Научная статья на тему 'Компьютерные атаки как источник операционного риска в условиях электронного банкинга'

Компьютерные атаки как источник операционного риска в условиях электронного банкинга Текст научной статьи по специальности «Экономика и бизнес»

CC BY
481
119
i Надоели баннеры? Вы всегда можете отключить рекламу.
Журнал
Финансы и кредит
ВАК
Область наук
Ключевые слова
ЭЛЕКТРОННЫЙ БАНКИНГ / ELECTRONIC BANKING / БАЗЕЛЬСКИЙ КОМИТЕТ / BASEL COMMITTEE / КОМПЬЮТЕРНЫЕ АТАКИ / ОПЕРАЦИОННЫЙ РИСК / OPERATIONAL RISK / E-BANKING / CYBER ATTACK

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Ревенков П.В., Бердюгин А.А.

Предмет. Актуальность выбранной темы обусловлена возрастанием операционного риска в связи с использованием компьютерных технологий кредитной организацией. Основная задача операционного риск-менеджмента состоит в оптимизации банковских бизнес-процессов. Исследуется взаимосвязь источников, видов и последствий операционного риска в условиях электронного банкинга. Цели. Анализ примеров операционного риска, связанного с расширением доступа к финансовым услугам. Исследование предоставления в России платежных электронных услуг в территориальном разрезе. Разработка методов совершенствования управления операционными рисками в электронных банковских системах. Методология. Применены общенаучные методы познания: анализ и синтез, индукция и дедукция, метод аналогии. Проведен системный анализ научной литературы в области теоретических и прикладных исследований. Реализован графический метод интерпретации исследуемых явлений. Результаты. Формулируются методы совершенствования управления операционным риском в системах электронного банкинга. Выводы и значимость. Ценность и новизна полученных результатов заключаются в исследовании источников и видов операционного риска, связанных с внедрением информационных технологий в банковскую деятельность и ростом компьютерных атак на банковские автоматизированные системы. Даны рекомендации по снижению операционного риска. Область применения. Результаты работы могут быть использованы для научных исследований операционного риска при дистанционном банковском обслуживании.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Cyber attacks as a source of operational risk in electronic banking

Importance Due to the use of computer technologies by credit institutions their operational risk is growing. The main task of operational risk management is to streamline banking business processes. The article examines relationships of sources, types and consequences of operational risk in e-banking. Objectives The study aims to analyze operational risk associated with increased access to financial services and develop methods to improve operational risk management in e-banking systems. Methods We employ general scientific methods of cognition, like analysis, synthesis, induction, deduction, and analogy, certain techniques of systems analysis of scientific literature on theoretical and applied research, and a graph method to interpret investigated phenomena. Results Based on reviewed laws and regulations, statistical reports, works of domestic and foreign specialists in banking risk management, we formulate methods for improving the operational risk management in electronic banking systems and recommendations on how to reduce this risk. Conclusions and Relevance The findings may be useful for scientists studying operational risk inherent in remote banking.

Текст научной работы на тему «Компьютерные атаки как источник операционного риска в условиях электронного банкинга»

pISSN 2071-4688 Банковская деятельность

eISSN 2311-8709

КОМПЬЮТЕРНЫЕ АТАКИ КАК ИСТОЧНИК ОПЕРАЦИОННОГО РИСКА В УСЛОВИЯХ ЭЛЕКТРОННОГО БАНКИНГА*

Павел Владимирович РЕВЕНКОВ3'', Александр Александрович БЕРДЮГИНь

я доктор экономических наук, профессор кафедры информационной безопасности,

Финансовый университет при Правительстве Российской Федерации, Москва, Российская Федерация

pavel.revenkov@mail.ru

orcid.org/0000-0002-0354-0665

SPIN-код: 3491-4700

ь аспирант кафедры информационной безопасности,

Финансовый университет при Правительстве Российской Федерации, Москва, Российская Федерация

a40546b@gmail.com

orcid.org/0000-0003-2301-1776

SPIN-код: 2920-1050

' Ответственный автор

История статьи:

Получена 08.02.2018 Получена в доработанном виде 22.02.2018 Одобрена 12.03.2018 Доступна онлайн 27.03.2018

УДК 336.71:004.056 G21, G32, L86

Ключевые слова:

электронный банкинг, Базельский комитет, компьютерные атаки, операционный риск

© Издательский дом ФИНАНСЫ и КРЕДИТ, 2018

Аннотация

Предмет. Актуальность выбранной темы обусловлена возрастанием операционного риска в связи с использованием компьютерных технологий кредитной организацией. Основная задача операционного риск-менеджмента состоит в оптимизации банковских бизнес-процессов. Исследуется взаимосвязь источников, видов и последствий операционного риска в условиях электронного банкинга. Цели. Анализ примеров операционного риска, связанного с расширением доступа к финансовым услугам. Исследование предоставления в России платежных электронных услуг в территориальном разрезе. Разработка методов совершенствования управления операционными рисками в электронных банковских системах.

Методология. Применены общенаучные методы познания: анализ и синтез, индукция и дедукция, метод аналогии. Проведен системный анализ научной литературы в области теоретических и прикладных исследований. Реализован графический метод интерпретации исследуемых явлений.

Результаты. Формулируются методы совершенствования управления операционным риском в системах электронного банкинга.

Выводы и значимость. Ценность и новизна полученных результатов заключаются в исследовании источников и видов операционного риска, связанных с внедрением информационных технологий в банковскую деятельность и ростом компьютерных атак на банковские автоматизированные системы. Даны рекомендации по снижению операционного риска.

Область применения. Результаты работы могут быть использованы для научных исследований операционного риска при дистанционном банковском обслуживании.

Для цитирования: Ревенков П.В., Бердюгин А.А. Компьютерные атаки как источник операционного риска в условиях электронного банкинга // Финансы и кредит. — 2018. — Т. 24, № 3. — С. 629 — 640. https://doi.org/10.24891/fc.24.3.629

Усиление надзора за операционным риском

Причиной повышенного внимания к операционному риску в организациях

* Статья подготовлена по результатам исследований, выполненных за счет бюджетных средств по государственному заданию Финансового университета на 2017 г.

кредитно-финансовой сферы стал выход соглашения Базельского комитета по банковскому надзору (далее — Базельский комитет) «Basel II: Международная конвергенция изменения капитала и стандартов капитала: новые подходы».

ит, 2018, т. 24, вып. 11, стр. 629-640

:.ru/journal/fc/ 629

В Соглашении Basel II были сформулированы требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие1.

В соответствии с Базельскими документами структура операционного риска включает в себя три составляющие: минимальный размер капитала, процедуры надзора и рыночную дисциплину (раскрытие) информации [1].

Базельский комитет трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий и в качестве возможных проявлений приводит следующие типы событий:

- внешние воздействия (наводнения, пожары, аварии и т.п.);

- внутренние и внешние мошенничества;

- ошибки персонала;

- сбои в реализации бизнес-процессов и обслуживании клиентов;

- физический ущерб активам;

- сбои информационных систем;

- нарушение процессов обработки и хранения данных [2].

Отметим, что российский регулятор ранее для определения понятия «операционный риск» рекомендовал специалистам обращаться к Письму Банка России от 24.05.2005 № 76-T «Об организации управления операционным риском в кредитных организациях», которое основывалось на рекомендациях соглашения Basel II.

Вступившее в силу Указание Банка России от 18.11.2015 № 3850-У внесло изменения в Положение Банка России от 03.11.2009

1 В дальнейшем Базельский комитет подготовил соглашение Basel III, в котором также рекомендовал тщательно подходить к оценке операционного риска.

№ 346-П «О порядке расчета размера операционного риска» и требует для интерпретации понятия операционного риска обращаться к гл. 4 приложения к указанию Банка России от 15.04.2015 № 3624-У «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы»2. В соответствии с данным документом под операционным риском понимается риск возникновения убытков в результате ненадежности внутренних процедур управления кредитной организации, недобросовестности работников, отказа информационных систем либо вследствие влияния на деятельность кредитной организации (дочерней

организации) внешних событий.

Банк России вывел из определения блок, связанный с риском возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и/или требованиям

действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок [3]. Это связано с тем, что теперь данные риски выведены в категорию регуляторного риска3.

Базельский комитет рекомендует надзорным органам понимать потенциальную быстро развивающуюся роль третьих лиц, участвующих в предоставлении финансовых услуг, включая сторонних поставщиков, которые могут получить доступ к информации о расчетных счетах и предоставлять пользователям услуги по инициированию платежей [4]. В то же время оценка органа надзора должна быть направлена на

2 Мануйленко В.В. Развитие моделей оценки капитала под операционный риск: проблемы и перспективы // Финансы и кредит. 2011. № 11. С. 15-24.

URL: https://cyberleninka.ru/artide/n/razvitie-modeley-otsenki-kapitala-pod-operatsionnyy-risk-problemy-i-perspektivy

3 В соответствии с Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» регуляторный риск — это риск возникновения у банка убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов банка, стандартов саморегулируемых организаций (если такие стандарты и правила являются обязательными для банка), а также риск в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов.

управление операционным риском без торможения инноваций.

К примерам операционного риска, связанного с расширением доступа к финансовым услугам, относятся следующие.

Внутреннее мошенничество. Небанковский эмитент электронных денег может подделывать бухгалтерские записи (в целях хищения средств клиентов) таким образом, чтобы создавалось впечатление, что электронные деньги согласно бухгалтерским записям соответствуют средствам,

депонированным на трастовом или кастодиальном счете в депозитном учреждении.

Управление исполнением, доставкой и процессом, а также внешнее мошенничество. Использование агентов в качестве основного контактного лица в отношениях с клиентами, в том числе для принятия вкладов и погашения кредитов, а также с возможностью снятия средств, влечет за собой новые операционные риски и риски в отношении защиты прав потребителей, в дополнение к общим рискам аутсорсинга. Значительные расстояния между финансовым учреждением и его агентами могут затруднять контроль за действиями агентов, увеличивая риск мошенничества и кражи, неправомерного обращения с клиентами и неспособности конфиденциально обрабатывать данные клиентов [5]. Для устранения этих рисков следует разработать меры и процедуры, регулирующие отбор, обучение и надзор за агентами.

Клиенты, продукты и деловая практика. У клиентов, не знакомых с формальными финансовыми услугами и цифровыми финансовыми операциями, может не быть опыта работы с техническими приложениями и сложными цифровыми интерфейсами, вследствие чего они могут отправить ту или иную сумму на ошибочный номер мобильного телефона или забудут о мерах безопасности мобильного устройства.

Цифровые финансовые операции часто основаны на электронных (в отличие от

бумажных) записях и квитанциях о получении, что иногда может вызывать проблемы с доступностью и надежностью вследствие прерывания обслуживания. Эти проблемы могут подорвать доверие клиентов к учреждению, его продуктам, услугам и/или каналам распространения.

Нарушение деятельности и отказ систем. Финансовые учреждения, ориентированные на необслуживаемых и недостаточно

обслуживаемых клиентов, могут работать в сферах, где отсутствует базовая инфраструктура или которые подвержены прерываниям при предоставлении основных услуг [6]. Перебои с услугами могут сказаться на репутации поставщика и привести к утрате доверия клиентов не только в конкретной компании, но и в цифровых механизмах доставки. Финансовые учреждения, использующие цифровые платформы в качестве единственного средства обслуживания клиентов, нуждаются в мерах обеспечения непрерывности деятельности для устранения риска сбоев на используемых платформах.

Как на цифровых платформах, так и в агентских сетях контролируемым учреждениям должно быть ясно, что они несут полную ответственность перед органами надзора и клиентами, в частности за защиту личной и финансовой информации клиентов. Органы надзора должны обладать полномочиями при необходимости проверять выполнение соглашений об уровне обслуживания и принимать меры в случае возникновения рисков, связанных с невыполнением определенных положений [7].

Резюмируя рекомендации Базельского комитета, выделим основные области, в которых могут возникать источники операционного риска:

• персонал (намеренные или халатные действия сотрудников компании, которые могут нанести ущерб ее деятельности);

• процессы (ошибки или некорректное исполнение операций в ходе осуществления бизнес-процессов либо должностных обязанностей) [8];

• системы (нарушение текущей деятельности в результате сбоя банковской автоматизированной системы (БАС) и/или недоступности сервиса со стороны информационных технологий);

• внешняя среда (атаки либо иные угрозы, исходящие от внешней среды, которые не могут управлять компанией и выходят за рамки ее непосредственного контроля) [9].

Схематически взаимосвязь источников и видов операционного риска изображена на рис. 1.

Зарубежная практика и деятельность иностранных компаний связывают реализацию операционного риска с ошибками при использовании производных финансовых инструментов и осуществлением

несанкционированных торговых махинаций [10]. Одной из основных причин операционного риска является желание специалистов и/или топ-менеджеров коммерческих банков улучшить официальные результаты своей деятельности для получения бонусного вознаграждения в пределах сформированной системы критериев [11].

Нас будут интересовать риски, связанные с инновационными операциями банка. Эти риски носят нефинансовый характер, являются непредсказуемыми и сила последствий их реализации может быть значительной.

Компьютерные атаки: источники операционного риска

Активное внедрение систем электронного банкинга привело к тому, что особенности удаленного обслуживания клиентов, основанные на новейших достижениях в области информационно-телекоммуникационных технологий, значительно расширили техническую составляющую операционного риска.

Вместе с количеством электронных денег возрастает интерес мошенников к системам. Проанализируем ситуацию с электронными счетами в России в территориальном разрезе (табл. 1, регионы выбраны случайно).

Из табличных расчетов можно сделать

некоторые выводы:

- обеспеченность платежными услугами регионов России неравномерна. Общее количество СДД и СДД на одного человека лидирует в Москве и Московской области, Санкт-Петербурге и в Новосибирской области — эти территории представляют наибольший интерес для компьютерных преступников. Риск совершения мошенничества здесь выше;

- отношение объема переводов к населению региона опускается, поскольку дает несоизмеримые с реальностью цифры. Ведь в переводах принимают участие не только физические, но и юридические лица [12]. В среднем доля СДД в общем количестве счетов занимает четверть (25%) счетов;

- о распространении технологий в регионах можно судить по процентному отношению СДД к общему количеству счетов. Столица в данном случае отнюдь не лидирует (17%). Чукотский автономный округ нуждается в развитии как технологий (количество счетов с дистанционным доступом незначительно или отсутствует), так и банковской отрасли (см. графу «Количество счетов»). Соответственно, финансовая киберпреступность здесь не имеет развития. Однако лидирование Чеченской Республики (41%) говорит о неразвитости банковской отрасли (см. графу «Счетов на одного человека»);

- в Алтайском крае, республике Саха (Якутия), Ярославской области и Чувашии количество СДД сравнимо с населением региона («СДД на одного человека» равно единице). Это свидетельствует об умеренном (среднем) уровне жизни регионов и соответствующем интересе хакеров к счетам;

- по количеству счетов на одного человека Хабаровский край занимает четвертое место после Санкт-Петербурга, Москвы, Московской и Новосибирской областей. Ведь Хабаровск является административным центром крупнейшего федерального округа России — Дальнего Востока. По количеству переводов, совершенных одним человеком, Хабаровский

край превосходит Санкт-Петербург ввиду того, что субъект Российской Федерации граничит с Китаем и связи жителей края

ч 4

распределены по всей стране4;

- низкое значение СДД на одного человека в Республике Крым и городе Севастополе связано с переходом полуострова в состав России и запретом Национального банка Украины на работу украинских кредитных учреждений в Крыму от 6 мая 2014 г.

Одним из источников расширения профиля операционного риска стали компьютерные атаки на аппаратно-программное обеспечение (АПО), находящиеся как на стороне банка или у его провайдеров, так и на АПО (включая персональные компьютеры, планшеты, смартфоны и т.п.) на стороне клиентов.

Киберпреступники зачастую опережают специалистов по безопасности [13]. Исследование компании, специализирующейся в области высоких технологий, — Cisco, свидетельствует о том, что хакеры используют для нарушений следующие приемы и виды вредоносного программного обеспечения (ВПО):

- промежутки времени между выявлением уязвимостей/взломов и установкой соответствующих исправлений (так называемые атаки нулевого дня);

- обман пользователей электронного банкинга при помощи методов социальной инженерии (см. подробнее [14]);

- внедрение вредоносного кода в пользовательский контент (рекламные баннеры, web-сайты, спам-письма, бесплатные программы).

Согласно отчету Cisco5, в 2017 г. наибольшую распространенность имели пять видов ВПО (табл. 2).

Рассмотрим некоторые виды компьютерных атак на организации кредитно-финансовой сферы, которые привели к значительным

4 В феврале 2017 г. в Хабаровске зафиксирован рост преступлений через Интернет — их число выросло наполовину по сравнению с 2016 г. Злоумышленники взламывают пароли, похищают номера кредитных карт

и многое другое. URL: https://www.dvnovosti.ru/khab/2017/02/2 2/62680

5 Годовой отчет Cisco по информационной безопасности, 2017 г. URL: http://cs.co/90058d7nh

финансовым потерям как банков, так и их клиентов6 (рис. 2).

1. Атаки на АРМ КБР7. За период с октября 2015 г. по март 2016 г. ФинЦЕРТ зафиксировал 21 атаку на инфраструктуру кредитных организаций. Конец года традиционно отличается максимальным количеством хищений средств физических и юридических лиц. Ведь в конце года увеличиваются остатки на счетах, идут большие платежи, выплачиваются премиальные физлицам, что провоцирует мошенников [15, 16]. Злоумышленниками были совершены попытки хищения денежных средств на общую сумму порядка 2,87 млрд руб. При этом предотвращено хищение порядка 1,6 млрд руб. и по фактам хищений правоохранительными органами возбуждено 12 уголовных дел.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2. Атаки на устройства самообслуживания (банкоматы). Данные атаки можно разделить на два основных типа:

• логические атаки (устройство не повреждается и не вскрывается, не устанавливаются дополнительные аппаратные компоненты с подключением к шинам устройства, все операции выполняются через удаленный доступ с использованием программных средств);

• физические атаки (повреждение или вскрытие устройства, установка дополнительных аппаратных компонентов, подключение внешних устройств, в том числе для возможности удаленного управления).

Вне зависимости от типа атаки все из них, за исключением подмены процессинга, направлены на опустошение диспенсера банкомата путем генерации соответствующих команд, якобы полученных от процессинга, с нарушением логики работы устройства.

Основной тренд логических атак во второй половине 2016 г. и первой половине 2017 г. — использование программного обеспечения

6 Сведения по статистике взяты из отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России. URL: http://www.cbr.ru/credit/Gubzi_docs/fincert_survey.pdf

7 АРМ КБР — автоматизированное рабочее место клиента Банка России.

Cobalt Strike, изначально предназначенного для проведения тестирования на проникновение.

Основные категории физических атак остались традиционными (скимминг, шимминг, Black Box, атаки на бесконтактные карты (NFC), подмена процессинга и Transaction Reversal Fraud (TRF).

3. Атаки на АРМ SWIFT. Основное отличие данного вида атак от атак через АРМ КБР — это использование системы международных переводов SWIFT для перевода денег сразу за границу [17]. Во многом о таком подходе говорит тот факт, что Банк России выпустил указания по защите АРМ КБР, а банки научились быстро отслеживать такие атаки и замораживать деньги до того, как мошенники успеют их вывести, поэтому злоумышленники стали искать новые способы хищений.

Из громких преступлений с использованием SWIFT можно назвать атаку 2016 г. на Центральный банк Республики Бангладеш, когда мошенники вывели средства на сумму 81 млн долл. США (при этом покушались они на гораздо большую сумму — около 1 млрд долл. США). В начале октября 2017 г. хакеры атаковали крупнейший банк Тайваня Far Eastern International Bank и украли оттуда 60 млн долл. США. Почти все похищенные средства удалось вернуть.

В декабре 2017 г., используя SWIFT, хакеры пытались украсть у дочернего банка ВЭБа — «Глобэкс» 1 млн долл США8.

Представленные компьютерные атаки являются вполне достаточным основанием, чтобы учитывать возможные потери по причине недостаточного уровня обеспечения информационной безопасности в

организациях кредитно-финансовой сферы.

Одним из способов учета данных рисков может быть дополнительное резервирование денежных средств под возможные потери из-за воздействия компьютерных атак [18]. Или организация должна принять все необходимые меры по нейтрализации данных рисков.

В заключение хотелось бы сказать, что на сегодняшний день операционный риск является одним из основных банковских рисков, так как все больше банковских процессов выполняются с помощью программных продуктов (чаще всего с минимальным участием человека), и насколько серьезно будут относиться в банках к его управлению, настолько будет стабильна не только отдельно взятая коммерческая организация, но и банковская система в целом.

Выводы

Высокая латентность киберпреступности является основным фактором роста числа компьютерных атак на различные организации, в том числе и на организации кредитно-финансовой сферы.

Для любой проблемы (в частности, для операционного риска) всегда есть весомые причины. Масштаб его реализации является индикатором этих причин. Обнаружение причин — достижение, позволяющее принять меры по решению проблемы в соответствии с обстоятельствами.

Недостатки в обеспечении информационной безопасности являются прямыми источниками операционного риска и могут приводить к значительным потерям денежных средств как банка, так и его клиентов [19]. Очевидно, что структуру управления операционным риском необходимо строить на основании рекомендаций регулятора, а также с учетом потребностей и масштабов бизнеса и приоритетных процессов, при этом надо обеспечивать эффективное распределение зон ответственности за управление теми или иными составляющими данного риска.

Регулирующие органы должны создать работоспособную систему обеспечения кибербезопасности в кредитно-финансовой сфере, в том числе специальные надзорные подразделения. Продолжением политики регулятора в этой области должны быть рекомендации для организаций кредитно-финансовой сферы, выполнение которых позволит минимизировать возможные последствия кибератак.

8 Хакеры украли из дочернего банка ВЭБа $1 млн // Ведомости. 2017, 20 дек. № 4475.

Таблица 1

Обеспеченность платежными дистанционными услугами в территориальном разрезе на 01 октября 2017 года

Table 1

Availability of remote payment services by territory as of October 1, 2017

Наимено- Насе- Кол-во Счетов Счетов с СДД Структура переводов Доля

вание ление счетов, на 1 дистанци на 1 Кол-во Пере- Объем, СДД в

терри- региона тыс. ед. чел., онным чел. пере- водов, млн руб. общем

тории ед. доступом (СДД), тыс. ед. водов, тыс. ед. совершен-ных 1 чел. количестве счетов, %

Алтайский 2 350 361 9 196 3,9 2 406,6 1 7 359,2 3,1 1 213 823,1 26

край

Еврейская 162 099 525 3,2 134,5 0,8 288,8 1,8 41 516,1 26

автономная

область

Иркутская 2 403 643 10 580,5 4,4 2 645,9 1,1 9 600,4 4 2 281 194,5 25

область

Калинин- 994 708 3 670,5 3,7 1 131,9 1,1 4 637 4,7 1 571 416,5 31

градская область

Камчатский 314 420 1 392,5 4,4 347,5 1,1 1 485,9 4,7 237 032,3 25

край

Москва и 20 004 462 302 127,2 15,1 52 650,6 2,6 343 953,8 17,2 859 717 153,3 17

Московская

область

Новгород- 606 305 2 400,3 4 638,5 1,1 2 409,3 4 428 297,9 27

ская область

Новосибир- 2 789 095 26 873,8 9,6 7 592,2 2,7 46 146,2 16,5 9 279 967,5 28

ская область

Республика 4 063 676 18 086,2 4,5 4 535,4 1,1 15 587,1 3,8 3 297 442,2 25

Башкорто-

стан

Республика 1 913 989 3 832,2 2 1 183 0,6 11 112,6 5,8 3 169 899 31

Крым

Республика 964 252 4 218,4 4,4 976,3 1 4 178,6 4,3 1 064 307,1 23

Саха

(Якутия)

Республика 537 404 2 032,3 3,8 496,5 0,9 2 276,2 4,2 236 935 24

Хакасия

Санкт- 5 356 755 38 396,9 7,2 10 720 2 62 483,8 11,7 26 890 499,7 28

Петербург

Севастополь 436 463 41,6 0,1 13,4 0,03 1 001,1 2,3 235 058,5 32

Хабаровс- 1 327 670 9 159,8 6,9 2 282,6 1,7 17 374,6 13,1 4 129 336,6 25

кий край

Чеченская 1 435 733 1 360,9 0,9 555,5 0,4 622,6 0,4 335 772,4 41

Республика

Чувашия 1 230 479 5 466,4 4,4 1 236,3 1 3 823,6 3,1 576 624 23

Чукотский 48 895 0,1 0,002 0 0 197,4 4 51 114,8 0

автономный

округ

Ярославская 1 265 247 4 776,6 3,8 1 210,3 1 5 242,5 4,1 1 627 689,2 25

область

Источник: составлено и рассчитано авторами по данным Банка России и Росстата

Source: Authoring, based on the Bank of Russia and Rosstat data

Таблица 2

Виды компьютерных атак, популярных в 2017 г., и их характеристика Table 2

Types of headline cyber attacks reported in 2017 and their characteristics

Вид ВПО (угроза)_Характеристика

Потенциально нежелательные приложения (PUA)

PUA — это невредоносные приложения, которые во время установки основного программного обеспечения могут предлагать пользователям дополнительные программы_

Трояны-сбрасыватели (скрипты VBS)_

Сбрасыватель — тип троянской программы, предназначенный для заражения компьютеров другими вредоносными программами [15]_

Вредоносные ссылки в социальных сетях

Сообщения со ссылками на вредоносные сайты, сопровождаемые правдоподобным текстом, заставляющим жертву атаки поверить, что ссылка безопасна и интересна

Загрузчики программ-троянов (скрипты)

Скрипт — это программный файл, содержащий сценарий, который автоматизирует некоторую задачу, облегчающую работу пользователя (в частности, злоумышленника)

Перенаправление браузера (JS)

Автоматическая переадресация на другую страницу с помощью скрипта, написанного на языке JavaScript, без участия пользователя. Может применяться как с продуктивной, так и с деструктивной целью._

Источник: авторская разработка Source: Authoring

Рисунок 1

Взаимосвязь источников и видов операционного риска Figure 1

Interconnection between sources and types of operational risk

Источник: авторская разработка Source: Authoring

Рисунок 2

Организация хищения денежных средств банка и их клиентов с использованием ВПО Figure 2

Organization of embezzlement of banks' and their customers' funds using malicious computer software

Источник: авторская разработка Source: Authoring

Список литературы

1. Зинкевич В.А., Козырева Н.А. Управление операционным риском в банке: методология, практика, рекомендации. М.: Регламент-Медиа, 2014. 264 с.

2. Daryakin A.A., Andriashina S.G. Problems of Evaluation and Management of Operational Risks in Banks. Procedia Economics and Finance, 2015, vol. 24, pp. 156 — 165.

URL: https://doi.org/10.1016/S2212-5671(15)00637-1

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

3. Лямин Л.В. Принципы организации внутреннего аудита в условиях электронного банкинга // Банковское дело. 2012. № 5. С. 51 — 54.

4. Ревенков П.В. Финансовый мониторинг в условиях интернет-платежей. М.: КноРус, ЦИПСиР, 2016. 64 с.

5. Евсеев В.Л., Иваненко В.Г., Леонов Н.Р. Требования нормативных документов в области организации высокотехнологичного производства средств защиты информации // Безопасность информационных технологий. 2014. № 1. С. 59 — 60.

6. Бердюгин А.А. Безопасность пользователей электронного банкинга // Научные записки молодых исследователей. 2017. № 2. С. 53 — 57.

7. Юденков Ю.Н., Пашков Р.В. Методологические проблемы надзора и контроля коммерческих банков // Аудит. 2017. № 4. С. 6 — 10.

8. Волков А.А. Управление рисками в коммерческом банке: практическое руководство. 3-е изд. испр. и доп. М.: Омега-Л, 2015. 156 с.

9. Дворянкин С.В., Жаркой Р.М., Минаев В.А. Безопасный город: интеллектуальные технологии // Спецтехника и связь. 2010. № 2-3. С. 23-30.

10. Barakat A., Ashby S., Fenn P. The Reputational Effects of Analysts' Stock Recommendations and Credit Ratings: Evidence from operational risk announcements in the financial industry. International Review of Financial Analysis, 2018, vol. 55, pp. 1—22.

URL: https://doi.org/10.1016/j.irfa.2017.10.011

11. Losiewicz-Dniestrzanska E. Monitoring of Compliance Risk in the Bank. Procedia Economics and Finance, 2015, vol. 26, pp. 800 — 805. URL: https://doi.org/10.1016/S2212-5671(15)00846-1

12. Фролов Д.Б., Грунюшкина С.А., Старостина А.В. Информационная геополитика и сеть интернет: монография / под ред. Д.Б. Фролова. М.: ImageLab, 2008. 402 с.

13. Марков А.С., Цирлов В.Л., Фадин А.А., Варин Д.Ф. Устройство выявления уязвимостей. Патент на полезную модель RUS 168346 23.06.2016.

14. Ревенков П.В., Бердюгин А.А. Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания // Национальные интересы: приоритеты и безопасность. 2017. Т. 13. № 9. С. 1747 — 1760. URL: https://doi.org/10.24891/ni.13.9.1747

15. Малюк А.А. Глобальная культура кибербезопасности. М.: Горячая линия — Телеком, 2017. 308 с.

16. Сычёв А.М. Кибератаки: миф или реальность // Финансы Башкортостана. 2017. № 1. С. 61—65.

17. Крылов Г.О., Курило А.П., Ларионова С.Л. Вопросы информационной безопасности национальной платежной системы России // Инновации и инвестиции. 2016. № 8. С. 140—147.

18. Шамраев А.В. Правовое регулирование международных трастов // Закон. 2014. № 12. С. 104—110.

19. Барнгольц С.Б., Грязнова А.Г. Банковский аудит и его роль в снижении банковских рисков // Деньги и кредит. 1997. № 10. С. 20 — 28.

Информация о конфликте интересов

Мы, авторы данной статьи, со всей ответственностью заявляем о частичном и полном отсутствии фактического или потенциального конфликта интересов с какой бы то ни было третьей стороной, который может возникнуть вследствие публикации данной статьи. Настоящее заявление относится к проведению научной работы, сбору и обработке данных, написанию и подготовке статьи, принятию решения о публикации рукописи.

pISSN 2071-4688 eISSN 2311-8709

Banking

CYBER ATTACKS AS A SOURCE OF OPERATIONAL RISK IN ELECTRONIC BANKING Pavel V. REVENKOV3', Aleksandr A. BERDYUGINb

a Financial University under Government of Russian Federation, Moscow, Russian Federation

pavel.revenkov@mail.ru

orcid.org/0000-0002-0354-0665

b Financial University under Government of Russian Federation, Moscow, Russian Federation

a40546b@gmail.com

orcid.org/0000-0003-2301-1776

• Corresponding author

Article history:

Received 8 February 2018 Received in revised form 22 February 2018 Accepted 12 March 2018 Available online 27 March 2018

JEL classification: G21, G32, L86

Keywords: electronic banking, e-banking, Basel Committee, cyber attack, operational risk

Abstract

Importance Due to the use of computer technologies by credit institutions their operational risk is growing. The main task of operational risk management is to streamline banking business processes. The article examines relationships of sources, types and consequences of operational risk in e-banking.

Objectives The study aims to analyze operational risk associated with increased access to financial services and develop methods to improve operational risk management in e-banking systems.

Methods We employ general scientific methods of cognition, like analysis, synthesis, induction, deduction, and analogy, certain techniques of systems analysis of scientific literature on theoretical and applied research, and a graph method to interpret investigated phenomena.

Results Based on reviewed laws and regulations, statistical reports, works of domestic and foreign specialists in banking risk management, we formulate methods for improving the operational risk management in electronic banking systems and recommendations on how to reduce this risk.

Conclusions and Relevance The findings may be useful for scientists studying operational risk inherent in remote banking.

© Publishing house FINANCE and CREDIT, 2018

Please cite this article as: Revenkov P.V., Berdyugin A.A. Cyber Attacks as a Source of Operational Risk in Electronic Banking. Finance and Credit, 2018, vol. 24, iss. 3, pp. 629—640. https://doi.org/10.24891/fc.24.3.629

Acknowledgments

The article was supported by budget-funded research within State job to the Financial University under the Government of the Russian Federation for 2017.

References

1. Zinkevich V.A., Kozyreva N.A. Upravlenie operatsionnym riskom v banke: metodologiya, praktika, rekomendatsii [Operational risk management in the bank: Methodology, practice, recommendations]. Moscow, Reglament-Media Publ., 2014, 264 p.

2. Daryakin A.A., Andriashina S.G. Problems of Evaluation and Management of Operational Risks in Banks. Procedia Economics and Finance, 2015, vol. 24, pp. 156 — 165.

URL: https://doi.org/10.1016/S2212-5671(15)00637-1

3. Lyamin L.V. [Principles of internal audit organization in electronic banking]. Bankovskoe delo = Banking, 2012, no. 5, pp. 51 — 54. (In Russ.)

4. Revenkov P.V. Finansovyi monitoring v usloviyakh internet-platezhei [Financial monitoring in the internet-based payment service area]. Moscow, KNORUS, TsIPSiR Publ., 2016, 64 p.

5. Evseev V.L., Ivanenko V.G., Leonov N.R. [Requirements of regulations on organization of hightech production of information security equipment]. Bezopasnost' informatsionnykh tekhnologii = IT Security, 2014, no. 1, pp. 59-60. (In Russ.)

6. Berdyugin A.A. [Security of users of the electronic banking]. Nauchnye zapiski molodykh issledovatelei, 2017, no. 2, pp. 53 — 57. (In Russ.)

7. Yudenkov Yu.N., Pashkov R.V. [Methodological problems of surveillance and control of commercial banks]. Audit = Audit, 2017, no. 4, pp. 6 — 10. (In Russ.)

8. Volkov A.A. Upravlenie riskami v kommercheskom banke: prakticheskoe rukovodstvo [Risk management in commercial bank: A practical guide]. Moscow, Omega-L Publ., 2015, 156 p.

9. Dvoryankin S.V., Zharkoi R.M., Minaev V.A. [Safe City: Intelligent Technologies]. Spetstekhnika i svyaz' = Special Equipment and Communications, 2010, no. 2-3, pp. 23 — 30. (In Russ.)

10. Barakat A., Ashby S., Fenn P. The reputational effects of analysts' stock recommendations and credit ratings: Evidence from operational risk announcements in the financial industry. International Review of Financial Analysis, 2018, vol. 55, pp. 1—22.

URL: https://doi.org/10.10Wj.irfa.2017.10.011

11. Losiewicz-Dniestrzanska E. Monitoring of Compliance Risk in the Bank. Procedia Economics and Finance, 2015, vol. 26, pp. 800 — 805. URL: https://doi.org/10.1016/S2212-5671(15)00846-1

12. Frolov D.B., Grunyushkina S.A., Starostina A.V. Informatsionnaya geopolitika i set' internet: monografiya [Information geopolitics and the Internet: a monograph]. Moscow, ImageLab Publ., 2008, 402 p.

13. Markov A.S., Tsirlov V.L., Fadin A.A., Varin D.F. Ustroistvo vyyavleniya uyazvimostei [A device to identify vulnerability]. Patent RF, no. 168346, 2016.

14. Revenkov P.V., Berdyugin A.A. [Social Engineering as a Source of Risks in Online Banking Services]. Natsionalnye interesy: prioritety i bezopasnost' = National Interests: Priorities and Security, 2017, vol. 13, iss. 9, pp. 1747 — 1760. URL: https://doi.org/10.24891/ni.13.9.1747 (In Russ.)

15.Malyuk A.A. Globalnaya kul'tura kiberbezopasnosti [Global culture of cybersecurity]. Moscow, Goryachaya liniya — Telekom Publ., 2017, 308 p.

16. Sychev A.M. [Cyberattacks: Myth or Reality]. Finansy Bashkortostana = Finance of Bashkortostan, 2017, no. 1, pp. 61—65. (In Russ.)

17. Krylov G.O., Kurilo A.P., Larionova S.L. [Information security of the national payment system of Russia]. Innovatsii i investitsii = Innovations and Investments, 2016, no. 8, pp. 140—147. (In Russ.)

18. Shamraev A.V. [Legal regulation of international trusts]. Zakon = Law, 2014, no. 12, pp. 104—110. (In Russ.)

19. Barngol'ts S.B., Gryaznova A.G. [Bank audit and its role in reducing bank risks]. Den'gi i kredit = Money and Credit, 1997, no. 10, pp. 20 — 28. (In Russ.)

Conflict-of-interest notification

We, the authors of this article, bindingly and explicitly declare of the partial and total lack of actual or

potential conflict of interest with any other third party whatsoever, which may arise as a result of the

publication of this article. This statement relates to the study, data collection and interpretation,

writing and preparation of the article, and the decision to submit the manuscript for publication.

i Надоели баннеры? Вы всегда можете отключить рекламу.