Мудрый Экономист

Как контролировать информационную безопасность в банке

"Внутренний контроль в кредитной организации", 2014, N 3

Если в следующие пять лет пользователей дистанционного банковского обслуживания станет вдвое больше, какие риски грозят банкам по причине такого возрастания технической составляющей? Какие проблемы связаны с недостатками в обеспечении информационной безопасности в банках? Это и расширение профиля операционного риска, и неподготовленность сотрудников в вопросах обеспечения информационной безопасности в условиях дистанционного обслуживания, и другие факторы.

Новейшие достижения в области информационных и коммуникационных технологий на основе использования глобальной сети Интернет и возможностей сотовой связи создали идеальные условия для внедрения технологии дистанционного банковского обслуживания. Технологии ДБО предоставляют клиентам кредитных организаций круглосуточный доступ к своим счетам с возможностью совершать разрешенные банковские операции. Применение технологий ДБО не только расширяет перечень потенциальных возможностей клиента, но и значительно экономит средства банка на поддержание дополнительных офисов и представительств на удаленных территориях.

По мнению основателя первого в мире мобильного банка Movebank Бретта Кинга, к 2016 г. среднестатистический клиент в развитой стране будет взаимодействовать с розничным банком через:

<1> Кинг Б. Банк 3.0. Почему сегодня банк - это не то, куда вы ходите, а то, что вы делаете. М.: Олимп-Бизнес, 2014.

По данным исследования, проведенного специалистами компании Juniper Research, к концу 2019 г. более 1,75 млрд владельцев мобильных устройств (каждый третий взрослый житель земли) будут использовать их для банковских целей. Для сравнения: на сегодняшний день сервисами мобильного банкинга пользуются около 800 млн человек во всем мире <2>.

<2> См. подробнее: Через 5 лет каждый третий взрослый житель планеты будет пользоваться мобильным банкингом. MoneyNews.ru, 9 июля 2014 г.

В России в 2013 г. выросло количество интернет-пользователей. Теперь Интернетом пользуются 68,7 млн россиян. Об этом свидетельствуют данные исследования ЦСУ Enter и Google, которое было посвящено анализу онлайн-ритейла в России <3>.

<3> См. подробнее: 68,7 млн россиян пользуются Интернетом. НИА Федерация (nia-rf.ru), 8 июля 2014 г.

Анализ существующих тенденций потребительского спроса на различные мобильные устройства, обеспечивающие доступ в Интернет, позволяет сделать вывод, что широкое распространение интернет-технологий и средств мобильной связи создают благоприятные условия для использования российскими кредитными организациями технологий ДБО. Однако необходимо понимать, что, применяя современные технологии и средства, мы можем осуществлять те или иные процедуры с большим удобством, быстрее и в гораздо больших объемах, но при этом не должны рассчитывать на чудеса - за все надо платить. Будет удобнее, быстрее и в больших объемах - будет и дороже.

Удобство, скорость и увеличение объемов обработки в числе прочего потребуют дополнительных мер обеспечения безопасности для компенсации сопутствующих рисков.

Технологии ДБО расширили профили типичных банковских рисков <4> за счет значительного возрастания технической составляющей. Непрерывность выполнения банковских операций стала во многом зависеть:

<4> Перечень типичных банковских рисков приведен в Письме Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках".
<5> Фролов Д.В., Поспелов А.Л., Ревенков П.В. Обеспечение информационной безопасности в условиях ДБО // Аналитический банковский журнал. 2014. N 6 (219).

Следует отметить, что при активном применении кредитными организациями аутсорсинга для организации ДБО аналогичные источники рисков могут возникать и на стороне различных провайдеров услуг и сотовых операторов, контроль за которыми сотрудникам кредитных организаций осуществлять весьма затруднительно, а в ряде случаев и невозможно.

Источники угроз для безопасного дистанционного обслуживания

Недостатки в области обеспечения информационной безопасности в условиях ДБО могут привести к серьезным проблемам в банках по крайней мере по четырем причинам:

  1. в силу расширения профиля операционного риска в условиях ДБО;
  2. значительного роста числа киберпреступлений в финансовой сфере;
  3. использования технологий ДБО в схемах, направленных на легализацию преступных доходов, или, другими словами, отмывание денег;
  4. недостаточной подготовки сотрудников коммерческих банков по вопросам обеспечения информационной безопасности и управления сопутствующими рисками в условиях ДБО.

Основанием для повышенного внимания к операционному риску стал выход Соглашения Базельского комитета по банковскому надзору "Международная конвергенция изменения капитала и стандартов капитала: новые подходы" (Базель II) <6>.

<6> Базель II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.

В качестве возможных проявлений операционного риска можно выделить следующие события:

Требования, предъявляемые документами Базеля II, были дополнены в документах Базеля III, в том числе и в отношении операционного риска.

Вторая причина связана с возрастанием активности киберпреступников, усилия которых направлены на хищение денежных средств клиентов банков, использующих для выполнения своих операций технологии ДБО. Киберпреступления ежегодно наносят ущерб мировой экономике в размере 445 млрд долл. США, говорится в исследовании Центра стратегических и международных исследований (CSIS). США, Китай, Япония и Германия ежегодно теряют около 200 млрд долл. США. Потери, связанные с личными данными граждан, оцениваются в рекордные 150 млрд долл. США <1>.

<1> См. подробнее: Мировая экономика недополучает 445 млрд долл. США ежегодно из-за киберпреступлений // Ведомости (vedomosti.ru), 9 июня 2014 г.

По статистике известной российской компании Group-IB, специализирующейся на расследовании компьютерных преступлений, объем рынка киберпреступности в Российской Федерации в 2012 г. составил 1,938 млрд долл. США <2>.

<2> См. отчет компании Group-IB за 2012 г. и I квартал 2013 г. "Group-IB Threat Intelligence Report 2012 - 2013 H1".

Очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки - это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не позволяет адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают выдумывать и создавать новые техники атак.

Третья причина связана с использованием технологий ДБО в схемах, направленных на легализацию преступных доходов. В последнее время отмывание денег стало одной из основных международных проблем, к решению которой привлечены ведущие страны мира. Процедура отмывания денег имеет решающее значение для функционирования практически всех форм транснациональной и организованной преступности. Различные меры экономического характера, призванные исключить или ограничить возможность использования преступниками приобретенных незаконными путями доходов, представляют собой важнейший и действенный компонент программ по борьбе с преступностью.

Как правило, процесс отмывания денег включает целый ряд операций, направленных на сокрытие источника финансовых активов, но все они входят в одну из трех стадий этого процесса: размещение, расслоение или интеграцию. Данные стадии могут проходить одновременно или частично накладываться друг на друга - в зависимости от выбранного механизма легализации и от требований, предъявляемых преступной организацией. Технологии ДБО чаще всего используются на стадии расслоения для запутывания следов реального происхождения денежных средств.

Четвертая область связана с совершенствованием профессиональной подготовки персонала банка (включая сотрудников службы внутреннего контроля) по вопросам обеспечения информационной безопасности. Учитывая заметное увеличение источников банковских рисков, основу которых составляют особенности функционирования технологий ДБО, специалистам коммерческих банков, в чьи функции входит управление рисками, необходимо иметь не только экономическое или юридическое, но и техническое образование, позволяющее уверенно ориентироваться в особенностях функционирования различных технологий ДБО.

Выводы

Отметим, что ненадлежащее обеспечение информационной безопасности технологий ДБО (в частности, продажа населению слабо защищенных финансовых услуг) ведет к созданию предпосылок для хищения денежных средств и финансирования криминала. Развитие современных процессов, связанное с ростом технических возможностей, способно многократно увеличить объемы финансирования криминала. Если допустить рост уровня хищений в больших объемах (соизмеримый с госсектором), это может стать серьезной угрозой экономической безопасности страны.

Необходим строгий контроль и регулирование процедур ДБО в целях оказания населению качественных и безопасных финансовых услуг. При комплексном решении этой задачи с правильно поставленной целью (не зарабатывание максимальной прибыли, а расширение рынка и обеспечение населения качественными и безопасными финансовыми услугами) выиграют не только клиенты банков как потребители финансовых услуг, но и банковская система в целом как основной их продавец.

А.Л.Поспелов

Начальник управления

Главного управления

безопасности и защиты информации

Банк России

П.В.Ревенков

Д. э. н.,

начальник отдела

Главного управления

безопасности и защиты информации

Банк России