Издания и мероприятия для банковских специалистов:
 
Аналитический журнал
Управление в кредитной организации
Описание изданияПоследний номер Архив Приобрести/Подписаться
Издание находится в архиве
 
 

К вопросу о рисках, связанных с применением технологий ДБО

Размещено на сайте 04.03.2008
Современный этап развития банковской деятельности в условиях обостренной конкурентной борьбы за расширение клиентской базы характеризуется стремительным и интенсивным внедрением технологий электронного банкинга. В то же время применение таких технологий сопряжено с возникновением новых проблемных вопросов. В статье рассматриваются основные положения Письма Банка России от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании».
 

Рост противоправных действий в сфере использования ДБО

Внедрению и развитию российскими кредитными организациями технологий дистанционного банковского обслуживания (ДБО), также известного по совокупности используемых программно-технических решений как электронный банкинг, сопутствуют участившиеся в последнее время случаи применения таких технологий для разного рода противоправной деятельности. К сожалению, в этом отношении отечественные кредитные организации (как и в течение последних 30 лет кредитные организации многих стран) оказались своего рода заложниками современных информационных технологий, весьма соблазнительных с точки зрения повышения эффективности банковской деятельности в условиях усиливающейся конкурентной борьбы в этой сфере предоставления финансовых услуг.

Прошедший 2007 год стал в известной степени пиковым по части вмешательств злоумышленников в работу кредитных организаций и взаимодействие их со своими клиентами, хотя и предыдущее десятилетие дало немало примеров разного рода противоправных действий, осуществленных с помощью распределенных компьютерных систем, без которых современная банковская деятельность фактически немыслима. Во всяком случае, сам факт того, что более 82% российских кредитных организаций имеют представительства в Интернете, свидетельствует о тенденциях развития ДБО.

Конечно, Интернет как глобальная система, реализующая своего рода гиперпространство, является только одной из виртуальных сред, через которые осуществляются различные противоправные действия. Просто это среда глобальная, в которой потоки данных, пересылаемых между кредитными организациями и их клиентами, могут, без преувеличения, даже несколько раз огибать земной шар, проходя через бесчисленные коммутаторы, маршрутизаторы и шлюзы, объединяющие тысячи и тысячи вычислительных сетей, расположенных на территории разных стран. В число вариантов ДБО входят и мобильный банкинг (например, WAP- и SMS-), и телебанкинг, и применение специализированных банковских терминалов, таких как банкоматы или автоматические обменные пункты, POS-терминалы и т.п.2

В соответствии с этими общими по существу, но различными по применяемым способам и средствам видами ДБО разнятся и способы и средства совершения противоправных действий, которые также объединяет нечто общее, а именно: желание безнаказанно «хапнуть чужого». В этом, приходится констатировать, злоумышленники часто добиваются своего, пользуясь теми возможностями, которые предоставляют сама идея ДБО и киберпространство, в котором теперь преимущественно осуществляются финансовые операции.

Несмотря на то что варианты ДБО российские кредитные организации достаточно масштабно реализуют уже более десяти лет, все-таки случаи мошенничеств и хищений через виртуальное пространство банковской деятельности были относительно редки. Во многом это объяснялось тем, что само3й российской банковской системе от роду менее 20 лет, а, скажем, в США первое крупномасштабное компьютерное ограбление коммерческого банка на сумму в несколько десятков миллионов долларов произошло еще в 1974 году. Кроме того, такие виды ДБО, как интернет-банкинг, стали предлагаться отдельными кредитными организациями лишь с 1998 года, а к этому времени российский банковский сектор уже перенес несколько серьезных кризисов, что негативно сказалось на интересе к нему хакерского сообщества. Да и капитализация российских банков до последнего времени оставляла желать лучшего. Что же касается российских требований к капиталу вновь создаваемых банков, то, к примеру, с американскими их лучше даже не сравнивать. Действовали, на взгляд автора, и другие факторы, в том числе интенсивная «утечка мозгов» в части квалифицированных программистов (продолжающаяся и по сей день), неважная, мягко говоря, информационно-телекоммуникационная инфраструктура во многих регионах страны, проблемы с высшим профессиональным образованием и др.

Тем не менее по состоянию на сегодняшний день российские кредитные организации стали представлять значительный интерес для заметно повысивших свою техническую квалификацию злоумышленников, возможности которых в силу овладения специфическими технологиями хакерства, крэ-керства, фрикерства3 и т.п. также заметно возросли. В отечественных средствах массовой информации приводятся быстро растущие значения показателей, характеризующих распространение интернет-технологий и пользователей Интернета, мобильной телефонии и ее клиентуры, незаконные подключения к телефонным линиям (каналам), а также считывание конфиденциальных данных с последующим нанесением финансового (в основном) ущерба и тому подобные свидетельства растущего благосостояния. К слову сказать, современные условия и банковской в частности, и финансовой деятельности вообще характеризуются тем, что сведения о тех или иных финансовых операциях вполне могут оказаться более ценными, чем сами эти операции в стоимостном выражении. Более того, анонимность, возникающая при ДБО между сторонами информационно-финансового взаимодействия, также способствует противоправной деятельности. Но эти вопросы относятся к сфере работы компетентных органов, поэтому в настоящей статье не рассматриваются.

Напомним такие события, как серия фишинговых4 атак на клиентов российских кредитных организаций и дочерних представительств зарубежных коммерческих банков; сетевые атаки на российские кредитные организации через Интернет, ориентированные на совершение финансовых мошенничеств (включая финансовые хищения), несанкционированный доступ (хищение) конфиденциальной информации, блокирование дистанционного выполнения банковских операций, вирусное заражение компьютерных систем; мошенничества с банковскими картами с использованием банкоматов и т.п. Результатом этих событий стали потеря финансовых средств кредитными организациями и их клиентами, утечка конфиденциальной информации, прекращение предоставления услуг в рамках ДБО и другие негативные последствия для банковского сектора страны и ее граждан.

При этом многие атаки совершались через системы провайдеров кредитных организаций и через различные компьютерные центры, расположенные за рубежом, что может свидетельствовать о «росте мастерства» злоумышленников. К сожалению, автор располагает довольно незначительной частью информации такого рода5, хотя можно отметить и такие пока еще (к счастью) нетипичные для российского банковского сектора явления, как взлом web-сайтов с целью размещения на них антирекламы или «порочащих банк» сведений о якобы ненадежности его систем обеспечения информационной безопасности или просто распространение такого рода информации в Интернете.

Для успешной и эффективной банковской деятельности в современных условиях необходимо иметь представление о тех угрозах, которые возникают из-за невозможности стопроцентного контроля над функционированием и использованием компьютерных систем, в особенности, как уже отмечалось, распределенных. Поэтому считается, что специалисты, работающие в кредитных организациях (прежде всего в их руководящих органах), осознают это, равно как и то, что внедрение практически любой банковской информационной технологии, и уж тем более технологии электронного банкинга, требует тщательного, как об этом неустанно пишут зарубежные органы банковского регулирования и надзора, предварительного анализа сопутствующих факторов и источников банковских рисков6. Причем этот анализ целесообразно осуществлять таким образом, чтобы он охватывал весь информационный контур банковской деятельности (ИКБД), который формируется во всех вариантах электронного банкинга и один из вариантов которого детально анализировался автором в более ранних публикациях7. Следует отметить, что анализ такого рода достаточно непрост и является фактически неизбежной «платой за страх», то есть за все многообразие принимаемых на себя факторов риска, привносимых технологиями ДБО вместе с многочисленными удобствами и выгодами как для самих кредитных организаций, так и для их клиентов.

В случае применения кредитными организациями нескольких разновидностей ДБО целесообразно было бы осуществлять упомянутый анализ в комплексе. Обусловлено это тем, что различные средства удаленного предоставления банковских услуг, не требующие присутствия клиента непосредственно в кредитной организации, отличаются неодинаковым составом сопутствующих источников и факторов риска, хотя все они представляют собой, как правило, пересекающиеся подмножества. К этому можно добавить, что с каждой технологией связаны как общие, так и специфические угрозы, относящиеся к реализации тех или иных рисков. В одних случаях, например, какая-то технология электронного банкинга более удобна для фишинга, другая — для сетевых атак, третья — для мошеннических действий, четвертая — для отмывания денег (из-за чего кредитная организация может оказаться вовлеченной в противоправную деятельность, сама того не подозревая, с крайне негативными для себя последствиями), пятая — для прямых хищений финансовых средств и т.п.

Рекомендации Банка России

В целях обеспечения надежности банковской деятельности и защиты интересов клиентов кредитных организаций было принято решение о подготовке Письма Банка России от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании» за подписью первого заместителя председателя Банка России Г.Г. Меликьяна8. Это первый документ Банка России, разработка которого обусловлена именно специфическими особенностями ДБО, которые могут использоваться в противоправных целях, что, к сожалению, происходит все чаще9. Тем не менее, предваряя последующее изложение, попытаемся перечислить условия, которые гарантируют минимизацию (исключение) практически любых проблем, связанных с применением кредитной организацией как технологий электронного банкинга, так и вообще информационных технологий в своей деятельности, а значит, и сопутствующих рисков:

— грамотная политика информатизации, проводимая кредитной организацией (ее руководством);

— адекватная сложности и масштабам ее деятельности организация внутрибанковских процессов и процедур (управления и контроля);

— тщательно продуманная сетевая архитектура распределенных банковских компьютерных (автоматизированных) систем;

— наличие должным образом организованного внутреннего контроля (аудита) как своеобразной внутрибанковской системы;

— обеспечение информационной безопасности внутрибанковских процедур, операций и хранилищ данных (включая резервные);

— осуществление финансового мониторинга, адекватное применяемым технологиям электронного банкинга;

— полноценное информационное и документарное обеспечение клиентов;

— эффективное взаимодействие применяющей ДБО кредитной организации со своими провайдерами и поставщиками аппаратно-программного обеспечения.

Такая ситуация соответствует оптимальной (можно сказать «безрисковой», хотя в отношении банковской деятельности в целом это не совсем корректно) модели пруденциальной организации ДБО в кредитных организациях. Очевидно, что по каждому из перечисленных направлений логично проводить адекватную и сбалансированную политику, менее всего зависящую от таких понятий, как «мода», «имидж банка XXI века» и т.п., что еще нередко имеет место в российском банковском секторе.

К сожалению, как показывает опыт практической работы, выявление, оценка, анализ и мониторинг банковских рисков, а также управление ими по всем перечисленным направлениям — пока еще дело будущего.

В рассматриваемом Письме Банка России отмечается сам факт, что «в последнее время в российском сегменте сети Интернет участились сетевые атаки на сайты и серверы <...> кредитных организаций, а также попытки неправомерного получения персональной информации пользователей систем ДБО <...> (пароли, секретные ключи средств шифрования и аналогов собственноручной подписи, ПИН-коды10 и номера банковских карт, а также персональные данные их владельца)».

Тем самым сделан акцент на наиболее уязвимые информационные компоненты, которые, во-первых, являются типовыми в ДБО и, во-вторых, могут быть использованы не предусмотренным их владельцами образом. Поэтому самим кредитным организациям (прежде всего!) уместно заботиться об обеспечении соответствующей грамотности своей клиентуры, обслуживаемой посредством ДБО (и, как показывает практика, изначально склонной нарушать именно правила обеспечения информационной безопасности), с тем чтобы предотвратить потенциальные проблемы, связанные как с конкретной технологией ДБО, так и с недостаточной информированностью каждого отдельного клиента (пользующегося определенной технологией такого рода, нередко как основной и почти единственной в своих взаимоотношениях с кредитной организацией11). Впрочем, сказанное в полной мере относится и к персоналу самих кредитных организаций, имеющему отношение к ДБО.

В преамбуле Письма Банка России говорится, что в настоящее время наиболее распространенными являются «распределенные атаки типа “отказ в обслуживании”, при которых большое количество компьютеров (от нескольких сотен до сотен тысяч), программное обеспечение которых предварительно специальным образом дистанционно модифицируется лицами, предпринимающими попытки неправомерного получения персональной информации пользователей систем ДБО, по команде указанных лиц начинают одновременно направлять массовые запросы на атакуемый ресурс, серьезно нарушая либо полностью блокируя его работу. При этом владелец ресурса, как правило, не способен самостоятельно, без помощи провайдера, восстановить работоспособность ресурса. Продолжительность атак может составлять несколько суток, в течение которых оказывается недоступным ДБО множества клиентов кредитной организации, что наносит прямой ущерб этой организации и ее клиентам».

Здесь необходимо отметить, что от таких атак, как «отказ в обслуживании» или «распределенный отказ в обслуживании»12, в первую очередь страдают те кредитные (и, естественно, любые другие) организации, которые не полностью осознают степень своей зависимости от условий работы в «открытых системах» (к которым относятся как Интернет, так и любые общедоступные распределенные компьютерные системы, в том числе корпоративные) и от провайдеров. Тем более это справедливо в тех случаях, когда кредитная организация «физически» не может контролировать функционирование провайдера как такового или условия его работы. В таких ситуациях почти все (за исключением квалификации персонала кредитной организации) зависит от содержания контрактов на обслуживание или предостав-ление услуг (и прежде всего контрактов на аутсорсинг).

Данная проблема может на первый взгляд показаться не столь значительной, если не знать о вариантах сетевых атак типа DoS и DDoS (эти атаки рассматриваются здесь только в качестве примера, не более того). Зафиксированные факты таких атак в российском банковском секторе можно считать (по информации, имеющейся в распоряжении автора) относительно «несерьезными» с позиций оценки задействованных в них ресурсов. Общий смысл таких атак заключается в том, чтобы наводнить используемые кредитной организацией телекоммуникационные каналы, web-сайты, доступные серверы большими объемами данных, которые заведомо превышают возможности компьютеров по их обработке. Однако многое зависит от конкретной технологии реализации таких атак, из-за чего, собственно, и рассматривается вопрос об организации отношений между кредитной организацией и ее провайдерами. При этом предполагается, что соответствующая организация «тесно» взаимодействует с провайдером, который, в свою очередь, готов оказать ей необходимую помощь.

Зона ответственности кредитной организации

Здесь необходимо подчеркнуть значимость понятия «зона ответственности» кредитной организации. Эта значимость, по мнению автора, пока еще не осознается в полной мере ни кредитными организациями, ни их клиентами. Тем не менее это понятие влечет за собой достаточно существенные для жизни кредитной организации модификации внутри-банковских процессов и процедур, неизбежно приводя к появлению новых компонентов в процессном подходе13. Достаточно сказать, что уже один только выход в Сеть «вызывает к жизни» как минимум два новых внутрибанковских процесса: ведение web-сайта и менеджмент взаимоотношений с провайдером.

Возможны два варианта размещения web-сайта, используемого кредитной организацией: (1) на своих вычислительных средствах и (2) на вычислительных средствах сторонней организации.

Первый вариант «минимально обременителен» для кредитной организации с точки зрения процессного подхода: все документарное обеспечение его, равно как и работа с техническим персоналом, управление ведением и контроль функциональности web-сайта, используемого данной организацией, и его содержания, укладывается в разработку и внедрение новых внутрибанковских процедур. При этом целесообразно разработать порядки создания, ведения, сопровождения web-сайта (включая возможную его модернизацию), определить ответственных за каждую из этих процедур (имея в виду, что кредитной организации могут потребоваться несколько функционально обособленных сайтов14), а также установить необходимый контроль.

Второй вариант характеризуется некоторым множеством реализаций в зависимости от того, на средствах какой именно организации размещается используемый кредитной организацией web-сайт: ее интернет-провайдера, разработчика сайта и др. В этих случаях уместно предельно внимательно отнестись к содержанию контрактов (договоров) на все работы, связанные с созданием, ведением и сопровождением web-сайта, поскольку клиенту кредитной организации априори неизвестно, кто является хозяином конкретного сайта. Излишне, вероятно, пояснять, что взаимодействие с любой сторонней компанией, которая не имеет непосредственного отношения к банковской деятельности, осуществляемой кредитной организацией в рамках ДБО, но входит в ИКБД, должно оговариваться, точнее, документально оформляться, с учетом всех возможных факторов, способных осложнить отношения между этой организацией и ее клиентами, вплоть до механизма судебного разбирательства, если в таковом возникнет необходимость.

Сказанное выше имеет прямое отношение к проблематике компонентов банковских рисков, связанных с сетевыми атаками и системами провайдеров. Практика последних лет, да и имеющаяся литература по данной проблематике15 подтверждают целесообразность учета специалистами кредитных организаций тех условий, которые могут затруднять их деятельность при работе в условиях открытых систем.

В одних случаях для организации атак могут использоваться локализованные программы, формирующие потоки запросов на атакуемый сервер. Такие атаки доставляют некоторые неудобства, но при грамотной организации защиты внутрибанковских автоматизированных систем они подавляются без особого труда независимо, допустим, от смены дислокации. Например, по анализу образа или «сигнатуры» атаки (технические детали можно найти в упомянутом выше источнике). Другое дело, когда атака реализуется через «посреднические» сетевые компьютерные системы, которые могут принадлежать в том числе и провайдерам кредитной организации. В этом случае все компьютеры, входящие в состав соответствующей вычислительной сети, могут оказаться зараженными некоей программой-«червем», каждая копия которой в заданный момент времени инициирует поток запросов к объекту атаки. Понятно, что подобное «умножение» за счет вычислительной сети посредника (который, кстати, может и не подозревать об этом) многократно повышает эффективность атаки, что, собственно, и имело место в практике работы некоторых российских кредитных организаций.

Вследствие этого логично предположить, что специалисты каждой организации, попадающей в ИКБД (по инициативе органов управления зависимой от них кредитной организации), станут участниками некоего корпоративного процесса, ориентированного на получение гарантий того, что именно их учреждение не является невольным участником таких атак, для чего и специалистам кредитных организаций, равно как и провайдерам, целесообразно регулярно проверять свои компьютерные системы. Кроме того, им вообще уместно было бы регулярно обновлять оценки производительности своих внутрибанковских компьютерных систем с точки зрения парирования таких атак и других угроз информационной безопасности, а также периодически тестировать безопасность локальных вычислительных сетей (или зональных, как в случае кредитных организаций, работающих на нескольких площадках, имеющих филиальную сеть и т.п.), совершенствовать методы выявления источников рисков, способы и средства снижения рисков, соответствующие политику, внутренние процедуры и т.д.

В общем случае сказанное имеет непосредственное отношение к обеспечению актуальности планов, составляемых кредитными организациями на случай возникновения чрезвычайных обстоятельств. В ходе планирования действий при таких обстоятельствах логично предусматривать также распространение информации для клиентов о том, что временная неработоспособность, допустим, web-сайтов, используемых кредитной организацией, не угрожает средствам граждан, а сама организация способна полностью удовлетворить их потребности в банковском обслуживании через другие каналы доведения банковских услуг (указывая эти каналы). Между прочим, практика свидетельствует о том, что кредитные организации практически никогда не упоминают какие-либо инциденты информационной безопасности в разделе форс-мажорных обстоятельств договоров (дополнительных соглашений к договору банковского счета) на ДБО, тогда как всего один такой инцидент может «взорвать» организацию изнутри, так как способен привести к реализации сразу всех банковских рисков, связанных с применением технологий электронного банкинга16.

В связи с изложенным Банк России считает «целесообразным рекомендовать кредитным организациям включать в договоры, заключаемые с интернет-провайдерами, обязательства сторон по принятию мер, направленных на оперативное восстановление функционирования ресурса» (сервера, web-сайта и пр.) при возникновении нештатных ситуаций, а также «ответственность за несвоевременное исполнение» такого рода обязательств. К сожалению, практика работы свидетельствует о том, что данный подход пока еще нельзя считать повсеместно принятым и широко распространенным, особенно если принимать во внимание интересы клиентов кредитных организаций, которые могут пострадать из-за несовершенства организации отношений между упомянутыми учреждениями. Обозначенная здесь нами проблема еще ждет своего разрешения на законодательном уровне в силу традиционного «неосознания» клиентами кредитных организаций, как, впрочем, и самими кредитными организациями, специфики наличия и свойств ИКБД, о чем говорилось в начале настоящей статьи.

По мнению автора, в настоящее время происходит формирование некоего «рубежа понимания» роли технического прогресса в области банковского дела (на самом деле даже на протяжении недолгой истории российского банковского дела с середины 1860-х до 1917 г. и с конца 1980-х по настоящее время таких рубежей было несколько). И понимание это необходимо должно быть связано с осознанием того, что в современных условиях суть проблематики заключается не только (а нередко и не столько) в содержании банковской деятельности, но и в способах и условиях ее осуществления.

Понятие «условия банковской деятельности» оказывается не просто комплексным, но и весьма сложным. Прежде всего это относится к функциональным возможностям самого киберпространства, которые кратко будут рассмотрены ниже.

Условия банковской деятельности в рамках ДБО характеризуются, как уже отмечалось, виртуальностью процессов, инициируемых в распределенных компьютерных системах и средствах телекоммуникаций, и априори (с начала сеанса ДБО) взаимной анонимностью кредитных организаций и их клиентов. В основе многих мошенничеств и хищений финансовых средств лежит невозможность обеспечения полной гарантии того, что в каждый момент времени кредитная организация имеет дело с официально зарегистрированным ею клиентом, работающим дистанционно, равно как и клиент может лишь с некоторой степенью уверенности полагать, что он взаимодействует с требуемой ему кредитной организацией (на чем базируется технология фишинга). На самом деле в этой неопределенности при правильном подходе ничего страшного нет — она просто исключается грамотным использованием технологических возможностей современных программно-технических комплексов ДБО.

Клиент должен быть предупрежден о возможном мошенничестве

В Письме Банка России № 197-Т приводятся примеры возможных «подвохов». В частности, в нем указывается, что «при совершении попыток неправомерного получения персональной информации пользователей систем ДБО клиентам кредитных организаций по системам электронной почты направляются сообщения, в которых под какими-либо предлогами (техническое перевооружение организации, обновление или сверка баз данных кредитной организации и т.п.) предлагается ввести с клавиатуры компьютера указанные коды в поля экранных форм в ходе имитируемых сеансов информационного взаимодействия с кредитной организацией (к примеру, через созданный дубликат17 ее web-сайта). Одновременно на компьютер клиента с web-сайта могут передаваться вредоносные программы, являющиеся компьютерными вирусами или “закладками”18, выполняющими в фоновом режиме работы скрытые функции, связанные с неправомерным получением персональной информации пользователей систем ДБО».

Здесь следует отметить, что, хотя речь, казалось бы, идет о фишинге, ориентированном на завладение заведомо конфиденциальной идентификационной пользовательской информацией, но способов его реализации достаточно много. Отсюда следует вывод о том, что «произвольно взятый клиент» кредитной организации, скорее всего, ни об одном из мошеннических приемов не имеет представления, а значит, дело самой кредитной организации поставить его об этом в известность. Не отказаться от ДБО (конкуренция и технический прогресс не позволяют), но знать о необходимых и достаточных мерах информационной безопасности, равно как и внедрять их в сознание персонала и клиентов. Клиент также должен располагать всей необходимой информацией относительно того, как вести себя правильно в штатных и нештатных ситуациях. В случае интернет-банкинга это может быть, например, блокирование web-сайта любимой кредитной организации, размещение на нем антирекламы, клеветнической информации, ссылок на порносайты и т.п. (неуязвимых web-сайтов не существует просто по определению: то, что один человек может создать, другой может сломать...).

Относительно, казалось бы, более простых и привычных форм ДБО в Письме Банка России говорится: «Наблюдаются случаи неправомерного получения реквизитов банковских карт при проведении операций через банкоматы. При этом используются накладные устройства на клавиатуру для ввода ПИН-кода или на устройство для приема карт в банкомат, а также специально приспособленные для этих целей “фальшивые” банкоматы, которые незаконно устанавливаются, как правило, в неконтролируемых кредитными организациями местах и внешне не отличаются от банкоматов, используемых для ДБО клиентов кредитных организаций.

Неправомерно полученные различными способами реквизиты банковских карт используются для изготовления поддельных банковских карт, частично (так называемый белый пластик) или полностью имитирующих подлинные. При использовании в банкоматах поддельные банковские карты предоставляют их обладателям все возможности подлинных банковских карт».

Процитированное выше вполне может подвигнуть кредитные организации на размещение соответствующей «просветительской информации» непосредственно на своих банкоматах, в офисах (филиалах) и на web-сайтах. При этом, по мнению автора, важен акцент и на «гражданскую ответственность» клиентов кредитных организаций, которые используют разнообразные функциональные возможности технологий электронного банкинга: необходимы каналы обратной связи, то есть информирование уже клиентами своих кредитных организаций обо всех подозрительных ситуациях, связанных с ДБО, на которые они обратили внимание.

Это, кстати, вполне может заметно прибавить работы таким службам кредитных организаций, как подразделения информатизации (автоматизации, банковских технологий и т.п.), внутреннего контроля, обеспечения информационной безопасности, финансового мониторинга и сервис-центр. До сих пор во многих кредитных организациях распределение ресурсов для всех этих служб (может быть, исключая финансовый мониторинг) осуществляется исключительно по остаточному принципу, что, с точки зрения автора, является непростительной ошибкой. В современных условиях эти службы играют важнейшие для жизнеспособности кредитной организации роли.

Далее в Письме Банка России отмечается: «В целях неправомерного получения персональной информации пользователей систем ДБО заинтересованные лица используют также различные варианты телефонного мошенничества. В частности, отмечаются случаи направления мошенниками на мобильные телефоны клиентов кредитных организаций SMS-сообщений о необходимости позвонить по номерам телефонов, которые в действительности не принадлежат этим организациям. Также имеют место звонки клиентам с сообщением автоинформаторов о предоставлении продуктов и услуг банка с предложением нажать определенные клавиши на телефоне для подтверждения согласия в их приобретении и т.п. Тем самым клиенты банка провоцируются к вступлению в контакты с мошенниками, целью которых в том числе может являться получение конфиденциальной клиентской информации (например, номера банковской карты и ПИН)».

Здесь приходится выразить сожаление, что до сих пор приходится давать рекомендации такого рода. Что ж, значит кредитным организациям следует думать и об этих проблемах. Впрочем, способов телефонного мошенничества немало и за рубежом (о чем, кстати, очень хорошо рассказал в уже упоминавшейся книге Дж. Крум наряду с описанием многих «профессиональных» хакерских при-емов и способов противодействия им), так что это проблема общечеловеческая, а не странова3я.

Также Банк России обращает внимание кредитных организаций на «необходимость распространения предупреждающей информации для своих клиентов, в том числе с использованием представительств в сети Интернет (web-сайтов), о возможных случаях неправомерного получения персональной информации пользователей систем ДБО. В состав такой информации целесообразно включать описание официально используемых способов и средств информационного взаимодействия с клиентами, а также описания приемов неправомерного получения кодов персональной идентификации клиентов, информации о банковских картах и мер предосторожности, которые необходимо соблюдать клиентам, пользующимся системами ДБО. В качестве подобных мер кредитные организации могли бы, например, рекомендовать клиентам:

— исключить возможность неправомерного получения персональной информации пользователей систем ДБО (не передавать неуполномоченным лицам);

— осуществлять операции с использованием банкоматов, установленных в без-

опасных местах (в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т.п.);

— не использовать банковские карты в организациях торговли и обслуживания, не вызывающих доверия;

— при совершении операций с банковской картой без использования банкоматов не выпускать ее из поля зрения;

— не пользоваться устройствами, которые требуют ввода ПИН-кода для доступа в помещение, где расположен банкомат;

— не использовать ПИН-код при заказе товаров либо услуг по телефону/факсу или по сети Интернет;

— при наличии возможности, предоставляемой кредитной организацией, использовать реквизиты карты одноразового использования (так называемой виртуальной карты) для осуществления оплаты товаров либо услуг через сеть Интернет;

— пользоваться услугой SMS-оповещения о проведенных операциях с применением ДБО (в случае возможности получения такой услуги);

— осуществлять информационное взаимодействие с кредитной организацией только с использованием средств связи (мобильные и стационарные телефоны, факсы, интерактивные web-сайты/порталы, обычная и электронная почта и пр.), реквизиты которых оговорены в документах, получаемых непосредственно в кредитной организации».

Можно отметить некоторую незавершенность изложения, которая, по мнению автора, обусловлена тем, что само развитие электронных банковских технологий находится отчасти еще на начальном этапе и впереди у них просматривается обширное будущее. В частности, по результатам ряда исследований обширные перспективы имеют технологии мобильного банкинга, что не исключает вытеснения ими даже такой популярной на сегодняшний день технологии, как интернет-банкинг20. Поэтому нетрудно предугадать и возможное совершенствование «мастерства» тех, кто занимается противоправной деятельностью, в части появляющихся и развивающихся технологий ДБО.

* * *

Итак, очевидно, что технический прогресс в области предоставления банковских услуг привел к необходимости учета достаточно большого количества факторов технологического характера, к чему ни сами кредитные организации, ни их клиенты оказались, в общем-то, не готовы.

В данном случае имел место, по-видимому, хорошо известный в России эффект «забегания вперед паровоза». Впрочем, раз уж эффект этот известен, то можно надеяться на то, что для многих будет достаточно рекомендаций Банка России (которые носят, пожалуй, характер не только рекомендаций, но и предупреждения). Ведь, как известно, «предупрежден — значит, вооружен». И на этой мажорной ноте хотелось бы закончить настоящую статью.

1 Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

2 WAP (Wireless Application Protocol) — протокол беспроводного приложения, служащий для обеспечения беспроводного доступа к интернет-сервисам с помощью средств мобильной связи. POS (Point of Sale) — пункт продаж, место продавца (кассира). POS-терминал — устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских карт. SMS (Short Message Service) — служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения.

3 Хакерство — проникновение в корпоративные или персональные компьютерные системы с целью несанкционированного доступа к данным и программам для совершения несанкционированных действий с ними. Крэкерство — взлом компьютерных систем с целью уничтожения или вмешательства в штатные режимы функционирования программно-информационного обеспечения, в первую очередь средств сетевой защиты корпоративных компьютерных систем (крэкеры нередко прокладывают путь хакерам). Фрикерство связано с нелегитимным использованием каких-либо средств связи (фрикеры могут открывать пути доступа крэкерам и хакерам).

4 От американского термина phishing — мошенническое получение идентификационных данных, используемых индивидуумами при дистанционном информационном взаимодействии. Собственно термин изначально относился к перехвату данных в сеансах ДБО или взаимодействии с интернет-магазинами, через сообщения электронной почты или web-сайты — муляжи, но в широком смысле он может применяться и при таких мошеннических действиях, как перехват кодов персональной идентификации при обслуживании через банкоматы и т.п.

5 Информация такого рода, как правило, самими кредитными организациями «не афишируется» в отличие, например, от американских коммерческих банков, которые обязаны предоставлять ее органам банковского регулирования и надзора в виде специальной отчетной формы.

6 См., напр.: Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.

7 См., напр.: Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.

8 См.: «Вестник Банка России», № 68 от 12.12.2007.

9 В настоящее время в Банке России завершается разработка проектов еще ряда документов как рекомендательного, так и нормативного характера, посвященных различным аспектам пруденциальной организации ДБО.

10 Транслитерация аббревиатуры PIN = Personal Identification Number (прим. авт.).

11 Справедливости ради следует отметить, что это характерно в основном для базирующихся в России дочерних банков зарубежных кредитных организаций.

12 Атаки типа DoS = Denial-of-Service и DDoS = Distributed Denial-of-Service.

13 Концептуальные основы такого подхода для варианта ДБО в виде интернет-банкинга рассмотрены автором в статье: Лямин Л.В. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора // Управление в кредитной организации. 2006. № 6. С. 83–94; 2007. № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70.

14 По состоянию на середину 2007 г. российские кредитные организации использовали от 1 до 12 web-сайтов (по результатам обработки формы банковской отчетности 0409070).

15 См., напр.: Crume J. Inside Internet Security. — Addison-Wesley, Pearson Education Ltd., 2000.

16 Упомянутые риски описаны в статьях: Лямин Л.В. Принципы риск-ориентированного банковского контроля в области интернет-банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49; Лямин Л.В. Интернет-банкинг: сопутствующие факторы банковских рисков и организация регулирования и надзора / Научный альманах фундаментальных и прикладных исследований «Проблемы управления банковскими и корпоративными рисками». — М.: Финансы и статистика, 2005. С. 185–196.

17 В литературе используется также понятие «муляж».

18 Имеются в виду недокументированные программные модули и функциональные возможности.

19 Boyd C., Jacob K. Mobile Financial Services and the Underbanked: Opportunities and Challenges for M-banking and M-payments // The Center for Financial Services Innovation, Chicago, Il (April 2007).

Л.В. Лямин,
Банк России,
Департамент банковского регулирования и надзора,
начальник отдела электронных банковских технологий управления информационного обеспечения
 
 
 
 
Другие проекты ИД «Регламент»