Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
В тех случаях, когда все условия выполнения взаимных обязательств (включая ОИБ), подтверждения идентичности и аутентичности, разрешения спорных ситуаций и т. п. оговорены точно, уровни правового и репутационного рисков удается существенно снизить уже потому, что возникает гораздо меньше разногласий при возникновении конфликтных ситуаций и упрощается претензионная работа. Из изложенного следует потребность согласованного объединения усилий и квалификации нескольких подразделений кредитной организации, внедряющей ТЭБ, для того чтобы правовое, технологическое и техническое обеспечение ДБО можно было считать в совокупности полноценным и сопряженным с минимальными (остаточными) уровнями компонентов типичных банковских рисков (которые хеджируются). Организация и контроль указанного взаимодействия являются, естественно, прерогативой высшего руководства кредитной организации и ее исполнительных органов, и в оптимальном варианте то и другое находит свое отражение во внутрибанковских документах, включая положения о соответствующих структурных подразделениях.
5.8. Адаптация работы с удаленными клиентами
Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.
Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты, в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.
Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании» [175] , содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.
175
Название этого документа ориентировочное, предложено просто потому, что в большинстве кредитных организаций, предлагающих подобный вариант банковского обслуживания, документ такого рода отсутствует.
Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких-либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.
В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).
В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.
Руководству кредитной организации целесообразно четко осознавать необходимость наличия перечисленных процедур и гарантий с учетом требования Банка России, правоохранительных органов и других органов финансового контроля. В последние годы вместе с заметным обострением ситуации с ФМ в широком смысле и ПОД/ ФТ в частности (из-за чего за последние три года отозвано более сотни лицензий на осуществление банковских операций) актуальность приобрел вопрос своевременного предоставления заинтересованным федеральным учреждениям сведений о деятельности клиентов, в том числе клиентов ДБО. Для «удовлетворения» такого спроса сами кредитные организации, по-видимому, должны быть заинтересованы в том, чтобы требуемую информацию можно было предоставить, не вызывая ненужных подозрений у представителей этих учреждений. Поэтому логично видеть связь этой проблематики с претензионной работой с клиентами и развитием ДБО.
Для этого руководству высокотехнологичной кредитной организации целесообразно оптимально (т. е. полно и адекватно) сформулировать задачу «правильного выстраивания» отношений с клиентами ДБО и контрагентами, которая нередко если и не выходит на первый план, то весьма близка к этому. В оптимальном варианте такое понимание находит свое отражение прежде всего в тех внутрибанковских документах, которые регламентируют:
— осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем;
— изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми;
— выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска;
— определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния;
— определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.
Приведенный перечень уточняется кредитной организацией исходя из установленных потенциальных уязвимостей, архитектуры ИКБД, доступных ресурсов, ожидаемых последствий (правовых, репутационных, стратегических) реализации компонентов банковских рисков и т. д.