Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
Не случайно и появление web-сайтов-подделок, которые оформляются аналогично настоящим web-сайтам кредитных организаций и предназначены также для «извлечения» персональной идентификационной информации, за чем далее следуют хищения финансовых средств. Поэтому Банк России сообщил об этом банковскому сообществу[178] и начал размещать на своем web-портале сведения о настоящих адресах web-сайтов кредитных организаций, которые поступают в составе регламентной банковской отчетности.
Специалистам фактически атакуемых кредитных организаций уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться их клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ДБО о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т. п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из упоминавшихся выше банковских рисков. Прежде всего будет поддержано доверие клиентов к ДБО (а за ним скрыты компоненты репутационного и стратегического рисков), конечно, при сохранении функциональности СЭБ. Далее клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией и, «как оказалось, ненадежная» ТЭБ. Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (невыполнении финансовых обязательств в установленные интервалы времени).
Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Необходимо помнить, что клиенты кредитных организаций, являющиеся «всего лишь людьми», весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил использования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, утрата средств персональной идентификации или их компрометация в случае хищений (физических и компьютерных с помощью вирусных программ, сканирования при банкоматном обслуживании и т. п.) и др. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т. п., претензии такой клиент предъявит прежде всего к кредитной организации (даже если на самом деле проблема была связана с недостатками в деятельности каких-либо провайдеров). Поэтому во избежание реализации связанных с подобными ситуациями компонентов типичных банковских рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии неправильного поведения клиента ДБО, составить модели связанных с этим потенциальных угроз (и для кредитной организации и для клиента) и их развития, предусмотреть соответствующие меры и средства защиты, «обкатать» их в ходе проведения ПСИ СЭБ и, наконец, отразить в документе, регламентирующем порядок претензионной работы с клиентами ДБО, или его аналоге. Все это может быть реализовано как процедуры процесса УБР.
Не исключено, что, учитывая тенденцию к увеличению количества вариантов хищения персональной информации кредитным организациям целесообразно рассмотреть возможности усложнения процедур идентификации клиента при начале им сеанса ДБО и перед выполнением банковской операции, т. е. перехода к двухэтапной идентификации с разделением каналов информационного взаимодействия, несмотря на то что этот подход может повысить накладные расходы при ДБО. Для усложнения идентификации человека можно использовать то, что он:
— имеет — пропуск, паспорт, кредитную карту и т. п.;
— знает — пароль, кодовую фразу, последовательность действий;
— обладает — отпечатками пальцев, радужной оболочкой глаза и т. п. (биометрия).
За рубежом биометрические системы используются уже довольно широко не только на «режимных» объектах, но и в торговле и в банковских учреждениях и т. д. Естественно, применение таких систем может существенно сказаться на стоимости услуг ДБО, что допустимо лишь при одновременном адекватном повышении его эффективности (рентабельности), что в большинстве случаев для российского банковского сектора пока еще затруднительно. Однако организовать параллельные каналы информационного взаимодействия можно и за счет дублирования однотипных по принципу работы телекоммуникационных систем, например, если при начале сеанса от клиента требуется ввод некоего кода (PIN, ID, Log-In и пр.) с клавиатуры (тастатуры), то перед завершающим этапом операции от БАС или СЭБ кредитной организации может передаваться сеансовый код, допустим, на мобильный телефон. Схемы такого рода (системы опознавания), широко известные в оборонной тематике, повышают защищенность интересов клиента и ДБО в целом.
Помимо изложенного необходимо отметить, что история развития ДБО в российском банковском секторе (особенно в последние три года) богата претензиями клиентов к кредитным организациям, специалистам и руководителям которых приходится при разборе конфликтных ситуаций объяснять, к примеру, что:
— технические проблемы с инсталляцией дистрибутива и управлением СЭБ необходимо решать с помощью службы технической поддержки кредитной организации или ее сервис-центром, а не со случайными специалистами;
— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;
— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;
— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;
— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;
— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;
— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.
Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее web-сайтах, в рекламных буклетах и т. п.
5.9. Адаптация плана действий в чрезвычайных обстоятельствах
Непосредственных требований к содержанию плана действий персонала кредитных организаций в чрезвычайных обстоятельствах и использованию этого плана до настоящего времени не выработано и в отечественной законодательной базе, регламентирующей банковскую деятельность, не содержится. Косвенно о них (в форме рекомендаций, через требования к ВК) можно судить по тексту Положения 242-П, в котором сказано:
«3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.