Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Вследствие этого к 1964 г. сформировались и были практически воплощены (в виде армейской сети связи ARPANET) две базовые идеи «Открытой информационной системы» и «Универсального протокола взаимодействия». Первая идея предполагала обеспечение возможностей для прохождения потоков данных в условиях изменения конфигурации вычислительной сети: даже если какие-то сегменты сетевой структуры выходили из строя или, наоборот, подсоединялись к некоей базовой сетевой структуре, то данные все равно попадали бы «из пункта А в пункт Б» за счет использования маршрутизации без какого-либо ущерба их целостности. Вторая идея предполагала возможность передачи потоков данных между любыми вычислительными сетями за счет использования универсального набора правил передачи из одной сети в другую через шлюзовые элементы. Соответственно перестало иметь значение, на каких средствах и как именно реализована архитектура вычислительной сети, поскольку потоки данных этой специфики «не замечали» и взаимодействие между сетями (Inter-Net) обеспечивалось.

Таким образом достигались необходимые связность и доступность в киберпространстве (которое реализацией описанных идей и было сформировано), что привело к бурному развитию интернет-технологий, вследствие чего до настоящего времени зависимость вычислительных сетей от интернет-технологий растет. Однако довольно быстро стало очевидным, что в условиях «связности и доступности» практически любой современный бизнес оказывается под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру. К сожалению, это явилось прямым следствием противоречия между техническим прогрессом и пресловутым человеческим фактором, о чем удачно было сказано в одной из статей, напечатанных в североамериканском журнале «Atlantis Rising» [135] Цит. по: Запретная история / под ред. Д. Кэннона. М.: ACT, 2009. : «Если вы работаете в системе, основанной на честности, целостности, открытости и ясности, а в ней имеются люди, которые действуют вразрез с этими принципами, то их нельзя уличить. Все они вне подозрений». Имеется в виду, что в банковском бизнесе далеко не каждый из участников сетевого взаимодействия может иметь доступ и не ко всем информационным ресурсам (активам). Поэтому при внедрении такой СЭБ, как система интернет-банкинга, необходимо осознавать неизбежно присущие этой ТЭБ факторы риска, заложенные в ее идеологии, почему вопросы ОИБ и защиты информационных активов и стали весьма актуальными на фоне всеобщей эйфории применения в банковском деле интернет-технологий (способов межсетевого информационного взаимодействия), о чем говорилось в главе 1.

На самом деле ничего особенного в применении специальных защитных мер в описанных условиях нет; было бы странно, если бы удалось обойтись без них, и не только в банковском деле, но и в военном. Важно в любом варианте реализации ТЭБ кредитными организациями анализировать их особенности , прямо связанные с организационно-техническими решениями. В качестве примера можно привести варианты реализации интернет-банкинга.

Информационный— в этом варианте кредитная организация использует свой или сторонний web-сайт просто для того, чтобы «привлечь к себе внимание», разместив на нем информацию, включающую ее реквизиты, описания услуг, указание тарифов, рекламу и т. п. Принято считать (конечно, необоснованно), что такой вариант выхода в Сеть является безрисковым, поскольку в большинстве случаев физические связи между web-сайтом и вычислительной сетью кредитной организации отсутствуют. В тоже время, очевидно, что любой web-сайт представляет собой объект для хакерской атаки, вследствие которой он может быть блокирован, его функционирование может оказаться нарушено, его контент изменен и т. п. В книге /. Crume Inside Internet Security [136] Ctvme. J. Inside Internet Security. Addison Wesley, Pearson Education Ltd., 2000. приведен пример результативной атаки хакеров на web-сайт Центрального разведывательного управления США, которые на его стартовой странице разместили надпись «Центральное управление идиотов». В случае российских кредитных организаций проявляется эффект так называемой «недобросовестной конкуренции», которая приводит к размещению на атакуемых web-сайтах антирекламы, порочащих гиперссылок, баннеров порносайтов или казино и т. п. Поэтому даже в таком простейшем «информационном варианте» возможно возникновение компонентов репутационного и правового рисков, о чем руководство кредитной организации должно бы задуматься и организовать для сопровождения и контроля функционирования своих web-сайтов специальный внутрибанковский процесс (затрагивающий несколько подразделений и требующий документарного обеспечения).

Коммутационный— в этом варианте кредитная организация помимо предоставления информации о себе обеспечивает обмен информацией с клиентами, которые могут направлять ей сведения о себе, например об изменении адресных данных или реквизитов, передавать запросы, получать файлы форм или бланков и т. п. В таких случаях могут иметься физические связи между ее web-сайтом и ЛВС, вследствие чего руководству этой организации целесообразно обратить дополнительное внимание на противодействие реализации НСД, усиление антивирусной защиты и т. п., что требует организации дополнительных внутрибанковских процедур.

Операционный(транзакционный) — в этом варианте кредитная организация реализует ДБО с возможностью управления клиентом своими счетами (даже в масштабе времени, близком к реальному, из-за чего и возникло упоминавшееся ранее понятие «сквозной обработки»), Очевидно, что при таком варианте руководство кредитной организации должно уделять наиболее серьезное внимание вопросам ОИБ, поскольку могут возникать сетевые связи между «фронт-офисом» (перемещающимся в клиентскую зону концентрации источников риска) и ее «бэк-офисом», а значит, и последствия реализации компонентов банковских рисков могут оказаться также самыми серьезными.

В двух последних вариантах интернет-банкинга возможна реализация компонентов всех пяти типичных банковских рисков, о которых шла речь в главе 2, естественно, в тех случаях, когда содержанию процесса УБР, составу его процедур и связанных с ним внутрибанковских процессов руководством кредитной организации должного внимания не уделяется.

Обычно предполагается — и в этом выражается позиция как БКБН, так и североамериканских органов банковского регулирования и надзора, — что инициатива в образовании, реализации и контроле процедур такого рода (в свою очередь складывающихся во внутрибанковские бизнес-процессы) идет от органов управления кредитной организации. В то же время само проявление такой инициативы непосредственно связано со специфическими знаниями и квалификационными требованиями: их наличие как раз и выражается в осознании описанной проблематики. В части ДБО это относится как минимум к вопросам архитектуры и «физического» построения распределенных компьютерных систем и вычислительных сетей, контроля их функционирования, ОИБ, ВКи ФМ в кредитной организации. Тем самым предполагается наличие в составе органов управления кредитной организации, как подчеркивалось, специалистов с соответствующей квалификацией или, как отмечает БКБН, наличие в ней комитета, сформированного из специалистов, способных решать задачи по направлению ДБО.