Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
— директорам кадровых служб;
— менеджерам, ответственным за непрерывность бизнеса;
— менеджерам, ответственным за реагирование на инциденты.
Данный перечень не является исчерпывающим, но скорее изначальным. Отмечается, что круг лиц, от которых потребуется наличие знаний такого рода, с течением времени будет неизбежно расширяться за счет охвата второго и третьего уровней управленческой иерархии (при усложнении компьютерных систем организации).
Грамотное осуществление ВК и ФМ в условиях применения ТЭБ стало принципиально важным за последние десять лет, но, к сожалению, это не всегда в должной степени осознается руководством высокотехнологичных кредитных организаций. Как всегда подчеркивает в своих работах БКБН, «банкам необходимо располагать средствами внутреннего контроля, адекватными характеру, видам и масштабам их деятельности. Цель использования средств ВК заключается в содействии обеспечению руководством гарантий упорядоченного и эффективного ведения
85
“The relationship between banking supervisors and banks’ external auditors”, Basel Committee on Banking Supervision, Basel, BIS, Jan 2002.
В условиях новых ИКБД, создаваемых любой ТЭБ, требования к осуществлению ВК неизбежно повышаются, и сама эта работа становится пропорционально более сложной, требующей дополнительной и достаточно высокой квалификации, позволяющей «проникать» в не раз упоминавшееся в данной главе киберпространство и контролировать протекающие в нем процессы. Нельзя при этом забывать о том, что пространство это простирается от устройств, которыми пользуются клиенты, через телекоммуникационные системы, СЭБ и вычислительные сети до той или иной БАС кредитной организации, реализующей ее так называемый бэк-офис. Именно в нем и реализуется наибольшее количество компонентов таких банковских рисков, как операционный, неплатежеспособности, репутационный и, отчасти, стратегический, чему как раз и должен воспрепятствовать ВК. Отсюда можно сделать вывод, какими знаниями и квалификацией необходимо обладать специалистам службы ВК [86] .
86
Лямин Л.В. Специфика организации внутреннего контроля в условиях электронного банкинга // Внутренний контроль в кредитной организации. 2013. № 2. С. 46–53.
Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:
— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;
— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;
— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;
— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,
или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного [87] . Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.
В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.
87
По имеющейся у автора информации, их пока еще менее 400 на всю страну.
Рис. 3.5. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления ВК
Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.
В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем [88] . При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода [89] . Можно отметить, что на рынке программно-информационных продуктов, предлагаемых банкам, уже появилась целая линейка средств обнаружения и предотвращения противоправной деятельности (модули, называемые «антифрод», «антидроп» и им подобные [90] ).
88
Компьютерное мошенничество. Битва байтов / Под ред. Д.Т. Уэллса. — М.: Маросейка, 2010.
89
Лямин Л.В. Особенности управления финансовым мониторингом в условиях электронного банкинга // Банковское дело. 2011. № 1. С. 70–74; № 2. С. 70–74.
90
От англ, anti-fraud, anti-drop и т. п.
В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:
— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;
— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;
— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;
— политика подбора надежного персонала;
— порядок ограничения использования мобильных носителей информации;
— порядок сбора информации о совершении компьютерных мошенничеств;
— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;
— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;
— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;
— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;
— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);
— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;
— порядок ведения, использования и защиты компьютерных журналов;
— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);
— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;
— порядок ведения претензионной работы с удаленными клиентами;
— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;