Алексей Воронин - Мошенничество в платежной сфере. Бизнес-энциклопедия
Впрочем, самих клиентов ДБО это беспокоит нечасто, потому что интерес к содержанию договорных документов на ДБО проявляет не более 25 % клиентов банков, о чем свидетельствуют опросы населения. В этом проявляется невысокая правовая культура и сохранившиеся до сих пор у значительной части населения надежды на «государство, которое всегда защитит», и эту ситуацию банкам следовало бы учитывать, детально разъясняя клиентам ДБО содержание подписываемых ими договорных документов и те гарантии, которые им предоставляются (или не предоставляются). Причем желательно также убеждаться в том, что клиент правильно понял содержание договора, особенно если в нем активно используется специальная терминология из математического аппарата теории кодирования.
Банк России давно уже обратил внимание на рассматриваемые проблемы и инициировал разработку целого ряда рекомендаций для кредитных организаций (законодательные ограничения не позволяют, к сожалению, разрабатывать нормативные правовые документы, ориентированные на повышение эффективности и надежности применения ИТ и организации ДБО), имея в виду в том числе их работу с клиентурой. В качестве некоторых примеров таких документов[74] можно упомянуть следующие письма Банка России:
— от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;
— от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» (далее — 36-Т);
— от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;
— от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”»;
— от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания»;
— от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов» и т. п.
Все эти документы ориентированы на защиту интересов клиентов кредитных организаций и самих этих организаций от ППД в киберпространстве. К сожалению, не всеми этими организациями в должной мере уделяется внимание тем документам Банка России, которые не могут по своему статусу считаться нормативными. Да и «массовость» ДБО не позволяет в ряде случаев реализовать полноценный индивидуальный подход даже тем банкам, которые располагают крупными колл-центрами и большим количеством персонала в своих офисах. Впрочем, ситуация постепенно меняется в лучшую сторону, поскольку Банк России в последние годы проводит активную работу по повышению «финансовой грамотности» населения страны.
3.3. Организация противодействия противоправной деятельности в условиях применения технологий электронного банкинга
Изложенное выше теоретически должно было бы подталкивать руководство кредитных организаций к тому, чтобы при принятии решения о внедрении какой-либо системы ДБО предварительно изучать особенности конкретной ТЭБ и информационно-телекоммуникационных систем, которые ее реализуют (то есть формируемого ИКБД и его состава), с позиций определения возможностей адекватного сопровождения ордеров клиентов на выполнение транзакций, самих транзакций, их результатов (включая выявление сомнительных операций, мошенничеств, хищений конфиденциальной информации и определение выгодоприобретателей, а также попыток взлома компьютерных систем). К этому примыкает и анализ систем ДБО на уязвимость к тем или иным видам ППД со стороны его клиентов.
В связи с этим в упоминавшейся выше работе БКБН о консолидированном управлении рисками, связанными с невыполнением принципа ЗСК, дополнительный акцент сделан на контроле над транзакциями клиентов, которые могут иметь связанный характер. Пропагандируемый «групповой подход» имеет важное значение потому, что клиенты-злоумышленники могут действовать через разные каналы доступа к информационно-процессинговым ресурсам банка — разные СЭБ, филиалы, дополнительные офисы, а также объединяться в рамках хозяйственно-экономической деятельности (о чем говорится и в материалах ФАТФ). Поэтому в современных условиях целесообразно отслеживать также такие возможности, как дробление сумм переводимых финансовых средств (например, до неконтролируемых в связи с установленным пределом в 15 000 рублей), использование разных каналов ДБО (на основе комплексного анализа СИ и маршрутной информации в ее составе[75]), сомнительные операции между счетами юридических и группы физических лиц, близкие по времени двунаправленные крупномасштабные переводы, которые могут свидетельствовать об откатах или использовании клиентов ДБО и их счетов в качестве так называемых мулов (то есть о задействовании их счетов в качестве транзитных для сокрытия целевых противоправных финансовых транзакций), работе межрегиональных преступных группировок и т. п.
Кроме того, кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться ненадежной именно с точки зрения своих клиентов или незаметно для себя вовлеченной в ППД (особенно в случаях массового ДБО) и при необходимости выявления в соответствии с законодательством операций, подлежащих обязательному контролю, как говорится, «на проходе» (то и другое связано с репутационным, правовым и даже стратегическим рисками), если ее руководство недостаточно осознает необходимость обеспечения соответствия деятельности «своей» организации теперь уже трем основным принципам:
1. Знай своего клиента.
2. Знай своего работника.
3. Знай свои технологии.
В последнее время на федеральном уровне усиливается акцент на борьбе с противоправной деятельностью в рамках ПОД/ФТ, что необходимо учитывать высокотехнологичным банкам, чтобы не оказаться незаметно для себя в числе нарушителей Закона № 115-ФЗ. Надежная политика и процедуры для реализации принципа ЗСК не только содействуют, как пропагандирует БКБН, общей безопасности и надежности банков, но также защищают целостность банковской системы за счет снижения вероятности превращения банков в транспорт для отмывания денег, финансирования терроризма и другой ППД.
Вследствие этого (в части противодействия возможной ППД) структуру управления кредитной организации целесообразно сформировать таким образом, чтобы как минимум были гарантированы:
Разделение обязанностей, то есть наличие средств, которые гарантировали бы, чтобы те, кто управляет активами, не отвечали за контроль над соответствующими действиями, целостность записей об этом и не были связаны с собственно осуществлением транзакций. Обычно для этого проверяются совместно идентификация, аутентификация и авторизация пользователей (независимо от того, о ком конкретно идет речь: клиентах, операторах, операционистах, администраторах и пр.). Речь идет о грамотном разделении функций управления и контроля, а их не всегда легко определить (как, к примеру, в случае разработки и эксплуатации ПИО в банках).
Компетентность и ответственность персонала, поскольку контроль будет эффективным, только если те, кто его осуществляют, будут иметь необходимую квалификацию и при этом еще будут честными. Это означает, что в современных условиях информатизации, обусловливающих наличие высокой степени риска, недостаточно просто назначить специалистов для исполнения обязанностей, но требуется понимать, что заложенные в автоматизированные системы средства контроля должны действовать именно так, как предполагалось (и к тому же их нельзя было «обойти»).
Должный уровень полномочий ввиду того, что как отмечалось выше, типичной ошибкой в управленческих структурах является чрезмерная концентрация полномочий. Полномочия должны распределяться исключительно в границах необходимости их наличия. Очевидно, это требует от тех должностных лиц, которые управляют распределением полномочий, понимания того, какие существуют уровни полномочий и какие из них требуются в каждом конкретном случае. Здесь также должно действовать ограничение типа «необходимо знать» (то есть не более, чем требуется).
Регистрируемость, которая означает требование наличия средств контроля для регистрации всех решений, транзакций и действий, которые позволят определить, кто, что, когда делал, с должным уровнем уверенности. Как правило, для этого используются специальные компьютерные журналы (файлы — так называемые системные логи и аудиторские трейлы). Само по себе поддержание таких компьютерных журналов ничего особенно не гарантирует, поскольку их наличие может создать в организации ложное чувство безопасности. Поэтому, для того чтобы такие записи оставались эффективными, они должны регулярно тщательно пересматриваться на предмет их адекватности с принятием необходимых корректирующих мер.