Управление финансами
документы

1. Акт выполненных работ
2. Акт скрытых работ
3. Бизнес-план примеры
4. Дефектная ведомость
5. Договор аренды
6. Договор дарения
7. Договор займа
8. Договор комиссии
9. Договор контрактации
10. Договор купли продажи
11. Договор лицензированный
12. Договор мены
13. Договор поставки
14. Договор ренты
15. Договор строительного подряда
16. Договор цессии
17. Коммерческое предложение
Управление финансами
егэ ЕГЭ 2017    Психологические тесты Интересные тесты   Изменения 2016 Изменения 2016
папка Главная » Экономисту » Риски интернет-банкинга

Риски интернет-банкинга



Риски интернет-банкинга

Для удобства изучения материала статью разбиваем на темы:

Внимание!

Если Вам полезен
этот материал, то вы можете добавить его в закладку вашего браузера.

добавить в закладки

  • Виды рисков интернет-банкинга
  • Факторы рисков интернет-банкинга российских кредитных организаций

    Виды рисков интернет-банкинга

    Развитие Интернета и удобных для потребителей электронных технологий, а также предоставление банками все новых видов услуг на конкурентной основе связано не только с получением преимуществ, но и с рисками.

    Интернет-банкинг не меняет природы финансовых рисков. При его проведении банкам приходится сталкиваться с теми же основными видами риска, что и при проведении классических банковских операций (кредитный, ликвидности, рыночный, операционный, правовой).

    При этом интернет-банкинг, как правило, на современном технологическом уровне увеличивает подверженность риску и вносит разнообразие в его структуру, что обусловлено:

    -              виртуальным характером дистанционных банковских операций;

    -              общедоступностью «открытых» телекоммуникационных систем;

    -              чрезвычайно высокой скоростью выполнения транзакций;

    -              глобальными масштабами межсетевого операционного взаимодействия;

    -              активным участием фирм — провайдеров услуг в проведении операций.




    При идентификации и анализе рисков интернет-банкинга  необходимо учитывать все компоненты среды, через которые проходят банковские данные кредитной организации и информация ее клиентов, поскольку каждый из этих компонентов в той или иной мере может оказаться источником риска.

    К рискам, связанным с интернет-банкингом, с разной степенью воздействия относят: кредитный, процентный, фондовый, валютный, операционный, стратегический, репутационный, правовой, а также риск ликвидности. При этом указанные виды рисков не являются, исчерпывающими.

    Кредитный риск обнаруживается во всех видах деятельности, в которых успех зависит от действий партнера, эмитента или заемщика. Он возникает каждый раз, когда фонды банка распределяются, передаются или иным образом подвергаются опасности через явные или подразумеваемые контрактные соглашения, независимо от того, учитываются они на балансе или вне баланса. Следует отметить, что кредитный риск актуален для кредитных организаций, уровень интернет банкинга которых высок — законодательство и макроэкономическая ситуация стран присутствия этих банков позволяют им выдавать кредиты посредством сети Интернет.

    Интернет-банкинг предоставляет банку возможность расширения географии своей работы. Клиенты могут работать с данным учреждением практически из любого места в мире. При взаимодействии с клиентами через Интернет, когда отсутствует какой-либо личный контакт, для учреждений возникает проблема верификации (подтверждения) истинности личностей их клиентов, что является важным элементом при принятии решений в части кредитования. Подтверждение залога и выполнение соглашений об обеспечении безопасности также могут оказаться проблемными в случаях работы с удаленными заемщиками. При отсутствии должного управления интернет-банкинг может привести к концентрации кредитов у таких заемщиков или кредитов в отдельной отрасли производства. Более того, вопрос о том, под юрисдикцией какого государства находятся взаимоотношения через Интернет, иногда решить бывает достаточно сложно.

    Кредитный риск может увеличиваться и за счет того, что банки хуже знают своего клиента в силу его удаленности и большей подвижности (частой смены банка). Банки могут снижать требования при предоставлении кредитов под давлением конкурентной борьбы. Вместе с тем хранение информации в электронном виде позволит отдельным банкам и банковским ассоциациям повысить эффективность ведения и использования кредитных досье клиентов, что, в свою очередь, позволит улучшить технику оценки кредитного риска.

    Процентный риск возникает в процессе онлайн-трейдинга, поскольку в этом случае операции управляются трейдерами, не зависящими от банковской системы управления, а также при предоставлении депозитных и кредитных продуктов клиентам через Интернет. Следует учесть, что интернет-банкинг может способствовать формированию депозитных, кредитных и других отношений с более широким кругом потенциальных клиентов, чем при реализации этих отношений в офлайновом режиме — через традиционные банковские офисы, с использованием «классического» маркетинга. Расширенный доступ к клиентам, заинтересованным преимущественно в наиболее высоких процентных ставках или сроках, усиливает потребность руководства в поддержании на адекватном уровне систем управления активами/пассивами, включая способность быстрого реагирования на меняющиеся рыночные условия.

    Риск ликвидности. Увеличение риска ликвидности может быть связано с предоставлением клиентам возможности оперативно и круглосуточно выполнять перевод средств по счетам, открытым в различных банках. Увеличение мобильности капитала приводит к повышению волатильности депозитных счетов. При этом концентрация риска ликвидности зависит от объема и характера действий со счетами, контролируемыми клиентами через Интернет, что соответственно оказывает влияние на выстраиваемую банком систему мониторинга ликвидности и изменений в депозитах и ссудах.

    Значительное влияние на ликвидность может оказать риск репутации банка. Например, если хакеру удалось взломать сайт банка и изменить его информационное содержание и не удалось изменить данные счетов банка или извлечь какую либо финансовую выгоду другим способом,  все равно банк, вероятно, столкнется с массовым оттоком клиентов, которые сделают вывод о потенциальной ненадежности системы безопасности данного банка.

    Фондовый риск. Банки могут оказаться подвержены фондовому риску, если они начинают или расширяют депозитный брокеринг, торговлю кредитами или программу страхования от риска в результате деятельности в рамках интернет-банкинга. Риск финансовых инструментов, с которыми банк проводит операции, может возрасти под влиянием развития еще одного направления деятельности на финансовом рынке — Интернет-трейдинга. Волатильность активов увеличится из-за развития каналов оперативного распространения финансовой информации и возможности одновременного проведения операций на различных торговых площадках, а также из-за использования одних и тех же компьютерных программ по управлению портфелем различными категориями инвесторов. С другой стороны, Интернет-трейдинг позволяет привлечь на финансовый рынок преимущественно незначительные средства разрозненных физических лиц, так что в большинстве случаев их операции, направленные на противоположные цели, будут компенсировать друг друга и не окажут существенного влияния на совокупный фондовый риск банка.

    Соответственно, если осуществляется активный трейдинг, банку следует обеспечивать наличие необходимых систем управления для мониторинга, измерения фондового риска и управления им.

    Валютный риск имеет место, когда некая ссуда или кредитный портфель номинируется в валюте или финансируется за счет займов в другой валюте. В некоторых случаях банки вовлекаются в мультивалютные кредитные обязательства, которые позволяют заемщикам выбирать ту валюту, которую они предпочитают использовать в каждом периоде пролонгации ссуды. Валютный риск может увеличиться за счет действия политических, социальных или экономических факторов. Соответствующие последствия могут оказаться неблагоприятными, если обмен одной из используемых валют будет подчинен строгому регулированию или если наблюдаются сильные колебания ее обменного курса. Для интернет-банкинга  не существует границ и расстояний, он может осуществляться в разных валютах, что должно учитываться службой риск-менеджмента банка.

    Операционный риск. Наибольшую угрозу для банка при оказании им услуг через Интернет представляет операционный риск. При этом совершенно не важен уровень развития интернет-банкинга  в стране или в рамках отдельного банка — операционный риск является постоянным для услуг такого рода.

    Операционный риск проявляется в каждой интернет-услуге и распространяется на организацию услуг и их предоставление, обработку транзакций, разработку систем, компьютерные системы, сложность услуг и обслуживания, а также условия осуществления внутреннего контроля.

    Уровень операционного риска, который имеет место при оказании услуг интернет-банкинга, особенно высок, если эти услуги неадекватно спланированы, реализованы и к тому же слабо контролируются. Банки, предоставляющие услуги и обслуживание через Интернет, должны соответствовать ожиданиям своих клиентов. Они должны также гарантировать, что им удалось организовать правильное сочетание услуг и что они имеют возможности предоставления полного, своевременного и надежного обслуживания для формирования высокого уровня доверия к своей репутации. Клиенты, осуществляющие деловые операции через Интернет, скорее всего не обратятся к банкам, которые не обладают специализированными средствами внутреннего контроля для управления проведением операций в рамках интернет-банкинга. Подобным образом клиенты ожидают непрерывной доступности к конкретной услуге и web-страницам банка с простой навигацией (ориентацией) по ним.

    Программное обеспечение для поддержки различных функций интернет-банкинга  поставляется клиентам из разнообразных источников. Банки могут осуществлять поддержку клиентов или используя запрашиваемое клиентами или поставляемое банком программное обеспечение браузеров или персональных финансовых помощников (PFM — Personal Financial Manager). Хорошая связь между банками и их клиентами способствует отслеживанию соответствия различных программных продуктов PFM желаниям их пользователей.

    Для того чтобы банки могли гарантировать предоставление услуг и обслуживания в случае неблагоприятных обстоятельств, необходимо организовать планирование в части обеспечения непрерывности и возобновления деловых операций. Предоставление услуг интернет-банкинга  с использованием устойчивой сети связи может реально облегчить решение этой задачи, поскольку резервные возможности могут быть распространены в широкой географической зоне. К примеру, если основной сервер оказывается неработоспособен, сеть связи должна автоматически переадресовывать поток данных на резервный сервер, размещенный в другом месте. При разработке банком своих планов по обеспечению непрерывности и возобновлению деловых операций следует рассматривать вопросы безопасности и внутреннего контроля, системы которых на резервных позициях должны быть такими же по сложности, как и те, которые имеются на основном месте обработки. Ключевым требованием клиентов является высокая степень доступности систем.

    Банкам, которые предлагают оплату счетов через Интернет, потребуется построение отлаженного процесса для осуществления клиринга транзакций между самим банком, его клиентами и третьими сторонами. Следует понимать, что ошибки в клиринге могут усугубить репутационный риск, риск ликвидности и кредитный риск банка.

    При рассмотрении операционного риска, как правило, наибольшее внимание уделяется вопросам безопасности. Вопросы безопасности не новы для банков. В среде профессионалов существует даже определение: банк — это организация, в которой хищение может быть совершено в любом подразделении. Однако при использовании Интернета для выполнения операций возникают новые аспекты этого риска, связанные с компьютерной и информационной безопасностью. При предоставлении услуг интернет-банкинга  существует потенциальная угроза несанкционированного просмотра или изменения финансовой информации по счету клиента или во внутренней сети коммерческого банка.

    Использование банками современных криптографических систем, соответствующих компьютерных программ и других средств позволяет достигнуть надлежащего уровня безопасности. Однако необходимо отметить, что указанные элементы информационной безопасности будут эффективны только в том случае, если в соответствующих внутрибанковских регламентах и процедурах четко определен порядок их использования, а также предусмотрен порядок действий в непредвиденных ситуациях и система внутреннего контроля обеспечивает неукоснительное следование данным инструкциям. Кроме того, изменение методов атак хакеров определяет необходимость регулярного пересмотра используемых банком элементов системы информационной безопасности и внутрибанковских инструкций и процедур по их применению.

    В дополнение к стандартным методам построения системы безопасности в ряде случаев эффективным оказывается тестирование используемых в банке технологий третьей стороной, которая на основании соответствующего договора имитирует вторжение хакеров и тем самым выявляет слабые места в системе безопасности. Исследования свидетельствуют о том, что системы более уязвимы к внутренним атакам, чем к внешним, поскольку пользователи внутренних систем обладают знанием этих систем и доступом к ним. Банкам следует иметь надежные средства защиты и обнаружения, чтобы обезопасить свои системы интернет-банкинга  от вторжений как изнутри, так и снаружи.

    Банк в рамках управления операционным риском при оказании услуг интернет-банкинга  должен гарантировать клиенту следующее:

    -              устанавливая соединение с определенным банком, клиент направляет информацию именно данному банку, а не мошеннику, организовавшему перенаправление данных;

    -              данные, направленные в банк, не будут изменены при пересылке;

    -              информация о клиенте и его операциях не будет раскрыта третьим лицам;

    -              отправитель данных в адрес клиента может быть однозначно идентифицирован.

    Еще одной составляющей операционного риска является угроза расширения операций по отмыванию денег. Данный вид риска возрастает в силу возможности проведения банковских операций из любой точки планеты независимо от времени суток без специального оборудования, увеличения скорости электронных расчетов и автоматизации процесса осуществления банковских операций. При дистанционном обслуживании через Интернет для банков затруднена идентификация клиентов, отсутствуют личный контакт и контроль со стороны сотрудников банка, как в момент открытия счета, так и при последующем проведении операций. Таким образом, оказывается неэффективным один из обязательных механизмов внутреннего контроля, и соответственно банки должны адаптировать процесс мониторинга транзакций с учетом произошедших изменений в технологии проведения операций.

    Указанная важность технологических аспектов в деятельности банка не означает, что регулирующие органы должны отвечать за то, что программно-техническое оборудование банков не всегда работает так, как ожидается. Так же, как и сами банки, регулирующие органы должны изучать внедрение интернет-банкинга  с позиций влияния применяемых информационных технологий на профиль риска банка и финансовые результаты его деятельности и, возможно, на данном этапе развития рассматривать технологии в качестве самостоятельного объекта контроля.

    Правовой риск. Уровень правового риска зависит в первую очередь от степени проработанности законодательства по вопросу интернет-банкинга. Во многих странах действуют законы об электронной подписи, позволяющие подвести правовую базу под осуществление электронной коммерции в целом и интернет-банкинга  в частности. Например, в России наличие в правовой системе Федерального закона № 1ФЗ «Об электронной цифровой подписи» позволяет существенно снизить правовой риск, связанный с осуществлением интернет-банкингом, хотя говорить о формировании национальной правовой базы интернет-банкинга  преждевременно.

    Как уже отмечалось, при осуществлении интернет-банкинга  стираются национальные границы. Это приводит к тому, что на правовой риск влияет законодательство не только страны расположения банка, но и страны расположения клиента. Дополнительный риск возникает в силу необходимости руководствоваться законодательством различных стран.

    Банк, занимающийся интернет-банкингом, будет подвергаться правовому риску и в случае несанкционированного распространения или утечки частной информации клиентов.

    Большинство клиентов интернет-банкинга  будут продолжать пользоваться другими каналами доведения банковских услуг. Соответственно, банкам потребуется разъяснять своим клиентам, что информация, которую они дают по каналам интернет-банкинга, включая web-сайты, соответствует информации других каналов предоставления услуг.

    Требования к рекламе и архивированию записей также применяются к web-сайтам банков и предлагаемым услугам и видам обслуживания. Объявления должны быть понятными и явно давать указание на страхование со стороны государства и банка там, где это уместно, так чтобы клиенты могли сразу определить, застрахованы ли услуги или виды обслуживания.

    Применение требований конфиденциальности информации к услугам и обслуживанию в форме электронного банкинга представляется критично важным. Проведение банковской деятельности через Интернет делает проблемным обеспечение соответствия этим требованиям. Банки, планирующие открытие новых счетов через Интернет, должны обладать жесткими стандартами в этой области. Также банк обязан установить систему контроля для выявления нетипичных или подозрительных действий, а при необходимости, формировать отчетность о подозрительной деятельности.

    Установленные законодательством правила перевода денежных средств применимы также к переводам или передачам через Интернет средств в случаях, когда сумма транзакций превышает установленные лимиты и не относится к одному из оговоренных правилами исключений. Банки должны удостовериться в том, что клиенты предоставляют всю требуемую информацию до того как осуществить перемещение средств. Банкам необходимо организовать архивирование соответствующей информации.

    Как правило, национальное банковское законодательство предусматривает экономические санкции в отношении зарубежных лиц, осуществляющих свою деятельность на территории страны. В их число входят блокирование счетов и других активов, а также запрет финансовых транзакций. Деятельность в рамках интернет-банкинга  должна соответствовать требованиям этих законов. Банку следует собирать информацию, достаточную для идентификации клиентов и определения, подпадает ли конкретная транзакция под запреты, оговоренные в банковском законодательстве.

    Стратегический риск отражает текущее и перспективное влияние на доходы или капитал «неправильных» деловых решений, несоответствующей их реализации или недостаточной способности к ответным действиям на изменения в отрасли. Этот риск зависит от совместимости стратегических целей организации, деловых стратегий, разработанных для достижения этих целей, ресурсов, отведенных для данных целей и качества реализации стратегий. Ресурсы, требуемые для осуществления деловых стратегий в области интернет-банкинга, делятся на материальные и нематериальные. Они включают каналы связи, операционные системы, сети доведения услуг, а также управленческие способности и возможности персонала. Собственные характеристики риска конкретной организации должны быть оценены в сопоставлении с воздействием экономических, технологических, конкурентных, регулятивных и других внешних факторов.

    Руководство банка должно оценить риски, связанные с интернет банкингом до принятия решения о разработке конкретного вида продукта, Банки, предлагая новые типы услуг и обслуживания через Интернет, должны понимать риски и соответственно их последствия для своего бизнеса. Для успешной реализации продуктов интернет-банкинга  банку необходим достаточный уровень развития технологий и информационных систем управления.

    До внедрения услуги интернет-банкинга  руководству следует рассмотреть вопрос о том, насколько данная услуга и технология для ее реализации согласуются с «материальными» деловыми целями в стратегическом плане банка. Банку следует также оценить, располагает ли он достаточной квалификацией и ресурсами для идентификации, мониторинга и контроля рисков в деловых операциях интернет-банкинга. Процесс планирования и принятия решений следует фокусировать на том, как услуга интернет-банкинга  сможет удовлетворить тем или иным конкретным деловым потребностям, а не на самой услуге как независимой от бизнеса банка цели. Банковские эксперты в области технологий совместно с маркетинговым и операционным персоналом должны участвовать в данном процессе планирования и принятия решений. Им следует удостовериться в том, что план согласуется с общими деловыми целями банка и не выходит за пределы устойчивости банка к риску. Новые технологии, особенно технологии интернет среды, способны быстро внести изменения в конкурентную привлекательность банка. Соответственно, стратегическое видение высшего руководства банка должно определять тот способ бизнеса через Интернет, посредством которого он будет разрабатываться, реализоваться и контролироваться.

    Репутационный риск. Если банк не будет способен удовлетворить требования рынка и обеспечить своевременное обслуживание своих клиентов, то он попадает под угрозу возникновения репутационного риска. Факторами риска являются невозможность адекватно реагировать на потребности клиентов, применение ненадежных или неэффективных систем доведения услуг до клиента, несвоевременность отклика на запросы клиентов или невыполнение норм соблюдения конфиденциальности.

    Репутации банка может быть нанесен ущерб при обслуживании в рамках интернет-банкинга, если оно плохо организовано или как то иначе вызывает негативную реакцию клиентов. Хорошо организованный маркетинг, раскрытие информации помогает ограничить репутационный риск. Клиенты должны понять, чего именно они могут ожидать от той или иной услуги либо вида обслуживания, а также каким рискам они могут подвергаться и какие выгоды получить в случае использования данной системы. Собственно концепцию маркетинга необходимо четко координировать с адекватными заявлениями относительно раскрытия информации. Национальным банкам не следует рекламировать свою систему интернет-банкинга, основываясь на тех свойствах или параметрах, которыми данная система не обладает. Маркетинговая программа должна представлять продукт честно и точно.

    Национальным банкам следует тщательно продумывать представление на своих web-сайтах связей с третьими сторонами. Гипертекстовые связи часто используются для того, чтобы дать возможность клиенту связаться с другими организациями. Такие связи могут означать в глазах пользователя предпочтение услуг или обслуживания такой третьей стороны. Клиентам должно быть ясно, когда они покидают web-сайт банка, что провайдер конкретных услуг и обслуживания, которые там предлагаются, достаточно надежны в отношении применяемых стандартов обеспечения безопасности и конфиденциальности. Подобным образом должно осуществляться представление информации, чтобы клиенты смогли отличить страхуемые и не страхуемые услуги.

    Коммерческим банкам необходимо быть уверенными в том, что их планы по обеспечению непрерывности деловых операций учитывают и те операции, которые проводятся в рамках интернет-банкинга. Регулярная проверка этого плана по обеспечению непрерывности операций, включая стратегии взаимодействия с прессой и общественностью, поможет банку гарантировать, что он способен эффективно и должным образом реагировать на любые негативные проявления со стороны клиентов и средств массовой информации.

    Факторы рисков интернет-банкинга  российских кредитных организаций

    Основной акцент при проведении интернет-банкинга  кредитные организации должны делать на выполнении своих обязательств перед клиентами и защите их интересов.

    Обычно клиент и является инициатором удаленного информационного взаимодействия с кредитной организацией через Интернет, Для этого он может воспользоваться либо специализированным, либо универсальным программно-информационным обеспечением (далее — ПИО) интернет-банкинга. В первом случае это разновидность устанавливаемого на автоматизированное рабочее место (АРМ) клиента комплекса ПИО, определяемого как так называемый толстый клиент, в который входят средства доступа к функциональным компонентам ПИО, формирования интерфейса пользователя, связи с внутрибанковскими системами, криптозащиты передаваемой информации, специализированных баз данных и другие компоненты. Такие системы, как правило, достаточно надежны, хотя в то же время «тяжеловесны» и дорогостоящи, что не всегда удобно и ограничивает их применение. Во втором случае используется системы с так называемым тонким клиентом, который представляет собой обычный web-браузер, а все необходимые для сеанса связи клиента с банком функциональные компоненты ПИО закачиваются с используемого кредитной организацией web-сервера на компьютер, через который работает пользователь и который не является каким-либо специализированным АРМ.

    Любое обслуживаемое той или иной кредитной организацией лицо (юридическое или физическое) должно быть в первую очередь уверено, что при использовании им технологии интернет-банкинга  для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, поскольку открытые системы компьютерной связи (Интернет) подвержены атакам со стороны всякого рода «компьютерных мошенников» (кстати, не обязательно хакеров). В частности, в случае интернет-атак типа, так называемого фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известным ему банком, с последующей «выдачей» данных своей персональной идентификации, которые затем окажутся, использованы мошенником для хищения финансовых средств или в каких-то других целях. При фишинге используются специфические ложные сообщения электронной почты, имитирующее сообщение от кредитной организации, и, чаще всего своего рода web-сайты муляжи, разработанные таким образом, чтобы ввести в заблуждение клиентов кредитных организаций и, как минимум, выманить их личные регистрационные данные, с помощью которых осуществляется доступ к их счетам и финансовым средствам. По статистике на это попадаются примерно 5% клиентов.

    Например, одна из наиболее опасных атак этого вида осуществляется следующим образом. Фишер, воспользовавшись широко доступными справочниками (базами) web-адресов, рассылает сообщение, в котором под благовидным предлогом говорится о необходимости подтверждения клиентом той или иной персональной информации, и предлагает гиперссылку, через которую как бы инициируется соответствующий диалоговый интерфейс. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент, представляет собой фальшивый элемент изображения, формируемый Java-Script’oM и наложенный на изображение настоящей адресной строки, в которой теперь стоит (но, понятно, не виден) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка «Переход» («Со»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т.е. это не статичное изображение, а «живой» код Java. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда. Это только один из недавно изобретенных вариантов мошенничества.

    Что касается в данной ситуации фактически атакуемых кредитных организаций, то их специалистам уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов интернет-банкинга  о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т.п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из перечисленных выше рисков. Прежде всего, будет поддержано доверие клиентов к дистанционному банковскому обслуживанию через Интернет (а за этим скрыты компоненты стратегического риска), конечно, при сохранении функциональности системы интернет-банкинга . Клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией и, «как оказалось, ненадежная» технология интернет-банкинга  (компоненты правового и репутационного рисков). Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (компоненты тех же двух рисков и риска ликвидности).

    Однако в зоне риска клиента многие факторы возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Во-первых, клиенты весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил формирования и смены паролей доступа к функциям дистанционного банковского обслуживания, невнимательность при заполнении полей данных в интерфейсных изображениях и пр. Соответственно, в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются, похищены (в том числе — перехвачены), клиент предъявит претензии, прежде всего к кредитной организации. Поэтому во избежание реализации связанных с подобными ситуациями компонентов правового, репутационного, операционного и стратегического рисков специалистам кредитной организации необходимо заранее проработать возможные сценарии поведения клиента интернет-банкинга, составить соответствующие модели угроз (и для кредитной организации, и для клиента) и предусмотреть меры и средства защиты.

    Во-вторых, интенсивное развитие банковских информационных технологий, в особенности технологий дистанционного банковского обслуживания, и наблюдающаяся в последнее время достаточно острая конкуренция на рынке таких технологий потенциально могут способствовать применению не полностью проверенных (протестированных), а, следовательно, недостаточно надежных с точки зрения обеспечения информационной безопасности программно-информационных комплексов. Имеется в виду, что в разработках, предназначенных для работы с клиентами через Интернет, необходимо предусматривать множество способов, мер и средств защиты сетевых ресурсов, начиная с доступа к программно-информационным ресурсам системы интернет-банкинга  и связанных с нею банковским автоматизированным системам, и заканчивая циркулирующей в информационном контуре банковской деятельности (далее — ИКБД) финансовой и другой информации (безопасность сетевого трафика), и предупреждением ошибок клиента, приводящих к инцидентам информационной безопасности.

    Информационные технологии могут быть использованы для легализации доходов, полученных незаконным путем, совершения различных экономических преступлений и другой противоправной деятельности. Что касается «отмывания денег», то оно в последние годы получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Во многих зарубежных публикациях отмечается, что в настоящее время имеет место неизбежное отставание уровня развития законодательной базы, регулирующей, в частности, новые интернет-технологии от уровня их развития, что создает идеальные условия для их незаконного использования в целях «отмывания денег». Отмеченная анонимность используется для различной противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или «мертвые души», а также так называемые «бумажные банки» (хотя на самом деле они скорее «виртуальные») и т.п. Опасность для кредитных организаций заключается в том, что они могут сами незаметно для себя оказаться вовлечены в незаконную деятельность со всеми вытекающими отсюда последствиями реализации компонентов правового и репутационного рисков, т.е. в современном мире при изучении и анализе банковских рисков акцент смещается с вида и содержания операционной банковской деятельности в сторону организации и условий такой деятельности.

    В борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле, например, устанавливаются требования увеличения объема и видов необходимых данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов ведения расследований подозрительных ситуаций. Таким образом, решение основной в данном случае задачи выполнения кредитными организациями принципа «Знай своего клиента» оказалось при работе в виртуальном пространстве неожиданно сложным.

    Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов в разных странах. Появление технологий электронного банкинга как таковое переводит банковские операции в такую форму, когда реальные, скажем, первичные документы, т.е. представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.

    Основная проблема с операционной деятельностью в виртуальном пространстве заключается в том, что после того как клиент открыл счет, банк нередко не имеет возможности определить, проводит ли конкретную транзакцию официальный владелец счета, а иногда даже вообще, имеет ли место какая-либо операция. Проблема контроля осложняется многократно. Поэтому во многих странах для борьбы с «отмыванием денег» выпущены специальные руководства, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности. Следует отметить, что само понятие «виртуальность» используется не случайно — то физическое пространство, которое соответствует информационному кон туру банковской деятельности в случае интернет-банкинга, реально формируется только на то время, пока идут сеансы связи между различными разбросанными по всему свету web-серверами, шлюзами, маршрутизаторами, коммутаторами и другими компонентами этого контура. По завершении же такого сеанса это физическое пространство «рассыпается». О том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия в соответствии с теми или иными командами (предположительно известных — официально зарегистрированных личностей и (или) систем/серверов), а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях компьютерных журналов регистрации системных событий («логах»).

    Упомянутое выше физическое отсутствие во взаимодействии клиента и кредитной организации реальных, например, платежных документов, приводит к возникновению еще ряда проблемных задач, которые, в свою очередь, могут оказаться связаны с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемые ему на экране компьютера гиперссылки, переводит систему интернет-банкинга  в какой-то конкретный режим работы данной системы. Для клиента этот переход выглядит как некое изменение в интерфейсе системы интернет-банкинга, с которой он имеет дело, произошедшее на экране компьютера, т.е. в окне браузера, и превращающее изображение в этом окне в хорошо знакомую в данном случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей списков и подтверждает платеж. Как правило, клиент выполняет действия, руководствуясь инструкциями по эксплуатации системы интернет-банкинга  или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки в данных, если бы заранее «знал» о них, тем самым защищая и кредитную организацию. Ранее такую же защитную функцию выполнял операционист кредитной организации, но в настоящее время, когда функции кредитной организации на самом деле выполняет ее банковская автоматизированная система, с которой дистанционно взаимодействуют клиенты, роль операциониста играет сам клиент. Поэтому в системах интернет-банкинга  логично предусматривать некие механизмы защиты, в известной мере аналогичные «искусственному интеллекту». Кстати, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга  и банковской автоматизированной системой операционистов, но этот вариант пригоден в тех случаях, когда число клиентов интернет-банкинга  не превышает, например, тысячи человек. Таким образом, остается открытым вопрос, что делать, если клиент вместо платежа, равного пяти тысячам «денег», отправил, к примеру, пятьдесят или допустил ошибку в реквизитах платежа и т.д., а потом пытается разрешить недоразумение, находясь в интернет кафе или банковском интернет-отделении в другой стране.

    Если в системе интернет-банкинга  используется «толстый клиент», то на стороне клиента остается информация о проведенной операции и вообще о переданном ордере. То есть в случае каких-то нарушений в работе информационного контура банковской деятельности, включая внутрибанковские системы (отказы, аварии, сбои, вмешательство хакеров и пр.), можно полагать, что следы действий клиента останутся. В случае же системы интернет-банкинга  с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией может оказаться весьма запутанным даже при возможности вывода контрольных распечаток. Данная проблема известна под названием «обеспечение невозможности отказа», например, от проведенной операции. Суть ее в том, что при дистанционном банковском обслуживании очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а банк не признает этого факта, или, наоборот, когда банк осуществляет некий платеж или перевод средств со счета клиента, который впоследствии утверждает, что никаких распоряжений относительно этого не делал. Решение этой проблемы предполагает опять-таки разработку моделей угроз кредитной организации, сценариев их развития и тщательный анализ последствий этих сценариев для самой кредитной организации и для ее клиента.

    В международной банковской практике весьма актуальным является такой вид риска, связанного с интернет-банкингом, как риск, «ассоциируемый с применением сторонней технологии». Эти риски возникают, когда сторона, с которой установлена web-связь, может негативно повлиять на клиентов кредитной организации, которые могут неправильно интерпретировать связанную (через гиперссылки) информацию как имеющую отношение к продуктам или услугам самой кредитной организации или как ее рекомендации.

    Одной из зон концентрации факторов банковских рисков, сопутствующих интернет-банкингу, является качество Интернет-провайдера, их аппаратно-программного обеспечения, систем телекоммуникаций и других технических ресурсов.

    Выход из строя оборудования провайдера из-за аварий или отказов, а также при переходе в нештатный режим работы из-за сбоев в работе их аппаратно-программного обеспечения в большинстве случаев приведет к нарушению обслуживания клиентов или работы самой кредитной организации. Во всяком случае, ее обязательства перед ними окажутся, не выполнены. Вследствие этого возможна реализация компонентов операционного, правового, репутационного рисков, а в отдельных случаях риска ликвидности и стратегического риска (в форме последствий отказов от использования систем дистанционного банковского обслуживания). Очевидно, что наибольшая часть клиентов кредитных организаций не имеет полного представления о функционировании информационных банковских систем и тех «промежуточных инстанциях», через которые проходят потоки ордеров клиентов, финансовых и других данных. То есть претензии клиент всегда будет предъявлять не провайдеру, а банку.

    Для многих организаций провайдерами могут являться разработчики web-сайтов (или web-порталов) или Интернет-провайдера, на компьютерном оборудовании которых размещаются web-сайты, которые используют кредитные организации, процессинговые компании (вычислительные центры), в том числе принадлежащие холдингам или банковским группам, или центры обработки и хранения данных, а также организации, предоставляющие услуги связи и соответствующие линии (каналы) и т.д. Многие малые и средние кредитные организации нередко прибегают к поддержке провайдеров в тех случаях, когда не имеют возможностей создать и поддерживать собственный вычислительный центр или департамент (управление) информатизации, либо применяют «готовые» технологии, уже реализованные сторонней небанковской организацией, специализирующейся на обеспечении дистанционного банковского обслуживания.

    Повышенная зависимость от партнеров и различных провайдеров услуг при осуществлении критически важных функций для банка в рамках электронного банкинга вполне может приводить к уменьшению возможностей непосредственного контроля над ними со стороны его руководства. Соответственно, органы управления банка стоят перед необходимостью организации особого процесса управления банковскими рисками, ассоциируемыми с заказной обработкой банковских данных и возможной зависимостью от других сторонних организаций, который охватывал бы всю деятельность провайдеров (включая суб-контракты на заказную обработку данных или поддержку оборудования), которые могут привести к реализации компонентов рисков, принимаемых банком. Поскольку речь идет о получении, промежуточной передаче, преобразовании и хранении данных, т.е. процессах, на которые банк непосредственно влиять не может, органам управления банка целесообразно проводить комплексный анализ компонентов (которые можно назвать «элементарными рисками») как минимум операционного, правового, репутационного рисков (ведь все они связаны с возможными выходами компьютеризованных систем из штатных режимов работы), а в ряде специальных случаев также риска ликвидности (кстати, точнее — «риска неплатежеспособности»). Последний проявляется тогда, когда возникшие у провайдера проблемы препятствуют получению клиентами банка своих финансовых средств через ту или иную систему дистанционно-банковского обслуживания. Иногда имеет место и реализация стратегического риска, к примеру, при необходимости отказа от услуг провайдера или его замены. В наихудшем варианте этот риск реализуется для банка в виде совокупных затрат (потерь) на возврат к самостоятельному выполнению всех переданных на аутсорсинг функций, необходимых для эффективной банковской деятельности.

    Исторически заказная обработка информации ограничивалась одним провайдером, осуществлявшим обслуживание в рамках заданного набора операций. Однако в последние годы масштаб и сложность внешних связей российских кредитных организаций в части заказной обработки данных значительно возросли, что явилось прямым результатом успехов в банковских информационных технологиях и весьма высоких темпов внедрения технологий электронного банкинга. Внешнее обслуживание операций электронного банкинга вполне может передаваться по суб-контрактам дополнительным провайдерам услуг и (или) вообще осуществляться в другой стране (ситуация так называемого «офшоринга»). Кроме того, по мере технологического развития и роста стратегической важности программного обеспечения и видов обслуживания в рамках электронного банкинга определенные функциональные участки (ранее находившиеся в самом банке) могут оказаться в зависимости от небольшого числа специализированных сторонних поставщиков (вендоров) и провайдеров услуг. Эти разработки могут привести к повышенной концентрации рисков, которая оправдывает внимание, как со стороны кредитных организаций, так и с системной (в данном случае — надзорной) точки зрения в отношении банковского сектора в целом.

    Внутрибанковские автоматизированные системы часто оказываются объектами хакерских атак, что в современном мире стало уже привычным. Но отдельные попытки несанкционированного доступа к банковским или клиентским данным, хранящимся и циркулирующим в таких системах, в большинстве случаев парируются или предотвращаются. Ситуация ухудшается, когда вокруг одного провайдера концентрируются группы кредитных организаций (особенно в регионах), а его компьютерные системы неожиданно блокируются в результате «успешной» хакерской атаки, из-за чего обслуживание клиентов зависимых от него кредитных организаций прекращается. Еще хуже, когда речь приходится вести о массированных атаках на автоматизированные системы финансовых учреждений, в которых оказываются, задействованы и компьютерные системы провайдеров (как правило, не имеющих представления о таких вариантах нанесения ущерба). Очевидно, что вследствие этого рассматриваемая зона концентрации источников рисков заметно расширяется.

    Еще одной важной зоной концентрации факторов банковских рисков являются локальные (или зональные) вычислительные сети самих кредитных организаций. Их сложность всегда различна, а состав и архитектура, как правило, уникальны. Вместе с тем при организации управления рисками в банках целесообразно учитывать, что любые схемы выявления, оценки, анализа риска хороши лишь настолько, насколько верна, надежна и устойчива заложенная в их основе методология выявления, оценивания и анализа рисков. Разным архитектурам внутрибанковских систем свойственны различные подмножества факторов риска в зависимости от организационно-технических решений, принятых при построении этих систем. Следствием этого становится то, что и наборы источников рисков в информационном контуре банковской деятельности оказываются индивидуальными для каждого банка. Поэтому кредитным организациям, использующим в своей деятельности компьютерные технологии в открытых системах, необходимо разрабатывать собственную технологию выявления, анализа, мониторинга рисков и управления ими.

    Органам управления банка следует исходить из того, что технологические нововведения не должны оказывать негативного влияния не только на выполнение ими банковских операций, но и вообще всех обязательств перед своими клиентами.

    К этим обязательствам относятся, прежде всего:

    -              доступность дистанционного банковского обслуживания, причем в случае интернет-банкинга  это относится как к внутрибанковским системам, так и к системам провайдеров, используемым банками (компоненты операционного, правового и репутационного рисков);

    -              своевременность и адекватность выполнения ордеров клиентов банка (компоненты всех рисков, учитываемых в риск фокусирован ном анализе при использовании интернет-банкинга );

    -              полно функциональность интернет-банкинга, предполагавшаяся банком при проектировании и внедрении соответствующих систем (компоненты операционного, репутационного и стратегического рисков);

    -              контролируемость функционирования внутрибанковских и внешних по отношению к банку систем (в разумных пределах), включая вопросы обеспечения целостности данных и безопасности банковской деятельности (компоненты операционного, правового и стратегического рисков).

    Целесообразно учитывать, что идеальных способов и средств обеспечения информационной безопасности в сетевых структурах до настоящего времени не существует, вследствие чего не может быть и идеально защищенных компьютерных систем. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками. Об этих недостатках соответствующие ответственные лица в кредитных организациях должны быть полностью осведомлены, причем полные и адекватные знания требуются, как минимум, о средствах защиты так называемого «сетевого периметра» банка, основными из которых являются брандмауэры. Как правило, значительная часть угроз вторжений в корпоративные вычислительные сети связана с влиянием источников рисков, скрытых в ошибках настройки брандмауэров, которые в свою очередь обусловлены отсутствием или недостаточной полнотой корпоративной политики такой настройки или, иначе, «защиты периметра».

    Однозначные рекомендации относительно того, каким службам в банке целесообразно вменять в обязанность выявление и анализ источников и факторов риска в компьютеризованной среде, дать трудно, прежде всего, из-за значительных различий в размере, видах, масштабах деятельности этих организаций, да и в архитектурах внутрибанковских систем. Во всяком случае, этот процесс не должен оказаться прерогативой исключительно подразделения информационных технологий (информатизации), как чаще всего и бывает. Наиболее подходящим местом концентрации таких специалистов могут считаться службы информационной безопасности и внутреннего контроля. Правда, при этом требуется заметное расширение их функций за счет необходимости определения и описания новых источников риска и, соответственно, состава служб за счет специалистов, имеющих достаточно высокую квалификацию для того, чтобы создавать и анализировать модели так называемого «распространения риска» в информационном банковском контуре, используемом банком. Практика показывает, что такие модели, безусловно, полезны при оценке возможного влияния источников риска и соответственно уровней рисков, принимаемых на себя банком.

    Помимо перечисленных выше зон концентрации рисков электронного банкинга, следует отметить такую зону, как web-сайт банка. В общем случае для эффективного и надежного использования любого web-сайта требуется специальный внутрибанковский процесс, который ранее в банке, не имевшем представительств в Сети, отсутствовал, и содержание которого непосредственно зависит от размещения, функционального назначения, ведения, сопровождения и контроля так называемого «контента» web-сайта.

    Такой процесс может состоять, как минимум:

    -              из принятия обоснованных управленческих решений относительно организации и функционирования такого представительства;

    -              разработки внутренних документов банка, регламентирующих ведение, сопровождение и контроль содержания web-сайта;

    -              назначения ответственных лиц в банке за использование представительства в Сети и осуществление операций интернет-банкинга;

    -              определения порядка формирования содержания web-сайта и наполнения информацией от подразделений кредитной организации;

    -              разработки внутренних документов банка, регламентирующих прекращение использования web-сайта и (или) изменения его дислокации;

    -              определения порядка информирования клиентов кредитной организации о ее деятельности в рамках интернет-банкинга  и об изменениях в этой деятельности;

    -              определение порядка информирования Банка России о применении в банковской деятельности интернет-технологий;

    -              назначения ответственных лиц за подготовку регламентной банковской отчетности, имеющей отношение к обслуживанию через Интернет.

    Однако это далеко не все, что касается представительств банка в Интернете, особенно в тех случаях, когда кредитные организации используют в своей деятельности несколько функционально различных web-сайтов. В настоящее время, несмотря на интенсивное развитие web-порталов, часто встречается функциональное разделение web-сайтов: одни из них имеют чисто информационный характер, служа целям маркетинга, другие могут быть предназначены для Интернет-трейдинга, дилинга или брокеринга, третьи обеспечивают операционный интернет-банкинг — непосредственное управление клиентами своими счетами и т.д. Следует отметить, что в каждом из вариантов использования кредитными организациями интернет обслуживания имеются свои особенности, которые характеризуются различными наборами факторов риска. В первую очередь имеет значение наличие (или, напротив, отсутствие) каких-либо физических связей между web-серверами и банковскими автоматизированными системами кредитных организаций. Очевидно, что от организации таких связей и конкретного содержания интернет-банкинга  зависят и состав, и количество источников риска, и собственно набор реально существующих из общего состава типичных банковских рисков.

    Следствием этого являются принципиальные различия в составе необходимых и достаточных мер защиты внутрибанковских автоматизированных систем кредитных организаций, их операционного программного обеспечения и массивов банковских и клиентских данных. Например, если банк использует выделенный web-сайт только для представления себя в Сети и маркетинга, то этому варианту могут сопутствовать элементы репутационного и правового рисков, тогда как составляющие стратегического и операционного риска, а также риска ликвидности отсутствуют. Вследствие этого отсутствует и необходимость в организации защиты используемых банком автоматизированных систем, что связано с наиболее значительными затратами на обеспечение информационной безопасности. В то же время, защита самого web-сайта, обеспечение целостности представляемой на нем информации, своевременное обновление и контроль его содержания, а также эффективное взаимодействие банка с провайдерами, от которых в какой либо степени зависит функционирование сайта, остаются необходимыми для любого варианта интернет-банкинга .

    Дополнительные особенности в ведении и контроле контента web сайта возникают еще и в тех случаях, когда кредитные организации формируют свое представительство на web-сайтах сторонних компаний или допускают наличие представительств таких «третьих лиц» на своем web сайте в виде выделенных фреймов, баннеров или гиперссылок, В таких случаях целесообразно организовывать web-страницы банка таким образом, чтобы заведомо исключить возможность введения в заблуждение его клиентов (как реальных, так и потенциальных) относительно того, кто именно и какие услуги предоставляет из числа тех, о которых сообщается на web-сайте. То есть целесообразно позаботиться как минимум о четком разделении услуг, относящихся к банку, и услуг, предоставляемых третьими сторонами. Такая «забота» инициируется, естественно, органами управления банка, которые, собственно, и принимают решения об информационном взаимодействии с третьими сторонами и его формах. Очевидно, что решения такого рода целесообразно оформлять в банке документально и оговаривать в этих документах допустимые (или недопустимые) с точки зрения ее интересов варианты взаимодействия.

    Подобные ситуации за рубежом определяются как «совместно используемое электронное пространство» (shared electronic space). При этом самой кредитной организации желательно заботиться и о защищенности используемого в банковской деятельности web-сайта хотя бы в части организационных мер, чтобы исключить возможности несанкционированного, допустим хакерского, воздействия на его контент и функционал. В целом можно предположить, что клиенты ожидают от банка постоянной доступности конкретной услуги и понятного построения web-страниц с простой навигацией (ориентацией) по ним. По мере расширения присутствия банка в Интернете его внутренние документы и регламенты, имеющие отношение к этому процессу, целесообразно обновлять, что также считается заботой органов управления банка.

    Немаловажное значение на процессы интернет-банкинга  оказывает также клиентура кредитной организации, естественно, «компьютерно грамотная», обученная, снабженная необходимыми средствами идентификации и аутентификации, подлежащими использованию при передаче в банк ордеров или осуществлении транзакций, а также руководствами пользователя или инструкциями и строго им следующая. Для того чтобы такая идеальная ситуация действительно сложилась, требуется наличие в банке и (или) его филиалах таких специалистов, которые не только имеют представление о всех аспектах обслуживания через Интернет, но и располагают полным набором внутренних документов банка, регламентирующих такое обслуживание. В случаях «заказной» разработки системы интернет-банкинга  или приобретения ее «под ключ, « у какой либо компании разработчика этим специалистам целесообразно убедиться, что соответствующая поставочная документация на данную систему содержит все необходимые для безопасной и надежной работы с ней указания, причем как для клиентов, так и для операторов самой кредитной организации. Естественно, предполагается, что упомянутые специалисты сами имеют адекватное представление о составе и содержании таких указаний.

    Кроме того, в ситуации, когда филиалы банка предоставляют обслуживание через Интернет, а его головной офис нет, в органах банковского управления желательно присутствие руководителей, не только обязанных, но и способных контролировать процессы банковского обслуживания посредством интернет-банкинга  в филиалах. Причем таким руководителям требуются знания, достаточные для осуществления контроля, и наличие своих представителей в таких филиалах, которые могли бы контролировать деятельность в рамках данного вида дистанционного банковского обслуживания. Да и само разделение операционной деятельности по видам между головным офисом и филиалом в общем случае требует соответствующего организационного «оформления» с распределением полномочий, ответственности, обязанностей и т.д.

    Аналогичные процессы следовало бы организовывать и в отношении «внешнего киберпространства», со стороны которого постоянно (круглосуточно) присутствуют угрозы несанкционированных проникновений разного рода. При этом атаки могут вестись, как отмечалось ранее, через компьютерные системы связанных с банком сторон, а, следовательно, такие угрозы также желательно предусмотреть, разрабатывая и политику информационной безопасности банка, и систему защиты внутрибанковских систем, и планы действий банка на случай чрезвычайных обстоятельств, а также составляя контракты на аутсорсинг. Желательно постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы.

    Как правило, ошибки, в организации и условиях передачи тех или иных функций на аутсорсинг, допускаемые кредитными организациями, за исключением тех случаев, когда без провайдеров «просто не обойтись», обусловлены недостаточным пониманием реальной необходимости учета всех возможных зависимостей разных видов деятельности кредитных организаций от провайдеров и возможного влияния, связанных с ними факторов риска на текущую операционную работу.

    Общая пропускная способность или, иначе, производительность кредитных организаций, принимающих, обрабатывающих и отправляющих потоки банковских и клиентских данных, определяется отнюдь не только соответствующими характеристиками внутрибанковских автоматизированных систем. Не менее важны такие же показатели компьютерных и связных систем провайдеров. Поэтому специалистам банка целесообразно убедиться, что характеристики этих систем рассчитаны правильно и соответствуют потребностям банка, учтены вопросы масштабируемости систем, имеется резерв не только по аппаратно-программной части, но и по ее производительности и т.п. Все эти вопросы логично рассматривать не только с точки зрения самой кредитной организации, но и с позиций возможного влияния на ее клиентуру, т.е. в том числе на возможные уровни соответствующих связанных с аутсорсингом компонентов операционного, репутационного, правового и стратегического рисков.

    Сюда же, кстати, относится и проблематика восстановления операционной работы после возникновения чрезвычайных ситуаций, приведших к ее частичному или полному прерыванию. Сама приведенная формулировка предполагает необходимость наличия в банке неких наборов сценариев развития неблагоприятных событий, приводящих к различным ситуациям, т.е. разных «проблемных уровней». Имеются в виду планы действий, адекватные разным по степени влияния и значимости угрозам. Клиенты в свою очередь должны располагать возможностями связи с сервис-центром банка (call-center), получить информацию о том, что их интересам ничто не угрожает через Интернет, а также сведения о том, каким образом они могут возобновить прерванные или осуществить ставшие вдруг недоступными операции. Для того чтобы убедиться в реальности этих вариантов, самой кредитной организации целесообразно время от времени обращаться за их подтверждением к независимым аудиторским фирмам.

    Защита от компьютерных вирусов, «червей», «троянских коней» и других вредоносных программ уже давно стала растиражированной, в особенности в части работы с электронной почтой в Интернете. Тем не менее, средствами антивирусной защиты или регулярностью их обновления все равно часто пренебрегают.

    Брандмауэры, размещенные по периметру вычислительной сети кредитной организации, защищают ее от сетевых проникновений, но не от атак через модемы. В развитых вычислительных сетях, насчитывающих сотни и тысячи компьютеров, и в условиях слабо регламентированного или вообще неконтролируемого доступа в Интернет это может превратиться в серьезную проблему, поэтому необходимо следить за действиями пользователей и попытками несанкционированных проникновений через такие «дыры» в защите, проводя аудит линий связи. Для этого, конечно, нужен регламент, ответственные лица, распределение прав, полномочий, обязанностей, контроль исполнения и т.д.

    Безусловно, информационная безопасность связана не только с техническими средствами, поскольку известно, что самым слабым звеном в причинно-следственных цепочках является человек. Прежде всего, это относится к распространенному заблуждению о том, что в банках все работники честные, а все мошенники действуют только извне. Известно, что это далеко не всегда справедливо, и примерно половина атак замышляются сотрудниками кредитных организаций, хорошо знающими объекты атак и, кстати говоря, способными нанести гораздо больший ущерб, чем хакеры. К тому же даже при отсутствии злого умысла человеку «свойственно ошибаться», особенно при слабой подготовке и недостаточной квалификации, чем часто пользуются хакеры. Лучше всего создавать такие условия, в которых нарушать установленные правила оказалось бы крайне затруднительно независимо от квалифицированности или не квалифицированности пользователя компьютерных систем. В наибольшей степени это касается нарушений правил парольной защиты, идентификации пользователей и аутентификации их действий. Пароли вообще используются для идентификации личностей чаще всего, но это — одно из наиболее слабых мест в защищаемых компьютерных системах, вследствие чего защита изначально должна быть комплексной и контролируемой.

    К вопросам идентификации и аутентификации тесно примыкает проблематика вовлечения кредитных организаций в противоправную деятельность, что обусловлено отмечавшейся ранее возможной анонимностью деятельности в киберпространстве, прежде всего с помощью интернет-банкинга. В данной ситуации целесообразно уделять самое серьезное внимание автоматическим или хотя бы полуавтоматическим способам и средствам контроля за операционной деятельностью, инициируемой из Сети. Безусловно, в первую очередь речь идет об идентификации клиентуры, работающей с кредитной организацией дистанционно, но нередко приходится отмечать, что, предоставляя клиентам возможность дистанционной работы, кредитные организации забывают о необходимости их последующей регулярной верификации.

    Следует отметить, что сложность информационного контура банковской деятельности, формирующегося при каждом интернет-сеансе клиента со своим банком, требует не менее сложной организации контроля над банковской деятельностью через Интернет. Однако каким бы трудоемким делом ни казалась организация внутрибанковских процессов, банкам необходимо помнить о все возрастающей зависимости клиентов, да и всей банковской деятельности от современных компьютерных и телекоммуникационных технологий, и интернет-банкинг не является в этом смысле чем-то исключительным. В этой связи необходимо отметить, что недостаточное внимание органов управления кредитных организаций к процессу разработки внутренних документов, их полноте, адресности, адекватности и актуальности само по себе является одним из основных «внутрибанковских» факторов риска. Но ими одними дело не исчерпывается, поскольку требуется эффективное распределение ответственности, прав и полномочий, подконтрольности и подотчетности, разработка специализированного методического обеспечения по выявлению, анализу, мониторингу рисков, контролю операционной деятельности, информационных отчетов для органов управления банка. Как показывает современная практика российских банков, ситуация с организацией внутреннего контроля с учетом интернет-банкинга  весьма далека от идеальной.



    тема

    документ Коммерческие банки
    документ Банковская система
    документ Банковские риски, надежность и эффективность коммерческих банков
    документ Валютные операции банков
    документ Валютные операции коммерческих банков
    документ История развития, виды и современное состояние банковских систем
    документ Доходы, расходы и прибыль коммерческого банка



    назад Назад | форум | вверх Вверх

  • Управление финансами

    важное

    1. ФСС 2016
    2. Льготы 2016
    3. Налоговый вычет 2016
    4. НДФЛ 2016
    5. Земельный налог 2016
    6. УСН 2016
    7. Налоги ИП 2016
    8. Налог с продаж 2016
    9. ЕНВД 2016
    10. Налог на прибыль 2016
    11. Налог на имущество 2016
    12. Транспортный налог 2016
    13. ЕГАИС
    14. Материнский капитал в 2016 году
    15. Потребительская корзина 2016
    16. Российская платежная карта "МИР"
    17. Расчет отпускных в 2016 году
    18. Расчет больничного в 2016 году
    19. Производственный календарь на 2016 год
    20. Повышение пенсий в 2016 году
    21. Банкротство физ лиц
    22. Коды бюджетной классификации на 2016 год
    23. Бюджетная классификация КОСГУ на 2016 год
    24. Как получить квартиру от государства
    25. Как получить земельный участок бесплатно


    ©2009-2016 Центр управления финансами. Все права защищены. Публикация материалов
    разрешается с обязательным указанием ссылки на сайт. Контакты