5.8. Адаптация работы с удаленными клиентами
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.
Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты, в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.
Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании»[175], содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.
Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких-либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.
В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).
В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.
Руководству кредитной организации целесообразно четко осознавать необходимость наличия перечисленных процедур и гарантий с учетом требования Банка России, правоохранительных органов и других органов финансового контроля. В последние годы вместе с заметным обострением ситуации с ФМ в широком смысле и ПОД/ ФТ в частности (из-за чего за последние три года отозвано более сотни лицензий на осуществление банковских операций) актуальность приобрел вопрос своевременного предоставления заинтересованным федеральным учреждениям сведений о деятельности клиентов, в том числе клиентов ДБО. Для «удовлетворения» такого спроса сами кредитные организации, по-видимому, должны быть заинтересованы в том, чтобы требуемую информацию можно было предоставить, не вызывая ненужных подозрений у представителей этих учреждений. Поэтому логично видеть связь этой проблематики с претензионной работой с клиентами и развитием ДБО.
Для этого руководству высокотехнологичной кредитной организации целесообразно оптимально (т. е. полно и адекватно) сформулировать задачу «правильного выстраивания» отношений с клиентами ДБО и контрагентами, которая нередко если и не выходит на первый план, то весьма близка к этому. В оптимальном варианте такое понимание находит свое отражение прежде всего в тех внутрибанковских документах, которые регламентируют:
— осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем;
— изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми;
— выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска;
— определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния;
— определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.
Приведенный перечень уточняется кредитной организацией исходя из установленных потенциальных уязвимостей, архитектуры ИКБД, доступных ресурсов, ожидаемых последствий (правовых, репутационных, стратегических) реализации компонентов банковских рисков и т. д.
В случаях недостаточной проработки вопросов, связанных с защитой прав клиента ДБО и обеспечением выполнения обязательств перед ним, что отражается (или должно было бы отражаться) прежде всего в договоре на ДБО, лишняя (и совершенно необязательная) «головная боль» кредитной организации гарантирована. Впрочем, практика изучения содержания договоров такого рода свидетельствует, что кредитные организации обычно оговаривают для себя отсутствие ответственности за прерывания обслуживания удаленных клиентов в связи с какими бы то ни было обстоятельствами. При этом нередко о каких-либо правовых последствиях, не выполнении взятых на себя обязательств, ущербе, нанесенном клиенту (в том числе в форме невыполнения им своих финансовых обязательств перед третьей стороной) и т. п. речи в текстах не идет. Впрочем, ситуация вроде бы облегчается тем, что, судя по содержанию договоров, клиентов ДБО эта проблематика совершенно не беспокоит, но, как выясняется впоследствии, лишь до нанесения им реального ущерба, когда случившееся может оказаться для них уже необратимым (в смысле финансовых потерь).
В оптимальном варианте организации ДБО сценарии такого рода отражаются (прямо или косвенно) прежде всего в содержании договоров на такое обслуживание, внутренних порядках кредитной организации (начиная с УБР) и должностных инструкциях ее специалистов, что и представляет собой первый результат ориентированного на выявление источников рисков процесса анализа в форме конкретной процедуры, которую можно продемонстрировать клиентам и впоследствии Банку России. Тщательность проработки текстов договоров, безусловно, послужит на пользу обеим сторонам, поскольку предусмотреть удастся если и не все, то большинство проблемных и (или) кризисных ситуаций (угроз), одновременно максимально обезопасив заинтересованные стороны. Далее в качестве второго результата можно предложить организацию входящей в этот же процесс процедуры оповещения клиентов о тех проблемах, с которыми им, может быть, придется встретиться в условиях ДБО. Например, могут быть даны разъяснения относительно уловок фишеров[176], способов хищений при использовании клиентами банкоматов, гарантий безопасности при использовании той или иной технологии электронного банкинга, как и наличие демоверсий соответствующего программного обеспечения на web-сайтах кредитных организаций и т. п. наверняка способствовали бы улучшению имиджа этих организаций и популярности ее среди реальных и потенциальных клиентов.
Любое обслуживаемое той или иной кредитной организацией лицо (неважно, юридическое или физическое) должно быть в первую очередь уверено, что при использовании им СЭБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент, к примеру, сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, так как открытые системы компьютерной связи подвержены атакам со стороны разного рода «компьютерных мошенников» (кстати, не обязательно хакеров). Например, в случае атак типа фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известной ему кредитной организацией, с последующей «выдачей» данных своей персональной идентификации или номера банковской карты, которые затем окажутся использованными мошенником для хищения финансовых средств или в каких-то других целях. По статистике на это попадается примерно 5 % клиентов[177] (кажущаяся незначительность этой цифры не должна вводить в заблуждение — все зависит от того, какой именно клиент «клюнет»), тем более в мире действуют тысячи хакерских и фишерских web-сайтов, распространяющих потенциально опасное программное обеспечение.
Одна из атак этого вида инициируется фишером, который может воспользоваться доступными справочниками (базами данных) web-адресов для рассылки сообщений, в которых под упомянутым благовидным предлогом клиенту предлагается подтвердить персональную идентификационную информацию с помощью гиперссылки, через которую якобы инициируется соответствующий диалоговый интерфейс с кредитной организацией. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент и которая ему знакома, представляет собой фальшивый элемент изображения, формируемый специальным JavaScript'oM и наложенный на изображение настоящей адресной строки, в которой фигурирует (но, понятно, не виден клиенту) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка «Переход» («Go»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Java. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но по статистике мало кто из атакуемых об этом задумывается.
Не случайно и появление web-сайтов-подделок, которые оформляются аналогично настоящим web-сайтам кредитных организаций и предназначены также для «извлечения» персональной идентификационной информации, за чем далее следуют хищения финансовых средств. Поэтому Банк России сообщил об этом банковскому сообществу[178] и начал размещать на своем web-портале сведения о настоящих адресах web-сайтов кредитных организаций, которые поступают в составе регламентной банковской отчетности.
Специалистам фактически атакуемых кредитных организаций уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться их клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ДБО о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т. п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из упоминавшихся выше банковских рисков. Прежде всего будет поддержано доверие клиентов к ДБО (а за ним скрыты компоненты репутационного и стратегического рисков), конечно, при сохранении функциональности СЭБ. Далее клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией и, «как оказалось, ненадежная» ТЭБ. Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (невыполнении финансовых обязательств в установленные интервалы времени).
Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Необходимо помнить, что клиенты кредитных организаций, являющиеся «всего лишь людьми», весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил использования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, утрата средств персональной идентификации или их компрометация в случае хищений (физических и компьютерных с помощью вирусных программ, сканирования при банкоматном обслуживании и т. п.) и др. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т. п., претензии такой клиент предъявит прежде всего к кредитной организации (даже если на самом деле проблема была связана с недостатками в деятельности каких-либо провайдеров). Поэтому во избежание реализации связанных с подобными ситуациями компонентов типичных банковских рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии неправильного поведения клиента ДБО, составить модели связанных с этим потенциальных угроз (и для кредитной организации и для клиента) и их развития, предусмотреть соответствующие меры и средства защиты, «обкатать» их в ходе проведения ПСИ СЭБ и, наконец, отразить в документе, регламентирующем порядок претензионной работы с клиентами ДБО, или его аналоге. Все это может быть реализовано как процедуры процесса УБР.
Не исключено, что, учитывая тенденцию к увеличению количества вариантов хищения персональной информации кредитным организациям целесообразно рассмотреть возможности усложнения процедур идентификации клиента при начале им сеанса ДБО и перед выполнением банковской операции, т. е. перехода к двухэтапной идентификации с разделением каналов информационного взаимодействия, несмотря на то что этот подход может повысить накладные расходы при ДБО. Для усложнения идентификации человека можно использовать то, что он:
— имеет — пропуск, паспорт, кредитную карту и т. п.;
— знает — пароль, кодовую фразу, последовательность действий;
— обладает — отпечатками пальцев, радужной оболочкой глаза и т. п. (биометрия).
За рубежом биометрические системы используются уже довольно широко не только на «режимных» объектах, но и в торговле и в банковских учреждениях и т. д. Естественно, применение таких систем может существенно сказаться на стоимости услуг ДБО, что допустимо лишь при одновременном адекватном повышении его эффективности (рентабельности), что в большинстве случаев для российского банковского сектора пока еще затруднительно. Однако организовать параллельные каналы информационного взаимодействия можно и за счет дублирования однотипных по принципу работы телекоммуникационных систем, например, если при начале сеанса от клиента требуется ввод некоего кода (PIN, ID, Log-In и пр.) с клавиатуры (тастатуры), то перед завершающим этапом операции от БАС или СЭБ кредитной организации может передаваться сеансовый код, допустим, на мобильный телефон. Схемы такого рода (системы опознавания), широко известные в оборонной тематике, повышают защищенность интересов клиента и ДБО в целом.
Помимо изложенного необходимо отметить, что история развития ДБО в российском банковском секторе (особенно в последние три года) богата претензиями клиентов к кредитным организациям, специалистам и руководителям которых приходится при разборе конфликтных ситуаций объяснять, к примеру, что:
— технические проблемы с инсталляцией дистрибутива и управлением СЭБ необходимо решать с помощью службы технической поддержки кредитной организации или ее сервис-центром, а не со случайными специалистами;
— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;
— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;
— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;
— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;
— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;
— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.
Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее web-сайтах, в рекламных буклетах и т. п.
Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.
Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты, в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.
Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании»[175], содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.
Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких-либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.
В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).
В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.
Руководству кредитной организации целесообразно четко осознавать необходимость наличия перечисленных процедур и гарантий с учетом требования Банка России, правоохранительных органов и других органов финансового контроля. В последние годы вместе с заметным обострением ситуации с ФМ в широком смысле и ПОД/ ФТ в частности (из-за чего за последние три года отозвано более сотни лицензий на осуществление банковских операций) актуальность приобрел вопрос своевременного предоставления заинтересованным федеральным учреждениям сведений о деятельности клиентов, в том числе клиентов ДБО. Для «удовлетворения» такого спроса сами кредитные организации, по-видимому, должны быть заинтересованы в том, чтобы требуемую информацию можно было предоставить, не вызывая ненужных подозрений у представителей этих учреждений. Поэтому логично видеть связь этой проблематики с претензионной работой с клиентами и развитием ДБО.
Для этого руководству высокотехнологичной кредитной организации целесообразно оптимально (т. е. полно и адекватно) сформулировать задачу «правильного выстраивания» отношений с клиентами ДБО и контрагентами, которая нередко если и не выходит на первый план, то весьма близка к этому. В оптимальном варианте такое понимание находит свое отражение прежде всего в тех внутрибанковских документах, которые регламентируют:
— осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем;
— изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми;
— выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска;
— определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния;
— определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.
Приведенный перечень уточняется кредитной организацией исходя из установленных потенциальных уязвимостей, архитектуры ИКБД, доступных ресурсов, ожидаемых последствий (правовых, репутационных, стратегических) реализации компонентов банковских рисков и т. д.
В случаях недостаточной проработки вопросов, связанных с защитой прав клиента ДБО и обеспечением выполнения обязательств перед ним, что отражается (или должно было бы отражаться) прежде всего в договоре на ДБО, лишняя (и совершенно необязательная) «головная боль» кредитной организации гарантирована. Впрочем, практика изучения содержания договоров такого рода свидетельствует, что кредитные организации обычно оговаривают для себя отсутствие ответственности за прерывания обслуживания удаленных клиентов в связи с какими бы то ни было обстоятельствами. При этом нередко о каких-либо правовых последствиях, не выполнении взятых на себя обязательств, ущербе, нанесенном клиенту (в том числе в форме невыполнения им своих финансовых обязательств перед третьей стороной) и т. п. речи в текстах не идет. Впрочем, ситуация вроде бы облегчается тем, что, судя по содержанию договоров, клиентов ДБО эта проблематика совершенно не беспокоит, но, как выясняется впоследствии, лишь до нанесения им реального ущерба, когда случившееся может оказаться для них уже необратимым (в смысле финансовых потерь).
В оптимальном варианте организации ДБО сценарии такого рода отражаются (прямо или косвенно) прежде всего в содержании договоров на такое обслуживание, внутренних порядках кредитной организации (начиная с УБР) и должностных инструкциях ее специалистов, что и представляет собой первый результат ориентированного на выявление источников рисков процесса анализа в форме конкретной процедуры, которую можно продемонстрировать клиентам и впоследствии Банку России. Тщательность проработки текстов договоров, безусловно, послужит на пользу обеим сторонам, поскольку предусмотреть удастся если и не все, то большинство проблемных и (или) кризисных ситуаций (угроз), одновременно максимально обезопасив заинтересованные стороны. Далее в качестве второго результата можно предложить организацию входящей в этот же процесс процедуры оповещения клиентов о тех проблемах, с которыми им, может быть, придется встретиться в условиях ДБО. Например, могут быть даны разъяснения относительно уловок фишеров[176], способов хищений при использовании клиентами банкоматов, гарантий безопасности при использовании той или иной технологии электронного банкинга, как и наличие демоверсий соответствующего программного обеспечения на web-сайтах кредитных организаций и т. п. наверняка способствовали бы улучшению имиджа этих организаций и популярности ее среди реальных и потенциальных клиентов.
Любое обслуживаемое той или иной кредитной организацией лицо (неважно, юридическое или физическое) должно быть в первую очередь уверено, что при использовании им СЭБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент, к примеру, сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, так как открытые системы компьютерной связи подвержены атакам со стороны разного рода «компьютерных мошенников» (кстати, не обязательно хакеров). Например, в случае атак типа фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известной ему кредитной организацией, с последующей «выдачей» данных своей персональной идентификации или номера банковской карты, которые затем окажутся использованными мошенником для хищения финансовых средств или в каких-то других целях. По статистике на это попадается примерно 5 % клиентов[177] (кажущаяся незначительность этой цифры не должна вводить в заблуждение — все зависит от того, какой именно клиент «клюнет»), тем более в мире действуют тысячи хакерских и фишерских web-сайтов, распространяющих потенциально опасное программное обеспечение.
Одна из атак этого вида инициируется фишером, который может воспользоваться доступными справочниками (базами данных) web-адресов для рассылки сообщений, в которых под упомянутым благовидным предлогом клиенту предлагается подтвердить персональную идентификационную информацию с помощью гиперссылки, через которую якобы инициируется соответствующий диалоговый интерфейс с кредитной организацией. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент и которая ему знакома, представляет собой фальшивый элемент изображения, формируемый специальным JavaScript'oM и наложенный на изображение настоящей адресной строки, в которой фигурирует (но, понятно, не виден клиенту) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка «Переход» («Go»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Java. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но по статистике мало кто из атакуемых об этом задумывается.
Не случайно и появление web-сайтов-подделок, которые оформляются аналогично настоящим web-сайтам кредитных организаций и предназначены также для «извлечения» персональной идентификационной информации, за чем далее следуют хищения финансовых средств. Поэтому Банк России сообщил об этом банковскому сообществу[178] и начал размещать на своем web-портале сведения о настоящих адресах web-сайтов кредитных организаций, которые поступают в составе регламентной банковской отчетности.
Специалистам фактически атакуемых кредитных организаций уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться их клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ДБО о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т. п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из упоминавшихся выше банковских рисков. Прежде всего будет поддержано доверие клиентов к ДБО (а за ним скрыты компоненты репутационного и стратегического рисков), конечно, при сохранении функциональности СЭБ. Далее клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией и, «как оказалось, ненадежная» ТЭБ. Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (невыполнении финансовых обязательств в установленные интервалы времени).
Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Необходимо помнить, что клиенты кредитных организаций, являющиеся «всего лишь людьми», весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил использования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, утрата средств персональной идентификации или их компрометация в случае хищений (физических и компьютерных с помощью вирусных программ, сканирования при банкоматном обслуживании и т. п.) и др. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т. п., претензии такой клиент предъявит прежде всего к кредитной организации (даже если на самом деле проблема была связана с недостатками в деятельности каких-либо провайдеров). Поэтому во избежание реализации связанных с подобными ситуациями компонентов типичных банковских рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии неправильного поведения клиента ДБО, составить модели связанных с этим потенциальных угроз (и для кредитной организации и для клиента) и их развития, предусмотреть соответствующие меры и средства защиты, «обкатать» их в ходе проведения ПСИ СЭБ и, наконец, отразить в документе, регламентирующем порядок претензионной работы с клиентами ДБО, или его аналоге. Все это может быть реализовано как процедуры процесса УБР.
Не исключено, что, учитывая тенденцию к увеличению количества вариантов хищения персональной информации кредитным организациям целесообразно рассмотреть возможности усложнения процедур идентификации клиента при начале им сеанса ДБО и перед выполнением банковской операции, т. е. перехода к двухэтапной идентификации с разделением каналов информационного взаимодействия, несмотря на то что этот подход может повысить накладные расходы при ДБО. Для усложнения идентификации человека можно использовать то, что он:
— имеет — пропуск, паспорт, кредитную карту и т. п.;
— знает — пароль, кодовую фразу, последовательность действий;
— обладает — отпечатками пальцев, радужной оболочкой глаза и т. п. (биометрия).
За рубежом биометрические системы используются уже довольно широко не только на «режимных» объектах, но и в торговле и в банковских учреждениях и т. д. Естественно, применение таких систем может существенно сказаться на стоимости услуг ДБО, что допустимо лишь при одновременном адекватном повышении его эффективности (рентабельности), что в большинстве случаев для российского банковского сектора пока еще затруднительно. Однако организовать параллельные каналы информационного взаимодействия можно и за счет дублирования однотипных по принципу работы телекоммуникационных систем, например, если при начале сеанса от клиента требуется ввод некоего кода (PIN, ID, Log-In и пр.) с клавиатуры (тастатуры), то перед завершающим этапом операции от БАС или СЭБ кредитной организации может передаваться сеансовый код, допустим, на мобильный телефон. Схемы такого рода (системы опознавания), широко известные в оборонной тематике, повышают защищенность интересов клиента и ДБО в целом.
Помимо изложенного необходимо отметить, что история развития ДБО в российском банковском секторе (особенно в последние три года) богата претензиями клиентов к кредитным организациям, специалистам и руководителям которых приходится при разборе конфликтных ситуаций объяснять, к примеру, что:
— технические проблемы с инсталляцией дистрибутива и управлением СЭБ необходимо решать с помощью службы технической поддержки кредитной организации или ее сервис-центром, а не со случайными специалистами;
— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;
— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;
— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;
— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;
— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;
— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.
Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее web-сайтах, в рекламных буклетах и т. п.