Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
Суть обращений сводится к тому, что каждая из сторон должна нести ответственность за свои действия (или бездействие) в пределах, не превышающих ее физические возможности, а также не должна допускать неотвратимого и безнаказанного причинения ущерба другой стороне.
Напомним, что коммерческие банки, работая в условиях жесткой конкуренции, не заинтересованы расходовать на обеспечение информационной безопасности больше средств, чем конкуренты. Информационная безопасность всегда связана с затратами для кредитных организаций, неудобствами для банковского персонала и клиентов. Что касается клиентов, то они обращают больше внимания на удобство банковских услуг, чем на их безопасность.
Поэтому кредитным организациям нужен разумный компромисс, который строится на нескольких базовых принципах организации информационной безопасности:
– стоимость защиты не должна превышать стоимости защищаемых информационных ресурсов;
– банк и клиент должны выйти на такой уровень защиты транзакций, когда для клиента защита еще удобна и приемлема по стоимости, а злоумышленнику уже невыгодно совершать преступление из-за высоких расходов на преодоление защиты.
Наряду с очевидными преимуществами СЭБ принесли в банковский бизнес дополнительные риски (рис. 24). А если говорить точнее, то количество типичных банковских рисков[44] осталось прежним, а вот их техническая составляющая значительно возросла.
Рис. 24. Дополнительные источники банковских рисков в условиях применения СЭБ
Непрерывность выполнения банковских операций стала во многом зависеть:
– от различных сбоев в аппаратно-программном обеспечении (АПО) СЭБ;
– качества и надежности каналов связи;
– наличия резервных источников электропитания;
– качества архивации данных об операциях с использованием СЭБ;
– недостатков в обеспечении информационной безопасности конфиденциальных сведений.
Однако необходимо хорошо понимать, что, применяя современные технологии и средства, мы можем осуществить те или иные процедуры удобнее, быстрее и в гораздо больших объемах, но при этом не надо рассчитывать на чудеса – за все надо платить. И если регулирование в области ДБО (включая услуги ЭБ) будет отставать от появления и распространения новых источников типичных банковских рисков, то «удобнее, быстрее и в больших объемах» в целом будет дороже. В первую очередь возрастают затраты на обеспечение безопасности данного способа оказания банковских услуг, так как кредитные организации будут вынуждены учитывать не только внутрибанковские риски, но и риски, возникающие на стороне клиента и различных провайдеров (например, интернет-провайдеров в случае интернет-банкинга, сотовых операторов в случае мобильного банкинга)[45].
По мнению авторов, на сегодняшний день есть четыре причины, по которым применение СЭБ нуждается в дополнительном регулировании:
1) расширение профиля операционного риска в условиях ЭБ;
2) значительный рост числа киберпреступлений в финансовой сфере (включая хищения денежных средств в СЭБ);
3) использование СЭБ в схемах, направленных на легализацию преступных доходов (или, другими словами, отмывание денег);
4) недостаточная подготовка сотрудников коммерческих банков по вопросам обеспечения информационной безопасности и управления сопутствующими рисками в условиях ЭБ.
Рассмотрим каждую из выделенных проблем более подробно.
1.3.1. Управление операционным риском
Причиной повышенного внимания к операционному риску стал выход соглашения Базельского комитета по банковскому надзору (БКБН) «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II. Соглашение Basel II является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.
Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.
В качестве возможных проявлений операционного риска можно выделить следующие типы событий:
– внешние воздействия (наводнения, пожары, аварии и т. п.);
– внутренние и внешние мошенничества;
– ошибки персонала;
– сбои в реализации бизнес-процессов и обслуживании клиентов;
– физический ущерб активам;
– сбои информационных систем;
– нарушение процессов обработки и хранения данных.
Требования, предъявляемые документами Basel II, были дополнены в документах Basel III, в том числе и в отношении операционного риска.
Отметим, что БКБН рекомендует привлекать к процессу управления рисками, возникающими при внедрении СЭБ в кредитных организациях, не только риск-подразделения, но и совет директоров, высшее руководство банка, а также топ-менеджеров банка.
Операционный риск является одним из основных типичных банковских рисков, на который в большей степени оказывают влияние СЭБ.
Он определяется как вероятность образования убытков и (или) неполучения прибыли вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к ЭБ выделяются три главные зоны операционного риска:
1) функционирование системы безопасности;
2) привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг);
3) освоение новых технологий сотрудниками банка [78, с. 499].
В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности аппаратно-программного обеспечения и целенаправленных DoS-атак на веб-серверы банка).
Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление банковских услуг в области информационных технологий посредством специализированных фирм (в первую очередь банки сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки оказываются в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой, компаний, сотрудники которых могут и не обладать достаточными знаниями о специфике банковского дела.
Наконец, ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков значительными проблемами[46].
Смысл управления операционным риском заключается в прогнозе периодичности различных сбоев и нарушений непрерывности функционирования аппаратно-программного обеспечения СЭБ и оценке величины вероятных убытков. Отметим, что у потерь есть и положительная сторона – они вскрывают слабые места и открывают новые возможности. Поэтому самая большая ошибка – сокрытие нежелательного инцидента. Даже после того, как устранены рисковая ситуация или последствия неблагоприятного события, нельзя оставлять произошедшее в тайне: гораздо лучше использовать инцидент в качестве наглядного урока для других сотрудников.
Формы проявления операционного риска в условиях ЭБ могут быть самыми разнообразными. Однако все они вызваны, как правило, несоответствием определенных процедур требованиям законодательства, несоразмерностью технических возможностей СЭБ и объема бизнеса, техническими сбоями и отказами оборудования, непреднамеренными или умышленными действиями персонала и внешних субъектов, что отвечает классическому определению операционного риска.
Минимизировать операционный риск в условиях ЭБ можно с помощью общепринятых стратегий:
– принятие риска (отказ