Управление рисками в электронной коммерции

В настоящее время сложно представить банк, не использующий системы дистанционного банковского обслуживания (ДБО). Требования бизнеса, ориентация на удобство для клиентов и следование современным тенденциям побуждают кредитные организации внедрять новые информационно-коммуникационные технологии.

Задачи обеспечения защиты систем ДБО в банке ложатся на подразделения информационной безопасности, IT-службы и, частично, – на сотрудников финансового мониторинга. В большинстве случаев задачи по обеспечению информационной безопасности решаются стандартными подходами: внедрением технических средств защиты, межсетевым экранированием, разграничением доступа на сетевом уровне и управлением доступом.

Однако со временем топ-менеджмент банка начинает замечать – несмотря на принятые меры по снижению операционных рисков, всё равно возникают проблемы: инциденты, сбои, выход за рамки бюджета, нехватка ресурсов и т.д. Возникают закономерные вопросы, почему так происходит и что делать дальше?

Чтобы исчерпывающе ответить на эти вопросы, нужен цикл статей, шаг за шагом раскрывающих процесс управления рисками систем ДБО и его практическое осуществление в банке. Приведённые подходы и практические советы помогут выстроить процесс управления рисками не только в электронной коммерции, но и в целом, для любых бизнес-процессов банковской деятельности.

СТЕПЕНИ ИНТЕГРАЦИИ СИСТЕМ ДБО

Количество, характер и степень рисков в каждом конкретном случае зависит, в первую очередь, от того, в какой степени интернет-сервисы интегрированы в информационные системы и бизнес-процессы банка. Возможны 3 степени такой интеграции: низкая, средняя и высокая.

Низкая степень интеграции – сайт банка предоставляет общую информацию о самом банке, его продуктах и услугах банка. В таком случае финансовые риски минимальны. Нарушение целостности и доступности может привести к возникновению репутационных рисков, степень влияния которых менеджменту необходимо оценить в каждом конкретном случае.

Средняя степень интеграции – веб-портал банка предоставляет доступ к информации общего характера о клиенте, например, о движении на его банковском счёте. Риски в таком случае существенны и для клиента, и для банка. Данные о клиенте, его счёте оказываются под угрозой компрометации, а интернет-сайт, который должен быть связан с информационной системой банка, может быть использован как канал для атаки на неё.

Высокая степень интеграции – сайт банка предоставляет возможности полноценного интернет-банкинга. Тут риски максимальны, поскольку каждая из финансовых операций, которая может быть совершена посредством ДБО, несёт потенциальную угрозу для банка. Управление такими рисками становится особенно актуально после вступления в силу закона №161-ФЗ «О национальной платёжной системе России».

КАТЕГОРИИ РИСКОВ

При внедрении систем электронной коммерции банки в большей степени уделяют внимание операционным рискам. Однако для соответствия стратегии информационной безопасности и для уверенности, что внедряемая или существующая система ДБО отвечает долгосрочным требованиям руководства банка, должен быть принят во внимание целый ряд категорий рисков.

Основные категории рисков, которые следует рассмотреть при оценке потенциальных потерь при внедрении систем ДБО, таковы:

• Стратегические риски. Выбор степени интеграции системы ДБО с информационной системой банка должен чётко соотноситься с кадровыми, технологическими и финансовыми ресурсами банка, а не базироваться на стремлении «быть наравне с конкурентами». При неправильном выборе запуск и поддержание системы ДБО окажутся неоправданно дорогими. На этом же этапе должны быть учтены долгосрочные перспективы развития системы ДБО путём разработки стратегии, содержащей планирование ресурсов, прогнозирование целевого рынка, нового функционала и пр. Без стратегии развития и планирования будет сложно вовремя уделять внимание аспектам информационной безопасности и, как следствие, реагировать на быстро появляющиеся угрозы в соответствии с процессом управления рисками.
• Операционные риски. Осуществление транзакций посредством систем ДБО потенциально грозит финансовыми потерями, в случае успеха мошеннических операций или из-за системных сбоев. Причиной подобных инцидентов зачастую оказывается неудовлетворительная интеграция системы ДБО стороннего разработчика в собственную информационную систему банка. В такой ситуации весь ущерб ложится на банк. Естественно, операционные риски включают множество факторов, которые должны быть рассмотрены при оценке. В дальнейших статьях детально будет рассмотрен именно процесс управления операционными рисками, поскольку это наиболее ресурсоемкий и сложный процесс.
• Риски несоответствия. Наличие систем ДБО вводит дополнительную необходимость соответствия требованиям действующего законодательства и государственных регуляторов, в частности, предъявляемым к информационной безопасности финансовых транзакций и обработке персональных данных. Невыполнение хотя бы некоторых из этих требований несёт для банка финансовые и репутационные риски, равно как и санкции соответствующих регуляторов. Так же следует принимать во внимание требования международных актов и законодательства (Basel II, Sarbanes-Oxley Act), которые также могут быть применимы к банку.
• Репутационные риски. Опыт показывает, что клиенты крайне болезненно относятся к некачественной работе систем ДБО. Временное ограничение перечня заявленных онлайн-услуг, доступа к ним или низкая отказоустойчивость системы ДБО могут вызывать у широкого круга клиентов негативное отношение к банку в целом. При оценке операционных рисков доступности следует принимать во внимание и репутационные риски.
• Риски информационной безопасности. Наличие системы ДБО привлекает внимание киберпреступников, в арсенале которых для несанкционированного доступа к информационным системам имеется широкий и постоянно обновляющийся набор технологического «инструментария». Поскольку, согласно ФЗ-161, с 2013 года банки будут обязаны возмещать потери клиентов по опротестованным операциям ещё до расследования, именно эти риски станут актуальными в самом ближайшем будущем. Риски информационной безопасности, являющиеся частью операционных, должны быть детально проанализированы. В отношение них должен применяться полный цикл процесса управления рисками.
• Кредитные риски. Возможность экспресс-кредитования через интернет пока не столь распространена в России, как использование кредитных банковских карт, но в недалёком будущем может стать важным инструментом развития клиентской базы. В этом случае активизируются угрозы, связанные с идентификацией клиента, проверкой его кредитоспособности, достоверности получаемых сведений, обеспечением конфиденциальности передаваемой информации и многие другие.
• Риски ликвидности. Системы ДБО позволяют значительно расширить базу клиентов банка. Вместе с тем, благодаря тому же интернету, клиенты способны легко сравнивать разные предложения, и, обнаружив более выгодное, в массовом порядке быстро переводить свои средства из одного банка в другой. Такая возможность обостряет конкуренцию на рынке банковских услуг и создаёт для каждого банка дополнительную угрозу кризиса ликвидности.
• Ценовые риски. Возможность проводить посредством ДБО операции с ценными бумагами или валютой делает клиентам банка доступной спекулятивную деятельность, в том числе с применением специальных технических средств. В таком случае банк подвергается угрозам, связанным с брокерской деятельностью.

ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ

Перед руководством банка, в связи с активацией перечисленных рисков, возникает необходимость учитывать их в общей стратегии управления рисками. При этом для топ-менеджмента критически важно осуществлять соответствующий контроль за всей банковской деятельностью, связанной с запуском и поддержкой системы ДБО.

Типичной ошибкой, как показывает практика, является попытка полностью подчинить управление всеми категориями рисков, связанными с ДБО, ИТ-отделу и подразделению информационной безопасности. В свою очередь, упомянутые службы, со своей стороны, должны повышать осведомленность топ-менеджмента компании в вопросах управления рисками и делегировать им соответствующие функции принятия управленческих решений, вовлекать в процессы оценки возможных потерь.

Без чёткой поддержки топ-менеджментом инициатив ИТ- и ИБ-служб невозможно выстроить процесс управления рисками, полностью отвечающий требованиям бизнеса. Внедрение системы ДБО требует от руководства банка ясной постановки целей и путей их достижения, определения промежуточных задач, их ранжирования и установки последовательности выполнения.

Следует чётко определить планируемую выгоду, необходимые затраты, включая стоимость закупки, внедрения, эксплуатации и владения системы ДБО. Эти и другие ключевые показатели, связанные с запуском системы интернет-банкинга, помогут выработать эффективную стратегию управления рисками.

Полагается обязательно следить за тем, чтобы планы внедрения и развития электронной коммерции основывались на результатах оценки технологических ресурсов банка. Конечно, в той или иной степени банки интуитивно оценивают вышеназванные категории рисков. Однако, как показывает практика, в такой оценке нет системного и процессного подхода. Оценка угрозы возникает либо после её реализации, либо уже в процессе внедрения или функционирования системы.

БАЗОВЫЕ МЕХАНИЗМЫ КОНТРОЛЯ

Контроль со стороны служб информационной безопасности требует дополнительного внимания к аспектам аутентификации, невозможности опротестования и фиксации действий в системе ДБО. Внимание к аутентификации важно потому, что работа с банковскими системами через интернет требует проверки банком личности и прав доступа клиента, подтверждаемых с использованием различных технических средств (e-Token, SMS-паролей и других).

Наблюдаемый тренд минимизации процедур аутентификации, безусловно, повышает риск компрометации системы информационной безопасности банка в целом. Поэтому важно при изменении технологии аутентификации проводить соответствующую оценку возможного ущерба. Внедрять изменение в этом случае следует только после соответствующей оценки возможных потерь и принятия остаточного риска руководством банка.

Невозможность опротестовать совершённую транзакцию обеспечивается посредством современных средств защиты информации, например, использующих PKI-технологии. Средства инфраструктуры открытых "ключей существенно снижают вероятность того, что клиент успешно попытается снять с себя ответственность за якобы не совершённый им платёж.

Но последние изменения в российском законодательстве, всё тот же ФЗ-161, разворачивают ситуацию на 180°, в пользу клиентов, способных оказаться недобросовестными. Для страхования себя от подобных рисков банк должен разработать и задокументировать чёткую процедуру регистрации клиента, учитывающую все аспекты законодательства и полностью соответствующую реализованным процессам.

Жизненно важна для банка как можно более детальная фиксация всех действий клиента в системе ДБО, операций с его банковским счётом, в первую очередь – транзакций. Такая фиксация, которая ведётся автоматически информационной системой банка, облегчит выстраивание последовательности событий при расследовании инцидентов. Подобные журналы событий должны храниться банком таким образом, чтобы максимально обеспечить их конфиденциальность, целостность и доступность.

Следует отметить, что представленные в России системы ДБО в той или иной степени учитывают вышеназванные аспекты. Соответствующим службам остаётся только разработать регламенты использования упомянутых механизмов контроля.

ОСВЕДОМЛЕННОСТЬ И РЕПУТАЦИЯ

Наконец, важное место в стратегии управления рисками банка должны занять принципы управления сопутствующими правовыми и репутационными рисками. Речь идёт, прежде всего, о рисках, связанных с обеспечением конфиденциальности данных клиентов – персональных данных и банковской тайны.

Банки должны подробно информировать клиентов о своей политике в отношении такой информации: разъяснять цели, для которой эти данные необходимы, сообщать в общих чертах о средствах их защиты. Обработка клиентской информации должна проводиться только в информационных системах высокой степени защищённости.

Вместе с тем, от банка требуется обеспечивать постоянную доступность сервисов системы ДБО, как и осуществление поддержки пользователей в любое время. Служба информационной безопасности банка в каждый момент должна быть готова реагировать на любые инциденты, связанные с жизненно важными банковскими системами и процессами.

Как отмечает коммерческий директор ЗАО «Практика Безопасности» Дмитрий Скомаровский, в российских банках всё больше понимают необходимость риск-ориентированного подхода, но это достаточно новое для них направление, и практикуется привлечения специалистов, которые помогают поставить эту работу на должном уровне.

 

BIS-КОММЕНТАРИЙ

Василий ОКУЛЕССКИЙ,
начальник управления информационной безопасности департамента по обеспечению безопасности ОАО «Банк Москвы»:

– Тема риск-ориентированного подхода является как нельзя более актуальной, в первую очередь – к обеспечению информационной безопасности. В развитых странах Запада, где давно используются массовые электронные финансовые сервисы, такой подход применяется давно и повсеместно. В нашей стране электронные платежи начали активно внедряться с 1990-х годов, когда вопросы их безопасности зачастую сводились только к организационным мерам и техническим средствам защиты информации. Сейчас ситуация существенно изменилась: мы можем констатировать, что и к нам пришла пора применения риск-ориентированного подхода российскими банками в системах ДБО.

Такие требования заложены в ряде нормативных документов Банка России, описывающих операционные риски, которые тесно соприкасаются с обеспечением информационной безопасности. Однако для практического применения риск-ориентированного подхода нужна глубокая проработка целого ряда важных вопросов, создание методических рекомендаций. Лучше всего – на уровне Ассоциации российских банков и под её патронажем, аккумулируя опыт специалистов разных банков.

Описание и систематизацию существующих банковских рисков, в том числе в сфере ДБО, продуктивно вести на основе модели типичных угроз. Не сомневаюсь, что применение риск-ориентированного подхода к ДБО будет лейтмотивом V Уральского форума – межбанковской конференции по информационной безопасности в феврале 2013 года. Несмотря на некоторые дискуссионные моменты, нельзя не приветствовать вклад в эту работу, которую могут внести представители компаний-консультантов, примером чего может служить статья Павла Хижняка из компании «Практика Безопасности».

 

Стать автором BIS Journal