Применение технологий электронного банкинга: риск-ориентированный подход

Лямин Л. В.

Суждение о том, может ли «количество риска» считаться удовлетворительным или нет, зависит от того, насколько системы управления рисками в банке способны обеспечивать выявление, измерение, мониторинг принимаемого риска и управление им. При этом подчеркивается, что «уровни риска и качество управления риском должны оцениваться независимо», т. е. при присвоении конкретных отдельных рейтинговых оценок по системе оценивания рисков оценка уровня банковского риска не должна зависеть от оценки качества управления им независимо от того, считается оно высоким или низким. Кроме того, «высокие показатели по обеспечению капиталом не должны маскировать неадекватную систему управления рисками», поэтому не следует считать, что «высокие» уровни риска плохи сами по себе, а «низкие» хороши: «оценка уровня риска просто отражает то, какой риск банк принимает в ходе своей банковской деятельности. Оценка уровня считается хорошей или плохой в зависимости от того, насколько система управления рисками банка способна идентифицировать, контролировать риск такого уровня и управлять им». Приведенная цитата имеет прямое отношение к применению электронного банкинга ввиду того, что применение любой ТЭБ может рассматриваться как рискованное для банковской деятельности, хотя такая точка зрения, по-видимому, является упрощенной, поскольку зависит от «степени пруденциальности» условий этого применения.

В качестве примера — в связи с применением технологии интернет-банкинга — достаточно совершить короткий экскурс в историю возникновения и развития Интернета и сопоставить основные выводы из нее с реалиями ДБО через соответствующую сетевую среду. По версии, излагаемой во многих публикациях, история эта началась в 1962 г. во время интенсивной «холодной войны», которая велась так называемыми «западным миром» и «советским блоком». Тогда военные специалисты Пентагона, разрабатывавшие сценарии обмена атомными ударами между участниками уже не «холодного», а «горячего» конфликта, пришли к выводу, что в случае реализации «Советами» некоторых удачных сценариев ведения боевых действий управление войсками «Запада» может быть потеряно. Тогда было выработано простое предложение — воспользоваться в военных целях гражданскими сетями связи, которых к тому времени в США было уже довольно много: правительственные учреждения, финансовые и медицинские корпорации, университеты и другие организации сформировали развитую сетевую инфраструктуру, основанную на проводных, оптоволоконных, радиорелейных и даже спутниковых каналах связи. Очень быстро выяснилось, что эта идея нереализуема, поскольку все сети связи были созданы разными компаниями, базировались на разных аппаратно-программных платформах и работали под управлением несовместимых протоколов [134] .

134

Сетевой протокол — это набор правил формирования пакетов данных и управления их передачей.

Вследствие этого к 1964 г. сформировались и были практически воплощены (в виде армейской сети связи ARPANET) две базовые идеи «Открытой информационной системы» и «Универсального протокола взаимодействия». Первая идея предполагала обеспечение возможностей для прохождения потоков данных в условиях изменения конфигурации вычислительной сети: даже если какие-то сегменты сетевой структуры выходили из строя или, наоборот, подсоединялись к некоей базовой сетевой структуре, то данные все равно попадали бы «из пункта А в пункт Б» за счет использования маршрутизации без какого-либо ущерба их целостности. Вторая идея предполагала возможность передачи потоков данных между любыми вычислительными сетями за счет использования универсального набора правил передачи из одной сети в другую через шлюзовые элементы. Соответственно перестало иметь значение, на каких средствах и как именно реализована архитектура вычислительной сети, поскольку потоки данных этой специфики «не замечали» и взаимодействие между сетями (Inter-Net) обеспечивалось.

Таким образом достигались необходимые связность и доступность в киберпространстве (которое реализацией описанных идей и было сформировано), что привело к бурному развитию интернет-технологий, вследствие чего до настоящего времени зависимость вычислительных сетей от интернет-технологий растет. Однако довольно быстро стало очевидным, что в условиях «связности и доступности» практически любой современный бизнес оказывается под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру. К сожалению, это явилось прямым следствием противоречия между техническим прогрессом и пресловутым человеческим фактором, о чем удачно было сказано в одной из статей, напечатанных в североамериканском журнале «Atlantis Rising» [135] : «Если вы работаете в системе, основанной на честности, целостности, открытости и ясности, а в ней имеются люди, которые действуют вразрез с этими принципами, то их нельзя уличить. Все они вне подозрений». Имеется в виду, что в банковском бизнесе далеко не каждый из участников сетевого взаимодействия может иметь доступ и не ко всем информационным ресурсам (активам). Поэтому при внедрении такой СЭБ, как система интернет-банкинга, необходимо осознавать неизбежно присущие этой ТЭБ факторы риска, заложенные в ее идеологии, почему вопросы ОИБ и защиты информационных активов и стали весьма актуальными на фоне всеобщей эйфории применения в банковском деле интернет-технологий (способов межсетевого информационного взаимодействия), о чем говорилось в главе 1.

135

Цит. по: Запретная история / под ред. Д. Кэннона. М.: ACT, 2009.

На самом деле ничего особенного в применении специальных защитных мер в описанных условиях нет; было бы странно, если бы удалось обойтись без них, и не только в банковском деле, но и в военном. Важно в любом варианте реализации ТЭБ кредитными организациями анализировать их особенности, прямо связанные с организационно-техническими решениями. В качестве примера можно привести варианты реализации интернет-банкинга.

Информационный — в этом варианте кредитная организация использует свой или сторонний web-сайт просто для того, чтобы «привлечь к себе внимание», разместив на нем информацию, включающую ее реквизиты, описания услуг, указание тарифов, рекламу и т. п. Принято считать (конечно, необоснованно), что такой вариант выхода в Сеть является безрисковым, поскольку в большинстве случаев физические связи между web-сайтом и вычислительной сетью кредитной организации отсутствуют. В тоже время, очевидно, что любой web-сайт представляет собой объект для хакерской атаки, вследствие которой он может быть блокирован, его функционирование может оказаться нарушено, его контент изменен и т. п. В книге /. Crume Inside Internet Security [136] приведен пример результативной атаки хакеров на web-сайт Центрального разведывательного управления США, которые на его стартовой странице разместили надпись «Центральное управление идиотов». В случае российских кредитных организаций проявляется эффект так называемой «недобросовестной конкуренции», которая приводит к размещению на атакуемых web-сайтах антирекламы, порочащих гиперссылок, баннеров порносайтов или казино и т. п. Поэтому даже в таком простейшем «информационном варианте» возможно возникновение компонентов репутационного и правового рисков, о чем руководство кредитной организации должно бы задуматься и организовать для сопровождения и контроля функционирования своих web-сайтов специальный внутрибанковский процесс (затрагивающий несколько подразделений и требующий документарного обеспечения).

136

Ctvme. J. Inside Internet Security. Addison Wesley, Pearson Education Ltd., 2000.

Коммутационный — в этом варианте кредитная организация помимо предоставления информации о себе обеспечивает обмен информацией с клиентами, которые могут направлять ей сведения о себе, например об изменении адресных данных или реквизитов, передавать запросы, получать файлы форм или бланков и т. п. В таких случаях могут иметься физические связи между ее web-сайтом и ЛВС, вследствие чего руководству этой организации целесообразно обратить дополнительное внимание на противодействие реализации НСД, усиление антивирусной защиты и т. п., что требует организации дополнительных внутрибанковских процедур.

Операционный (транзакционный) — в этом варианте кредитная организация реализует ДБО с возможностью управления клиентом своими счетами (даже в масштабе времени, близком к реальному, из-за чего и возникло упоминавшееся ранее понятие «сквозной обработки»), Очевидно, что при таком варианте руководство кредитной организации должно уделять наиболее серьезное внимание вопросам ОИБ, поскольку могут возникать сетевые связи между «фронт-офисом» (перемещающимся в клиентскую зону концентрации источников риска) и ее «бэк-офисом», а значит, и последствия реализации компонентов банковских рисков могут оказаться также самыми серьезными.

В двух последних вариантах интернет-банкинга возможна реализация компонентов всех пяти типичных банковских рисков, о которых шла речь в главе 2, естественно, в тех случаях, когда содержанию процесса УБР, составу его процедур и связанных с ним внутрибанковских процессов руководством кредитной организации должного внимания не уделяется.

Обычно предполагается — и в этом выражается позиция как БКБН, так и североамериканских органов банковского регулирования и надзора, — что инициатива в образовании, реализации и контроле процедур такого рода (в свою очередь складывающихся во внутрибанковские бизнес-процессы) идет от органов управления кредитной организации. В то же время само проявление такой инициативы непосредственно связано со специфическими знаниями и квалификационными требованиями: их наличие как раз и выражается в осознании описанной проблематики. В части ДБО это относится как минимум к вопросам архитектуры и «физического» построения распределенных компьютерных систем и вычислительных сетей, контроля их функционирования, ОИБ, ВКи ФМ в кредитной организации. Тем самым предполагается наличие в составе органов управления кредитной организации, как подчеркивалось, специалистов с соответствующей квалификацией или, как отмечает БКБН, наличие в ней комитета, сформированного из специалистов, способных решать задачи по направлению ДБО.

Основной же проблемный фактор для кредитных организаций, осуществляющих процесс УБР в условиях применения ТЭБ и контроля над ним, заключается в том, что из-за различий в ее практической реализации возникает необходимость в точном учете конкретного состава реально действующих факторов и источников рисков в каждом отдельном случае. Из-за этого методика осуществления УБР оказывается заведомо индивидуальной для каждой кредитной организации, переходящей к ДБО. Следствием же этого становится необходимость тесного взаимодействия со службой УБР как минимум следующих подразделений кредитной организации: ИТ, ОИБ, ВК и ФМ, а также ее юридического обеспечения, сервис-центра и, возможно, операционных подразделений (в зависимости от установленного в кредитной организации распределения функций, обязанностей и ответственности). Работе этих подразделений и специфике, привносимой в ее организацию и содержание технологиями электронного банкинга, посвящены все следующие параграфы.

5.3. Адаптация информатизации банковской деятельности

Основное, что требуется для получения гарантий надежного и безопасного использования любой новой ИТ, — это обеспечение необходимой профессиональной квалификации и технической документации на реализующую ее АС. В условиях применения электронного банкинга, впрочем, к этому требованию добавляется понимание причин возникновения и особенностей реализации новых факторов и источников компонентов банковских рисков (включая ликвидацию «квалификационного разрыва», о котором говорилось ранее). Адаптация схемотехнического описания распределенных компьютерных систем и вычислительных сетей кредитной организации, включая ее филиалы и дополнительные офисы, задействованные в ИКБД, также имеет циклический характер. Это понимание целесообразно отразить во внутренних документах кредитной организации, например в таком, как «Политика внедрения и развития информационных технологий и автоматизированных систем», которая утверждается высшим руководством организации.