Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
Одним из дополнительных, но весьма существенных факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых российскими банками, является отсутствие достаточного внимания к содержанию взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом финансовая организация должна [80] иметь полное представление о таких характеристиках своих провайдеров:
— лицензионные данные;
80
Кстати сказать, в соответствии с тем или иным федеральным законом, регламентирующим финансовую или, в частности, банковскую деятельность.
— история, опыт и отзывы о деятельности;
— состав ИТ и АПО;
— организация
— квалификация ключевого персонала;
— средства обеспечения непрерывности функционирования;
— содержание планов на случай чрезвычайных обстоятельств;
— организация ВК;
— финансовое состояние;
— наличие и содержание субконтрактов на аутсорсинг [81] ;
— результаты аудиторских проверок.
Данный перечень соответствует минимальным требованиям такого рода, но относится ко всем видам технологического аутсорсинга.
81
В этом случае требуется если не посещение представителями обслуживаемой организации субконтрактора, то как минимум изучение содержания договора основного провайдера с ним на предмет соответствия политике аутсорсинга, принятой в организации-заказчике.
Тем самым обеспечивается прозрачность ИКБД для банка и, во многом, технологическая надежность ДБО. Очевидно, что правильная организация работы с провайдерами прямо зависит от понимания значимости данной проблематики руководством банков. Можно, кстати, отметить, что на это обращается внимание многими зарубежными органами банковского надзора, к примеру, в одном из руководств Федеральной корпорации страхования депозитов США [82] , посвященном оцениванию банковских рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».
82
Federal Deposit Insurance Corporation — FDIC.
Поскольку, как отмечалось ранее, компьютерные системы провайдеров могут использоваться в качестве промежуточных «усилителей» для атак на банки, их специалистам целесообразно время от времени проводить работу по изучению состояния дел с ОИБ у провайдеров (как минимум ежегодно, в соответствии с рекомендациями БКБН). Кроме того, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем непосредственно зависит и технологическая надежность обслуживаемого банка, одновременно знакомя их с обязательствами данного банка перед клиентами и теми гарантиями, которые сам банк им обязуется обеспечить [83] . Таким образом, желательно было бы убеждаться также и в том, что специалисты провайдера осведомлены о возможных инцидентах информационной безопасности, сетевых атаках и т. п.
83
Следует отметить, что в договорных документах на ДБО российских банков такие гарантии встречаются крайне редко.
и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.
В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4 [84] .
84
Это несколько видоизмененная схема, приведенная в цитировавшейся выше книге ДжЛ. Ковасича.
Рис. 3.4. Программа защиты активов и программа предотвращения мошенничества, а также их компоненты
По аналогии с «Политикой обеспечения информационной безопасности» в таком документе следует предусмотреть совокупность мероприятий, выполнение которых позволит существенно снизить количество угроз, реализуемых в целях любой ППД. Вследствие этого неизбежна тесная связь мероприятий по ОИБ, формирующих периметр безопасности кредитной организации в киберпространстве, с мерами противодействия возможному противоправному использованию технологий ДБО. Следует отметить, что в данном случае типичный акцент на работу службы безопасности банка не оправдан — процесс эффективного возможной ППД неизбежно является комплексным!
На изучение ситуации с противодействием компьютерным мошенничествам в отношении высокотехнологичных банков и их клиентов было ориентировано Письмо Банка России от 25.02.2013 № 27-Т «О запросе и получении от кредитных организаций информации», в котором содержалась анкета по тематике организации противодействия возможной противоправной деятельности с использованием информационных технологий, в том числе интернет-технологий и других технологий ДБО. К сожалению, указанная анкета имела достаточно общий характер и поэтому может служить преимущественно в качестве принципиального ориентира для банков на те подходы, которым целесообразно было бы следовать при организации противодействия возможной ППД. Как видно из содержания входящих в анкету вопросов, основное внимание целесообразно уделять как раз перечисленным выше внутрибанковским процессам: УИТ, ОИБ, ВК, ФМ, правового обеспечения и претензионной работе.
Темпы развития все новых ИТ и способов их противоправного использования приводят к серьезным проблемам для тех, кто обязан воспрепятствовать осуществлению компьютерных преступлений и проводить компьютерные же расследования, чтобы оставаться, так сказать, «на уровне» развития информационных технологий и тем более предупреждать разрушительную деятельность «плохих парней» (как говорят в США). Вследствие этого весьма желательно оценивать новые технологии с позиций возможного их применения для сокрытия ППД, обхода мероприятий по ОИБ, ВК, ФМ и маскировки действий или маскирования личности злоумышленников. В этом плане крайне важны грамотное распределение функциональных ролей в управленческой иерархии кредитной организации и контроль над ними.
В зарубежной литературе, посвященной тематике киберправосудия, считается, что в организациях знаниями о его законодательной основе и основных принципах осуществления следует обладать:
— членам советов директоров;
— главным бухгалтерам (Chief Financial Officers);
— операционным директорам (Chief Operational Officers);
— руководителям, ответственным за информационные технологии;
— руководителям обеспечения информационной безопасности;
— руководителям службы внутреннего контроля (аудита);