Предоплаченные инструменты розничных платежей - от дорожного чека до электронных денег
Шрифт:
Важно отметить, что нарушение безопасности может также привести к мошенничеству, создающему дополнительную ответственность эмитента. В связи с этим вопросы, связанные с мошенничеством в системах ЭД, являются приоритетными при проектировании данных систем. Типичные примеры мошенничества в системах ЭД:
♦ несанкционированное изменение данных (суммы, валюты) при осуществлении платежа ЭД (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);
♦ отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента ЭД адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать сделки, санкционированные ими ранее,
♦ совершение операций с ЭД под именем другого держателя. В данном случае, при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;
♦ использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя ЭД), может привести к «ложной» эмиссии ЭД, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск «подделки» ЭД возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию «подделок». Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.
Существуют различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви») или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.
Следует отметить, что одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника – оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например SATAN (Security Administrator Tool for Analyzing Networks) и COPS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее «вскрыть».
Другой вид операционного риска возникает в случае, если организация предполагает осуществлять эмиссию ЭД и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы ЭД, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы ЭД с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов – держателей ЭД определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством ЭД. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Internet (система E-cash, система PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Internet, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Internet) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи «форс-мажора», уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую
Быстрый темп изменений, характерный для указанных информационных технологий, вызывает необходимость их модернизации, что, в свою очередь, повышает требования эмитентов ЭД к адаптационным способностям своего персонала и увеличивает опасность возникновения трудностей при переходе к более сложным интегрированным электронным решениям. Довольно часто внедрение более производительной технологии оборачивается для сотрудников эмитентов ЭД и их потребителей если не хаосом, то значительными операционным проблемами. К указанному типу операционного риска можно отнести и ошибки, возникающие во время технического обслуживания системы или при использовании специальных программ, применяемых для исправления ранее допущенных ошибок. Причиной их зачастую являются некорректные операции персонала, ошибки же вследствие неполадок в компонентах оборудования относительно редки. Еще одним источником возникновения ошибок являются исправления, вносимые в стандартные пакеты программного обеспечения (например, в «электронный кошелек») с целью удовлетворения потребностей конкретного пользователя.
Риск, связанный с отказом в функционировании как самой системы ЭД, так и устройств держателя ЭД, вследствие сбоев в работе программного и аппаратного компонентов средств вычислительной техники (компьютерные системы) эмитента ЭД и/или устройства держателя ЭД, также относится к операционным рискам. Современные компьютерные системы представляют собой сложный комплекс разнообразного оборудования и программного обеспечения, неполадки в работе любого из компонентов которого могут привести к сбою в работе всей системы. Зачастую компоненты системы сконцентрированы в одном месте, что увеличивает ее уязвимость в случае непредвиденных происшествий. К существенным убыткам может привести отсутствие плана мероприятий в случае сбоев в работе компьютерной системы или низкое качество таких планов. Отсутствие такого плана ведет к задержкам при принятии управленческих решений и, соответственно, как к прямым убыткам (учитывается каждый день простоя), так и косвенным – угроза потери деловой репутации, который более подробно будет рассмотрен далее.
К операционным рискам также относится риск неадекватного исполнения управляющим звеном своих обязанностей. Вся полнота ответственности за защиту деятельности банка от рисков, описанных выше, лежит на управленческом звене кредитной организации, которое должно обеспечить разработку:
а) превентивных мероприятий по минимизации вероятности возникновения нештатных ситуаций. Примером подобных мероприятий могут служить планировка расположения компьютерных центров, процедуры контроля за вводом информации, установка паролей доступа и т. д.;
б) мероприятий по минимизации негативных последствий нештатных ситуаций. Такой перечень должен включать в себя создание резервных коммуникационных и компьютерных сетей, разработку планов действий в чрезвычайных ситуациях и т. д. К подобным мероприятиям можно также отнести страхование мошенничества персонала, повреждений программного обеспечения и оборудования, неплановых затрат по восстановлению информации.
Риск репутации – это риск, проявляющийся в сокращении клиентуры банков, оттоке фондов, сбросе банковских акций и пр. вследствие негативного общественного мнения о деятельности данного банка. Этот риск может быть вызван действиями, которые создают негативное общественное мнение в отношении операций банка, в результате которого способность банка устанавливать и поддерживать отношения с клиентами будет значительно ослаблена. Риск репутации может возникнуть в ответ на действия самого банка или действия третьих сторон. Он может быть прямым следствием обнародования информации о повышенном риске или проблемах в других категориях риска, в частности, в области операционного риска.
Риск репутации может возникнуть, если системы ЭД не функционируют эффективно, как ожидалось, и тем самым вызывают широкую негативную реакцию пользователей (как держателей ЭД, так и предприятий торговли (услуг), принимающие в оплату за реализуемые товары ЭД) данных систем. Значительная брешь в системе безопасности, будь она результатом внешнего или внутреннего вмешательства, также может подорвать доверие пользователей. Такой риск может возникнуть в случаях, когда держателей ЭД испытывает трудности с совершаемыми операциями, поскольку не получил адекватной информации – как пользоваться услугой и каковы процедуры разрешения проблем (например, таких как, утеря ЭД и/или специального средства, сбои при осуществлении платежей ЭД и т. п.)