Кибербезопасность в условиях электронного банкинга. Практическое пособие
Шрифт:
Рис. 23. «Сложная» схема – примерно до 5 млн руб.
Далее банку предоставляются паспортные данные «сотрудников», и тот выпускает карты. Паспортные данные берутся у тех же дропов или покупаются на хакерских форумах.
Кибермошенники чаще прибегают к помощи «обнальщиков», чем самостоятельно разворачивают дроп-проекты [42] .
В последнее время участились кражи из электронных платежных систем. Схемы примерно те же, только деньги выводятся либо на другие кошельки, либо
42
Главари организованных преступных группировок с большим интересом участвуют в таких махинациях, поскольку хакеры готовы отдавать до 50 % украденных денег.
Исходя из проведенного нами исследования, можно сформулировать следующие общие рекомендации для граждан:
– быть бдительными и проверять не только веб-сайты организаций, предоставляющих финансовые услуги, но и информацию, получаемую в SMS;
– не сообщать свои персональные данные, в том числе карточные данные, неизвестным третьим лицам;
– не переводить денежные средства в пользу третьих лиц без соответствующей проверки информации;
– если денежные средства все-таки похищены, незамедлительно сообщить в уполномоченные организации (в полицию, банк, оператору связи и т. д.).
Только бдительность и применение мер безопасности могут уберечь от хищений денежных средств.
1.3. Актуальные направления регулирования в условиях электронного банкинга
Никакой транспорт не будет попутным, если не знаешь, куда идти.
Распределение ответственности в сфере применения технологий ДБО в связи с вступлением в действие ст. 9 [43] Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] – наиболее острый вопрос, требующий доработки и четкого понимания обеими сторонами (банками и их клиентами). В действующей редакции большая часть ответственности переходит на кредитные организации, поэтому становятся понятны их многочисленные обращения к регулятору с просьбой выстроить сбалансированную справедливую систему, в которой все участники защищены и имеют возможность получить необходимую информацию.
43
Вступила в действие с 1 января 2014 г.
Суть обращений сводится к тому, что каждая из сторон должна нести ответственность за свои действия (или бездействие) в пределах, не превышающих ее физические возможности, а также не должна допускать неотвратимого и безнаказанного причинения ущерба другой стороне.
Напомним, что коммерческие банки, работая в условиях жесткой конкуренции, не заинтересованы расходовать на обеспечение информационной безопасности больше средств, чем конкуренты. Информационная безопасность всегда связана с затратами для кредитных организаций, неудобствами для банковского персонала и клиентов. Что касается клиентов, то они обращают больше внимания на удобство банковских услуг, чем на их безопасность.
Поэтому кредитным организациям нужен разумный компромисс, который строится на нескольких базовых принципах организации информационной безопасности:
– стоимость защиты не должна превышать стоимости защищаемых информационных ресурсов;
– банк и клиент должны выйти на такой уровень защиты транзакций, когда для клиента защита еще удобна и приемлема по стоимости, а злоумышленнику уже невыгодно совершать преступление из-за высоких расходов на преодоление защиты.
Наряду с очевидными преимуществами СЭБ принесли в банковский бизнес дополнительные риски (рис. 24). А если говорить точнее, то количество типичных банковских рисков [44] осталось прежним,
44
Перечень типичных банковских рисков приведен в Письме Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».
Рис. 24. Дополнительные источники банковских рисков в условиях применения СЭБ
Непрерывность выполнения банковских операций стала во многом зависеть:
– от различных сбоев в аппаратно-программном обеспечении (АПО) СЭБ;
– качества и надежности каналов связи;
– наличия резервных источников электропитания;
– качества архивации данных об операциях с использованием СЭБ;
– недостатков в обеспечении информационной безопасности конфиденциальных сведений.
Однако необходимо хорошо понимать, что, применяя современные технологии и средства, мы можем осуществить те или иные процедуры удобнее, быстрее и в гораздо больших объемах, но при этом не надо рассчитывать на чудеса – за все надо платить. И если регулирование в области ДБО (включая услуги ЭБ) будет отставать от появления и распространения новых источников типичных банковских рисков, то «удобнее, быстрее и в больших объемах» в целом будет дороже. В первую очередь возрастают затраты на обеспечение безопасности данного способа оказания банковских услуг, так как кредитные организации будут вынуждены учитывать не только внутрибанковские риски, но и риски, возникающие на стороне клиента и различных провайдеров (например, интернет-провайдеров в случае интернет-банкинга, сотовых операторов в случае мобильного банкинга) [45] .
45
Следует отметить, что риски, возникающие на стороне различных провайдеров услуг и сотовых операторов, сотрудникам кредитных организаций весьма затруднительно (а в ряде случаев невозможно) контролировать.
По мнению авторов, на сегодняшний день есть четыре причины, по которым применение СЭБ нуждается в дополнительном регулировании:
1) расширение профиля операционного риска в условиях ЭБ;
2) значительный рост числа киберпреступлений в финансовой сфере (включая хищения денежных средств в СЭБ);
3) использование СЭБ в схемах, направленных на легализацию преступных доходов (или, другими словами, отмывание денег);
4) недостаточная подготовка сотрудников коммерческих банков по вопросам обеспечения информационной безопасности и управления сопутствующими рисками в условиях ЭБ.
Рассмотрим каждую из выделенных проблем более подробно.
1.3.1. Управление операционным риском
Причиной повышенного внимания к операционному риску стал выход соглашения Базельского комитета по банковскому надзору (БКБН) «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II. Соглашение Basel II является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.
Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.
В качестве возможных проявлений операционного риска можно выделить следующие типы событий:
– внешние воздействия (наводнения, пожары, аварии и т. п.);
– внутренние и внешние мошенничества;
– ошибки персонала;
– сбои в реализации бизнес-процессов и обслуживании клиентов;