Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных , например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.

Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты , в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов , но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.

Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании» [175] Название этого документа ориентировочное, предложено просто потому, что в большинстве кредитных организаций, предлагающих подобный вариант банковского обслуживания, документ такого рода отсутствует. , содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.

Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких-либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.

В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).