совершением операций с лицами, не имеющими счетов;
– иметь данные о действительной личности клиента, пользующегося услугами банка, в том числе о подлинном владельце счета, открытого на другое имя;
– подвергать проверке данные, удостоверяющие личность, во избежание открытия счетов фиктивным пользователям;
– располагать данными о роде занятий или профессиональной деятельности клиента, об источниках его доходов, состояния или активов, а также о конкретном источнике денежных средств, вовлеченных в совершаемые через банк операции;
– знать цель, с которой открывается счет, и иметь представление о типах операций, в которые обычно вовлечен данный клиент. При открытии счета сотрудники банка должны понимать, нужно ли отнести клиента к категории высокого риска, требующей повышенного внимания.
В рамках выполнения процедуры мониторинга кредитным организациям следует:
– иметь внутренние системы для идентификации и мониторинга операций, вызывающих подозрения;
– оценивать риск, исходя из конкретных видов счетов, регионов и операций;
– обращать внимание на случаи превышения установленного денежного порога депозитов при открытии счета, а также на ежемесячные телеграфные переводы, операции с наличностью, дорожными чеками, получение кредитов и заключение сделок (включая покупку и продажу валют, опционов и драгоценных металлов) и т. п.;
– обращать внимание на усиление активности по банковским счетам, особенно тем, которые могут стать объектами сомнительных операций (офшорные и корреспондентские счета, счета небанковских финансовых институтов, политических деятелей и др.);
– установить пороговые размеры сделок и время от времени проверять их адекватность.
Отдельно следует отметить роль топ-менеджеров кредитных организаций. Они должны стремиться к постановке и практической реализации задач в области предотвращения незаконных операций и демонстрировать, что банк как субъект корпоративной культуры заботится о своей репутации не меньше, чем о прибылях, маркетинге и качестве обслуживания клиентов.
Топ-менеджерам кредитных организаций необходимо хорошо представлять, что клиенты коммерческих банков, использующие для выполнения своих операций СЭБ и занимающиеся противоправной деятельностью, могут не только нанести удар по репутации банка, но и создать для него серьезные осложнения во взаимоотношениях с регулирующими органами, вплоть до отзыва лицензии на осуществление банковских операций.
1.3.4. Подготовка сотрудников коммерческих банков по вопросам обеспечения информационной безопасности
Четвертая область связана с совершенствованием профессиональной подготовки персонала банка (включая сотрудников служб внутреннего контроля) по вопросам обеспечения информационной безопасности. Учитывая заметное увеличение источников банковских рисков, основу которых составляют особенности функционирования СЭБ, специалистам коммерческих банков, в чьи функции входит управление рисками, необходимо иметь не только экономическое или юридическое, но и техническое образование, позволяющее достаточно уверенно ориентироваться в особенностях функционирования различных технологий ДБО.
Ненадлежащее обеспечение информационной безопасности СЭБ (в частности, продажа населению слабо защищенных финансовых услуг) ведет к созданию предпосылок для хищения денежных средств и финансирования криминала. Существующая динамика развития современных процессов, связанная с ростом технических возможностей, способна многократно увеличить объемы финансирования криминала. Если допустить рост хищений в больших объемах (что приведет к соизмеримости объема хищений с объемами денежных средств в госсекторе), это может быть серьезной угрозой экономической безопасности страны.
2. Кибербезопасность в условиях применения систем электронного банкинга
Кольчуга не слишком защищает от стрелы, особенно если та нацелена вам между глаз.
Терри Пратчетт, английский писатель2.1. Парадигмы построения системы кибербезопасности
Добрые нравы имеют большую силу, чем хорошие законы.
Публий Корнелий Тацит, древнеримский историкВ современном обществе интернет и сотовая связь стали привычными каналами предоставления информационных услуг. В банковской сфере эти два способа связи легли в основу ЭБ, который является лидером среди технологий ДБО. СЭБ фактически переместили весь процесс взаимодействия кредитных организаций с клиентами в виртуальное пространство, или, другими словами, киберпространство.
Внедрение СЭБ не только значительно сокращает операционные издержки, но и является одним из основных конкурентных преимуществ кредитных организаций. В то же время, перенося бизнес в киберпространство, кредитные организации не освобождаются от ответственности за качество предоставления финансовых услуг и должны в полной мере осознавать, что сегодня компьютерные атаки кибермошенников направлены в первую очередь на СЭБ с целью кражи денег со счетов как банков, так и их клиентов.
Если рассматривать информационный контур банковской деятельности, формируемый в условиях применения СЭБ, то наиболее слабым звеном является клиент. АПО СЭБ достаточно хорошо защищено на стороне банка, но не на стороне клиента. Поэтому взломать современные системы защиты, используемые кредитными организациями, намного сложнее, чем получить доступ в личный кабинет клиента.
К основным факторам, сдерживающим развитие ДБО, можно отнести отсутствие доверия клиентов к технологиям ДБО из-за роста компьютерных атак на СЭБ (в т. ч. с использованием социальной инженерии) и низкий уровень финансовой грамотности клиентов (включая недостаточную информированность о возможностях современных технологий ДБО и способах обеспечения кибербезопасности).
Повышение уровня финансовой грамотности населения – это задача, которая должна решаться комплексно. Во многих странах с основами кибербезопасности начинают знакомить еще в начальной школе, а в университетах этот предмет является обязательным – в информационный век не может быть другого подхода.
Следует принимать во внимание, что уровень финансовой грамотности населения всегда будет уступать уровню и скорости развития мошеннических технологий. Поэтому разработчики АПО СЭБ изначально должны ориентироваться на «среднего» пользователя и обеспечивать максимальную защиту от внешних воздействий.
Минимизировать риски «успешного» воздействия компьютерных атак можно с помощью построения комплексной системы кибербезопасности в кредитно-финансовой сфере.
В основе такой системы безопасности может лежать одна из двух парадигм: парадигма защищенности или парадигма развития.
Парадигма защищенности предполагает, что основу обеспечения безопасности составляет борьба с опасностями (угрозами). Менталитет защищенности приводит к отождествлению безопасности с жизнедеятельностью, вследствие чего идея безопасности ставится во главу угла всей деятельности.
Необходимой предпосылкой обеспечения безопасности в рамках данной парадигмы является определение угроз безопасности, на устранение которых и направляется соответствующая деятельность, прежде всего специальных служб[50].
Парадигма развития базируется не столько на борьбе с опасностями, сколько на развитии собственных внутренних сил. И потому опасность представляет собой не только то, что отрицает существование объекта, но и прежде всего то, что угрожает его самоутверждению [69, с. 154].
В настоящее время наблюдается устойчивая тенденция смещения акцентов в деятельности по обеспечению безопасности с парадигмы защищенности на парадигму развития. Появилось понятие «безопасность через развитие». Его суть заключается в том, что обеспечение безопасности все в большей степени осуществляется через развитие и все в меньшей – через защиту[51].
Система не может быть жизнеспособной, только сохраняя достигнутое, без изменений и развития, поэтому следование исключительно парадигме защищенности в действительности не укрепляет безопасность, а постепенно разрушает объект, так как