Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
Второй фактор системного характера состоит в том, что в процесс современной банковской деятельности в условиях ДБО оказываются вовлечены третьи стороны, которые ранее к ней отношения преимущественно не имели. К их числу относятся провайдеры кредитных организаций, обеспечивающие формирование и поддерживающие функционирование ИКБД в каждом отдельном случае. Конкретные виды, состав и функции провайдеров кредитной организации определяются тем, какая именно ТЭБ и в каких целях внедряется ею, какая СЭБ реализует эту технологию, а также какие среды передачи данных и каналы (линии) связи при этом задействуются (включая интернет-провайдеров, операторов мобильной связи, платежные системы и т. п.). Очевидно, что если в процессе удаленного информационного взаимодействия сеанс ДБО окажется прерван или подвергнется другому негативному воздействию не по причинам, возникшим в кредитной организации, а из-за проблем, имевших место на территории провайдера, то клиент этой организации, интересы которого пострадали вследствие такого прерывания, обратится с претензиями именно к ней, а не к неведомому ему провайдеру, тем более что в общем случае и сам клиент может находиться в произвольном месте земного шара, где доступно использование какого-либо средства компьютерной связи. Дальнейшие последствия для кредитной организации будут зависеть от того, какой конкретно ущерб был нанесен интересам клиента ДБО, особенно в тех ситуациях, когда речь идет о невыполнении им своих финансовых обязательств перед другими сторонами.
От содержания и организации аутсорсинга такого рода[18] прямо зависят и те варианты зависимости надежности банковской деятельности кредитной организации от провайдеров, в которые неизбежно попадает эта организация вместе со своими клиентами ДБО. Вариантов здесь достаточно много — начиная с обеспечения физической связи со средой информационного взаимодействия и заканчивая обеспечением резервных маршрутов (или каналов) такого взаимодействия при возникновении аварийных ситуаций. Эта множественность вынуждает руководство и специалистов кредитной организации внимательно относиться к содержанию контрактов на аутсорсинг, тщательно анализировать варианты распределения обязанностей и ответственности за уровень обслуживания, возникающие в виртуальном пространстве, включая уровень банковского обслуживания (что, как правило, в таких контрактах просто не учитывается). Независимо от выбранной ТЭБ и состава поддерживающих ее использование провайдеров руководству кредитной организации целесообразно предусмотреть однозначные семантические связи между содержанием контрактов на аутсорсинг и договоров с клиентами на ДБО в части обязанностей и ответственности сторон.
Это может оказаться не такой простой задачей, как нередко считается в отечественных кредитных организациях, причем сложность ее обратно пропорциональна качеству решений, принимаемых в части совершенствования управления банковскими рисками в условиях ДБО. Ничего принципиально невозможного в учете источников компонентов банковских рисков, вновь возникающих из-за действия рассматриваемого фактора риска, нет — проблема заключается в полноте анализа состава ИКБД и ролевых функций составляющих его элементов (что требует понимания сути ТЭБ). Однако ситуация существенно осложняется тем, что результаты «выяснения» правовых отношений, возникающих между агентами удаленного информационного взаимодействия, почти полностью зависят от высоких технологий, а специалисты в сфере таких технологий и в области правового обеспечения банковской деятельности до сих пор говорят, как известно, «на разных языках».
Третий фактор связан с возникающей в условиях открытых систем и универсальных протоколов сетевого взаимодействия потенциальной доступностью банковских автоматизированных систем и других информационно-процессинговых ресурсов кредитных организаций, а также устройств, используемых их клиентами при ДБО, для несанкционированного доступа и сетевых атак. Угрозы такого рода появились вместе с возникновением банковских автоматизированных систем. Постоянной остается проблема возможных злонамеренных действий со стороны инсайдеров кредитной организации (в широком смысле). Технологии электронного банкинга наряду с выгодами для кредитных организаций и удобствами для их клиентов существенно расширили спектр потенциальных угроз, которые могут быть реализованы извне этих организаций и при этом настолько «дистанционно», что локализовать источник этих угроз оказывается очень непросто (в том числе ввиду слабой регламентации функционирования провайдеров кредитных организаций и контроля над ними). Вследствие появления ДБО БАС кредитной организации перестает быть «вещью в себе» и при наличии недостатков в сетевой защите и «дыр» в периметре безопасности кредитной организации оказывается доступна для вирусных, хакерских, крэкерских и прочих атак, «достижение целей» которых означает реализацию всех банковских рисков, связанных с этим вариантом банковской деятельности.
Широкое распространение интернет-технологий наряду с интенсивным использованием для банковской деятельности сети Интернет и предоставляемых в связи с этим сетевых ресурсов породило новое направление исследований, относящееся к компонентам банковских рисков, возникающими из-за так называемых web-отношений[19]. Их анализу будет посвящен специальный раздел настоящей книги. Эти отношения возникают при внедрении кредитной организацией такого варианта ДБО, как интернет-банкинг, и требуют в общем случае существенного дополнения процесса управления банковскими рисками новыми процедурами (которые при развитии этой ТЭБ практически составляют новый внутрибанковский процесс, в котором целесообразно согласованное участие нескольких структурных подразделений кредитной организации).
Из дальнейшего изложения можно будет выделить еще несколько менее существенных факторов возникновения источников рисков, образующих соответствующие подмножества для каждого из рассматриваемых типичных банковских рисков, однако все три перечисленных основных фактора системного плана как минимум не должны ускользать от внимания руководства кредитной организации, переходящей к ДБО. Такое понимание значимости кратко рассмотренных выше факторов в современных условиях может стать одной из наиболее важных характеристик качества корпоративного управления в высокотехнологичной кредитной организации. Необходимо отметить, что при этом изменения происходят не только в технологическом и техническом обеспечении банковской деятельности, они в оптимальном варианте должны были бы происходить и в ряде основных бизнес-процессов кредитных организаций (или в подлежащих реализации). В книге рассматриваются возможные подходы к оптимизации способов и условий банковской деятельности при внедрении и применении кредитными организациями новых технологий электронного банкинга, их совершенствовании и комплексном развитии.
Следует специально подчеркнуть, что все процессы информационного взаимодействия в киберпространстве принципиально характеризуются анонимностью агентов этого взаимодействия и установить, кто именно в конкретный момент времени «держал палец на кнопке», с полной уверенностью невозможно. В каждом случае передачи и обработки данных, которые так или иначе связаны с какими-либо активами кредитной организации (являясь либо собственно записями о них или командами на изменения их значений), любой такой процесс существует только в отдельные кванты времени в электронных устройствах или каналах связи. По завершении такого управляющего процесса от него может не оставаться никаких следов, кроме изменения значений полей в записях баз данных, почему и становятся принципиально важными файлы так называемых «компьютерных журналов», фиксирующих события, происходящие в банковских автоматизированных системах (в зависимости от назначения и содержащихся в них данных их часто называют «системными логами» и «аудиторскими трейлами»). Это в свою очередь означает, что традиционные процессы управления банковской деятельностью и контроля над ней в высокотехнологичных кредитных организациях заведомо не могут считаться эффективными — эти процессы целесообразно адаптировать к применяемым банковским информационным технологиям и системам на основе риск-ориентированного анализа, который тоже следует адаптировать к специфике таких технологий.
Указанный анализ также целесообразно строить на изучении состава и структуры ИКБД, образуемого ТЭБ, внедряемой кредитной организацией. Даже если такая организация использует две-три однородные системы разного целевого назначения (по функциям, группам клиентуры и т. п.), схожесть процессов информационного взаимодействия в них не должна вводить в заблуждение. В этом случае лучше потратить дополнительное время и силы на аналогичный анализ, но с уверенностью избежать неожиданного негативного проявления какого-либо изначально незамеченного «мелкого» источника риска. Такой подход требует, естественно, подготовки соответствующих руководящих решений и распорядительных документов, что целесообразно предусмотреть заранее, до практического начала ДБО клиентов[20], особенно физических лиц, поскольку, как показывает практика, принципиальное отсутствие корпоративной культуры создает почву для возникновения новых инцидентов информационной безопасности и неправильного использования компьютерных и телекоммуникационных технологий.