6.2. Web-отношения с провайдерами

Возникновение новых источников компонентов банковских рисков вызвано как самим наличием сторонних организаций в ИКБД, так и появлением функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами. Указанные источники в документах, регламентирующих УБР в кредитной организации, ранее не описывались и не анализировались, а следовательно, в составляющих этот процесс процедурах не отражались. Эти источники (как, впрочем, и во всех остальных случаях возникновения web-отношений) желательно выявлять и анализировать с позиций возможно более полного понимания организационных, технологических и технических причин возникновения потенциальных угроз надежности банковской деятельности на основе четкого представления состава и структуры ИКБД, а также ролевых функций всех его участников. При этом целесообразно помнить, что каждому из них свойственна своя специфика, которая подлежит точно такому же специальному учету в частных процедурах общего процесса УБР в условиях ДБО.

Вопросы пруденциального формирования и поддержания кредитными организациями web-отношений со своими провайдерами актуальны прежде всего в отношении тех компаний, которые непосредственно содействуют им в использовании представительств в Сети для взаимодействия с реальной и потенциальной клиентурой. К числу таких провайдеров относятся компании, которые предоставляют услуги связи и обеспечивают необходимый кредитной организации трафик, и компании, которые создают для нее web-сайты и обеспечивают их функционирование на своих производственных мощностях, а также предоставляют техническое сопровождение (в этом качестве могут выступать интернет-провайдеры, разработчики web-сайтов, компании-интеграторы и т. п.). В зависимости от конкретной функциональной роли того или иного провайдера отношения с ним будут строиться по-разному, поскольку с каждым вариантом ассоциируются свои факторы и порождаемые ими подмножества источников компонентов банковских рисков (хотя частично эти подмножества пересекаются).

В российских условиях еще недостаточно развитой конкуренции в области предложения инфраструктуры, обеспечивающей взаимодействие кредитных организаций с внешним миром через виртуальное пространство Сети, кредитные организации пока не располагают необходимыми возможностями для влияния на соответствующие сторонние организации. Свидетельствует об этом в первую очередь то, что даже выбор провайдера для доступа к Сети, получения тех или иных каналов (линий) связи, поддержки телекоммуникационного и внутрибанковского сетевого оборудования, web-программирования и т. п. нередко оказывается вынужденным, за исключением, пожалуй, нескольких «развитых» в этом отношении российских регионов[183]. Тем не менее даже если отношения с провайдерами строятся таким «вынужденным» образом, кредитным организациям целесообразно проанализировать возможные причины возникновения дополнительных источников компонентов банковских рисков и учитывать их в содержании общего процесса УБР и входящих в него процедур (как правило, имеющих более «организационно-технический», чем операционный характер). Впрочем, в таких ситуациях двумя наиболее существенными вопросами, подлежащими рассмотрению руководством кредитной организации, являются:

а) целесообразность организации ДБО как такового в безальтернативных условиях аутсорсинга;

б) наличие ресурсов в плане организации запасных маршрутов информационного взаимодействия с клиентами.

В любом случае целесообразно четко осознавать, что речь идет о части ИКБД, который формируется при внедрении кредитной организацией любого варианта ДБО и может контролироваться и тем более управляться со стороны кредитной организации заведомо в неполной мере (во всяком случае, в настоящее время). Эта ситуация, кстати, усугубляется недостатками ГК РФ, в котором неполно описаны обязанности и ответственность сторон, вступающих в контрактные отношения, связанные с обеспечением выполнения условий зависимых от них договоров и финансовых обязательств. Из этого следует то, что в интересах учета потенциального влияния новых компонентов банковских рисков технологического и технического характера руководству кредитной организации целесообразно:

1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;

2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от web-отношений.

В части web-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLA, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время web-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов. Из-за этого нередко качество контрактов, заключаемых с ними кредитными организациями, не выдерживает критики с позиций защиты интересов их клиентов, равно как и содержания договоров с клиентами на ДБО, которые плохо представляют себе структуру ИКБД, через которую взаимодействуют с кредитной организацией. Отсюда следует целесообразность непосредственной связи положений договорных документов кредитной организации с клиентами и содержанием ее контрактов с провайдерами. Задач, не имеющих решения, здесь практически не существует, конечно если руководство кредитной организации учитывает характер и специфику зависимости надежности банковской деятельности от построения отношений с провайдерами. К сожалению, как свидетельствует опыт изучения содержания упомянутых документов, такие связи пока еще не стали повсеместным явлением.

Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях web-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS — атаки, принятие мер по нейтрализации DDOS-атак и т. п.)…»[184]

В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее web-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети[185]. До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации web-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» web-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты»[186], «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.

По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (web-серверов, почтовых серверов, маршрутизаторов, сетевых экранов) и т. п. Следствием принятия этого подхода может стать удорожание применения кредитной организацией технологий электронного банкинга, но вместе с тем будет повышена его надежность. В современных условиях повышение затрат на обеспечение надежности ДБО (в широком смысле) безусловно оправдано и обосновано, и чтобы оно не сказалось негативно на тарифах, кредитным организациям целесообразно в ходе адаптации своих внутрибанковских процессов позаботиться об их оптимизации, т. е. о компенсации увеличения затрат на повышение эффективности процесса УБР.

В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.

Возникновение новых источников компонентов банковских рисков вызвано как самим наличием сторонних организаций в ИКБД, так и появлением функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами. Указанные источники в документах, регламентирующих УБР в кредитной организации, ранее не описывались и не анализировались, а следовательно, в составляющих этот процесс процедурах не отражались. Эти источники (как, впрочем, и во всех остальных случаях возникновения web-отношений) желательно выявлять и анализировать с позиций возможно более полного понимания организационных, технологических и технических причин возникновения потенциальных угроз надежности банковской деятельности на основе четкого представления состава и структуры ИКБД, а также ролевых функций всех его участников. При этом целесообразно помнить, что каждому из них свойственна своя специфика, которая подлежит точно такому же специальному учету в частных процедурах общего процесса УБР в условиях ДБО.

Вопросы пруденциального формирования и поддержания кредитными организациями web-отношений со своими провайдерами актуальны прежде всего в отношении тех компаний, которые непосредственно содействуют им в использовании представительств в Сети для взаимодействия с реальной и потенциальной клиентурой. К числу таких провайдеров относятся компании, которые предоставляют услуги связи и обеспечивают необходимый кредитной организации трафик, и компании, которые создают для нее web-сайты и обеспечивают их функционирование на своих производственных мощностях, а также предоставляют техническое сопровождение (в этом качестве могут выступать интернет-провайдеры, разработчики web-сайтов, компании-интеграторы и т. п.). В зависимости от конкретной функциональной роли того или иного провайдера отношения с ним будут строиться по-разному, поскольку с каждым вариантом ассоциируются свои факторы и порождаемые ими подмножества источников компонентов банковских рисков (хотя частично эти подмножества пересекаются).

В российских условиях еще недостаточно развитой конкуренции в области предложения инфраструктуры, обеспечивающей взаимодействие кредитных организаций с внешним миром через виртуальное пространство Сети, кредитные организации пока не располагают необходимыми возможностями для влияния на соответствующие сторонние организации. Свидетельствует об этом в первую очередь то, что даже выбор провайдера для доступа к Сети, получения тех или иных каналов (линий) связи, поддержки телекоммуникационного и внутрибанковского сетевого оборудования, web-программирования и т. п. нередко оказывается вынужденным, за исключением, пожалуй, нескольких «развитых» в этом отношении российских регионов[183]. Тем не менее даже если отношения с провайдерами строятся таким «вынужденным» образом, кредитным организациям целесообразно проанализировать возможные причины возникновения дополнительных источников компонентов банковских рисков и учитывать их в содержании общего процесса УБР и входящих в него процедур (как правило, имеющих более «организационно-технический», чем операционный характер). Впрочем, в таких ситуациях двумя наиболее существенными вопросами, подлежащими рассмотрению руководством кредитной организации, являются:

а) целесообразность организации ДБО как такового в безальтернативных условиях аутсорсинга;

б) наличие ресурсов в плане организации запасных маршрутов информационного взаимодействия с клиентами.

В любом случае целесообразно четко осознавать, что речь идет о части ИКБД, который формируется при внедрении кредитной организацией любого варианта ДБО и может контролироваться и тем более управляться со стороны кредитной организации заведомо в неполной мере (во всяком случае, в настоящее время). Эта ситуация, кстати, усугубляется недостатками ГК РФ, в котором неполно описаны обязанности и ответственность сторон, вступающих в контрактные отношения, связанные с обеспечением выполнения условий зависимых от них договоров и финансовых обязательств. Из этого следует то, что в интересах учета потенциального влияния новых компонентов банковских рисков технологического и технического характера руководству кредитной организации целесообразно:

1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;

2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от web-отношений.

В части web-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLA, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время web-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов. Из-за этого нередко качество контрактов, заключаемых с ними кредитными организациями, не выдерживает критики с позиций защиты интересов их клиентов, равно как и содержания договоров с клиентами на ДБО, которые плохо представляют себе структуру ИКБД, через которую взаимодействуют с кредитной организацией. Отсюда следует целесообразность непосредственной связи положений договорных документов кредитной организации с клиентами и содержанием ее контрактов с провайдерами. Задач, не имеющих решения, здесь практически не существует, конечно если руководство кредитной организации учитывает характер и специфику зависимости надежности банковской деятельности от построения отношений с провайдерами. К сожалению, как свидетельствует опыт изучения содержания упомянутых документов, такие связи пока еще не стали повсеместным явлением.

Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях web-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS — атаки, принятие мер по нейтрализации DDOS-атак и т. п.)…»[184]

В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее web-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети[185]. До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации web-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» web-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты»[186], «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.

По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (web-серверов, почтовых серверов, маршрутизаторов, сетевых экранов) и т. п. Следствием принятия этого подхода может стать удорожание применения кредитной организацией технологий электронного банкинга, но вместе с тем будет повышена его надежность. В современных условиях повышение затрат на обеспечение надежности ДБО (в широком смысле) безусловно оправдано и обосновано, и чтобы оно не сказалось негативно на тарифах, кредитным организациям целесообразно в ходе адаптации своих внутрибанковских процессов позаботиться об их оптимизации, т. е. о компенсации увеличения затрат на повышение эффективности процесса УБР.

В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.