CC BY
41
электронный банкинг: риск отсутствия прямого контакта банка с клиентом*
П. В. РЕВЕНКОВ, кандидат экономических наук, заведующий сектором Департамента банковского регулирования и надзора E-mail: rpv@mail.cbr.ru Центральный банк Российской Федерации
В статье рассматриваются преимущества систем электронного банкинга и проблемы, связанные с отсутствием прямого контакта банка с клиентом. Приведены основные причины повышенного внимания риск-подразделений к технологиям электронного банкинга. Даны рекомендации по расширению функций риск-подразделений в связи с возможным использованием данной технологии для отмывания денег.
Ключевые слова: электронный банкинг, компьютерные преступления, отмывание денег.
В силу своих очевидных преимуществ системы дистанционного банковского обслуживания (ДБО) стали широко применяться в российских кредитных организациях. Наиболее динамично развивающимися являются технологии электронного банкинга (ЭБ), основными из которых можно назвать: интернет-банкинг — управление банковскими счетами и картами через Интернет и Web-браузер в режиме on-line и мобильный банкинг — управление банковскими счетами и картами с КПК, коммуникаторов и смартфонов.
Использование систем ЭБ позволяет клиентам кредитных организаций:
— существенно экономить время за счет исключения необходимости посещать банк лично;
— иметь возможность круглосуточно контролировать собственные счета и оперативно реагировать на изменения ситуации на финансовых рынках;
— отслеживать операции с пластиковыми картами, поскольку доступ к работе с системой ЭБ не зависит от местонахождения клиента (достаточно иметь компьютер или мобильное устройство с
* Настоящая статья выражает исключительно мнение автора и не отражает позиции Центрального банка Российской Федерации.
выходом в Интернет с установленным на них Web-браузером).
Закономерно, что с развитием систем ЭБ становятся актуальными вопросы, связанные с безопасностью их использования и с появлением новых (ранее нетипичных) источников банковских рисков. Особенностью выполнения операции при ДБО является то, что сами банковские операции переходят в такую форму, когда привычные первичные документы на бумажной основе физически отсутствуют.
Прогресс в области информационных технологий и развитие способов сетевого взаимодействия в сфере банковской деятельности вносят качественные изменения в работу кредитных организаций. Это обусловлено наблюдающимися изменениями в информационном контуре банковской деятельности и появлением в нем новых участников. Речь идет о провайдерах услуг и каналов связи, а также о совершенно новом типе клиентов, которые уже не приходят в банк, для того чтобы осуществить те или иные банковские операции, а сами становятся операционистами.
Есть несколько причин для повышенного внимания к данному направлению банковского обслуживания со стороны специалистов подразделений риск-менеджмента, контроллинга и службы внутреннего контроля (СВК). Каждая причина связана с той или иной проблемой.
Первая причина заключается в том, что системы ЭБ, используемые в банках, переводят совершаемые банковские операции в виртуальную форму, т. е. каждая проводка выражается в мгновенном изменении содержания бухгалтерского журнала. Фактически любой процесс, приводящий к изменениям полей записей базы данных, не оставляет других следов, кроме своего результата. В последнее
финансы и кредит
27
Банковская автоматизированная система кредитной организации
Система ЭБ
Бухгалтерский журнал
—• •—
▲ ' ♦ , 1
Официальный Web-сайт банка
Intemi
i
¡met ^
Счета клиентов
Фальшивый Web-сайт банка
В системе ЭБ произошел сбой... Подтвердите свои данные...
Кража
денежных
средств
со счетов
клиентов
банка
Данные по кредитным картам
Клиенты банка, использующие систему ЭБ
Использование фальшивого Web-сайта банка для выманивания данных по кредитным картам
время системы ЭБ стали использовать для противоправных действий (см. рисунок).
Есть еще одна проблема, связанная с мировым финансовым кризисом. Она выражается в снижении затрат на обеспечение информационной безопасности. При этом криминальный мир, напротив, отвечает значительным увеличением своей активности. Так, по данным лаборатории по исследованию вредоносных кодов компании Panda Security1, за первые восемь месяцев 2009 г. обнаружено больше вредоносного программного обеспечения, чем за все предыдущие 17 лет вместе взятые.
Компьютерные злоумышленники сегодня совсем не похожи на тинэйджеров, получивших первоначальные знания с хакерских Web-сайтов, а представляют собой специалистов с достаточно высокой подготовкой в области информационных технологий и в финансовых вопросах. Причем большинство из них действуют в составе организованных преступных групп. На сегодняшний день доходы от компьютерных преступлений значительно превышают доходы, получаемые от продажи оружия и наркотиков.
Одним из наиболее известных способов мошенничества в Интернете является фишинг (phishing) — способ мошеннических действий, при котором злоумышленник рассылает множество сообщений по электронной почте в целях получения личной и финансовой информации о
потенциальных жертвах (для дальнейшего доступа к их банковским счетам и другим важным ресурсам) 2.
Подобные сообщения приходят якобы от банков, платежных систем, on-line-аукционов, крупных и широко известных интернет-магазинов. Письмо создается, форматируется и оформляется таким образом, чтобы выглядеть как отправленное легальным источником. Причем подделываются заголовки письма, его внешний вид (включая графические и текстовые элементы), а также ссылки на реальный Web-сайт. В случае с ЭБ, как правило, такое письмо содержит информацию о внезапно возникших технических проблемах на сервере банка, в связи с чем возникла необходимость проверки учетных записей и регистрационных данных пользователей. Далее жертве предлагается открыть «регистрационную форму» и ввести интересующие мошенника данные. Далее, так как эта регистрационная форма загружается не с Web-сайта банка, то вся личная информация жертвы отправляется мошеннику. Получив эти данные, мошенник распоряжается банковским счетом жертвы и кредитной картой по своему усмотрению (см. рисунок).
В качестве основных рекомендаций, которые следует доводить до клиентов системы ЭБ (в том числе и на официальных Web-сайтах кредитных организаций), можно привести следующие3:
— никогда не следует отвечать на запросы, касающиеся личной информации, данных банковских счетов, кредитных карт и паролей доступа, которые приходят по электронной почте;
— не использовать ссылки на интернет-ресурсы, которые содержатся в сообщениях, присланных по электронной почте, а вводить URL сайта в адресную строку Web-браузера самостоятельно;
1 URL: http://www.viruslab.ru.
2 По данным Антифишинговой рабочей группы (Anti-Phishing Working Group, APWG), количество фишинговых атак с целью банковского мошенничества ежемесячно увеличивается на 50 %.
3 Эти же рекомендации должны знать и специалисты КО, отвечающие за бесперебойное и безопасное функционирование Web-сайта, чтобы без промедления пресекать подобные мошеннические действия.
изменение характеристик компьютерных атак
Общая характеристика компьютерной атаки Характеристика
ранних компьютерных атак современных компьютерных атак
Мотивация атаки Желание атакующего добиться известности и «почета» Экономическая выгода для атакующего
Масштаб атаки Большой масштаб атаки (чем больше, тем лучше) Узконаправленный выбор цели для атаки
Степень открытости атакующего Относительная открытость атакующего (заявление атакующего для всех о своем присутствии) Использование атакующим стелс-технологий по распространению вредоносного кода и различных технологий для осуществления атаки
Тип программного обеспечения Вирусы, черви, spyware Направленные вирусы, руткитты, фишинг
Риски для атакуемых «Падение» сети на некоторое время Прямые финансовые потери у атакуемых, кража корпоративных секретов, кража персональных данных и их раскрытие
Степень вреда для работоспособности системы Система приходит в работоспособное состояние после удаления вредоносного ПО Для обеспечения работоспособности системы может потребоваться ее восстановление
— необходимо убедиться, что при работе с Web-сайтом кредитной орагнизации информация передается в кодированном (шифрованном) виде;
— регулярно проверять состояние баланса банковского счета (кредитной карты);
— немедленно сообщать уполномоченным сотрудникам кредитной организации о всех подозрениях в случаях несанкционированного доступа к личной информации и злоупотребления ею.
Признаки, по которым можно определить, что соединение произошло с фальшивым Web-сайтом, следующие:
— отсутствует возможность просмотреть исходный текст сайта4;
— при использовании другого Web-браузера адресная строка заметно не «попадает» на привычное место;
— при сворачивании окна Web-браузера на панель задач окошко с ложным адресом не сворачивается, а «зависает» в нижней части экрана;
— окно с ложной адресной строкой ведет себя как самостоятельное окно Windows-задачи с возможностью перемещения по экрану монитора, но с тенденцией занять определенное место;
— фальшивую адресную строку невозможно редактировать.
По данным исследования некоммерческой организации TRUSTe и Американской ассоциацией электронных платежей NACHA), в 2007 г. почти 7 из 10 американских потребителей непреднамеренно посещали хотя бы один ложный сайт; по меньшей мере раз в неделю мошенникам удавалось «выудить» конфиденциальные данные у 35 % пот-
4 Самостоятельно получить сведения о Web-сайте можно на следующих сетевых ресурсах: URL: http://www.dnsdtuff.com, www.geobytes.com,www.nextwebsecurity.com, www.domaintools. com. и др.
ребителей; финансовые убытки от мошеннических действий составили 500 млн долл.
В последнее время достаточно серьезные угрозы исходят от троянских программ (trojan). Троянские программы, использующие технологии сокрытия, могут не распространяться, а находиться долгое время в системе, выполняя свою задачу по похищению данных. Троянские программы могут быть обнаружены преимущественно поведенческими системами анализа. Характеристики современных компьютерных атак и их изменение во времени указаны в таблице.
Очевидно то, что в будущем угрозы станут более опасными. Уже сегодня многие атаки — это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают выдумывать и создавать новые техники атак.
Вторая причина связана с невозможностью гарантировать достоверность регулярной банковской отчетности. Основная сложность заключается в практической невозможности убедиться в достоверности поступающей отчетности без использования таких инспекционных технологий, которые по своей сложности не уступают банковским. Необходимо отметить, что в ряде кредитных организаций, работающих на территории Российской Федерации (филиалы зарубежных банков), основные серверы их банковских автоматизированных систем (БАС) размещены за пределами нашего государства. В таких условиях осуществить тщательную проверку достоверности поступающей в Банк России банковской отчетности от таких банков — очень затруднительно.
финансы и кредит
29
Не менее сложно восстановить истинную картину осуществления финансовых сделок, которые проводились с использованием офшорных компаний. Не секрет, что офшорные зоны используются во многих случаях для отмывания денег и ухода от уплаты налогов. В последнее время технологии ЭБ стали часто применяться при осуществлении трансграничных операций, в том числе и с контрагентами, находящимися в офшорных зонах.
Согласно существующей аналитической информации офшорные банки создаются в целях:
— получения доступа к международной сети корреспондентских отношений;
— обеспечения внешнеторговых операций материнской компании и аффилированных финансовых и коммерческих структур;
— расширения спектра банковских услуг кредитного учреждения;
— кредитования коммерческих и финансовых структур;
— доступа к международным финансовым организациям;
— эмиссии финансовых продуктов;
— оптимизации финансовых потоков внутри существующей фирмы.
Третья причина заключается в том, что любые технологические нововведения повышают и усложняют банковские риски, а, следовательно, снижают надежность и устойчивость коммерческих банков и банковской системы в целом.
Очевидно, что новая реальность и вопросы безопасности, с которыми вынуждены сталкиваться кредитные организации и их клиенты при использовании систем ЭБ, требуют модернизации, а в ряде случаев и значительного пересмотра процедур мониторинга и парирования рисков (необходимы новые процедуры внутреннего контроля и процедуры контроля за квалификацией специалистов подразделений риск-менеджмента, контроллинга и СВК).
Помимо существующих традиционных функций безопасности в настоящее время появляются дополнительные, связанные с контролем:
— качества выполнения всех необходимых ме-
роприятий, осуществляемых службами проектирования, разработки и сопровождения системы ЭБ;
— полноты выполнения мероприятий по обеспечению информационной безопасности систем ЭБ;
— достоверности бухгалтерского учета операций, совершенных посредством технологии ЭБ;
— безопасного функционирования и финансового состояния провайдеров и поставщиков аппаратно-программного обеспечения, применяемого в составе информационного контура технологии ЭБ;
— содержания и ведения Web-сайта кредитной организации и др.
В заключение необходимо отметить, что использование технологии ЭБ имеет неоспоримые преимущества, но наряду с этим эта технология создала и вполне конкретные риски для банков и для их клиентов. Регулирующим органам необходимо создать условия, которые позволили бы в значительной степени минимизировать сопутствующие риски. Решение этой проблемы необходимо начинать с правовых вопросов.
В Российской Федерации на сегодняшний день отсутствуют:
— правовая база ЭБ (например нет закона об электронных финансовых услугах);
— организационно-правовой механизм реализации закона об электронной цифровой подписи;
— системы стандартизации и сертификации программного обеспечения электронных платежей, а также правоприменительная практика разрешения спорных вопросов при ДБО.
Необходимо также внести изменения и дополнения в законодательные акты о валютном контроле.
Список литературы
1. Грень И. В. Компьютерная преступность.
Минск: Новое знание. 2007. 413 с.
2. Ревенков П. В., Дудка А. Б., Сычев А. М, Пелени-
цын А. М. Электронный банкинг. М.: Изд. дом
«Регламент». 2009. 248 с.
ВНИМАНИЕ! На сайте Электронной библиотеки <^ПЬ> собран архив электронных версий журналов Издательского дома «ФИНАНСЫ и КРЕДИТ» с 2006 года и регулярно пополняется свежими номерами. Подробности на сайте библиотеки:
www.dilib.ru
