Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Не исключено, что, учитывая тенденцию к увеличению количества вариантов хищения персональной информации кредитным организациям целесообразно рассмотреть возможности усложнения процедур идентификации клиента при начале им сеанса ДБО и перед выполнением банковской операции, т. е. перехода к двухэтапной идентификации с разделением каналов информационного взаимодействия, несмотря на то что этот подход может повысить накладные расходы при ДБО. Для усложнения идентификации человека можно использовать то, что он:

— имеет — пропуск, паспорт, кредитную карту и т. п.;

— знает — пароль, кодовую фразу, последовательность действий;

— обладает — отпечатками пальцев, радужной оболочкой глаза и т. п. (биометрия).

За рубежом биометрические системы используются уже довольно широко не только на «режимных» объектах, но и в торговле и в банковских учреждениях и т. д. Естественно, применение таких систем может существенно сказаться на стоимости услуг ДБО, что допустимо лишь при одновременном адекватном повышении его эффективности (рентабельности), что в большинстве случаев для российского банковского сектора пока еще затруднительно. Однако организовать параллельные каналы информационного взаимодействия можно и за счет дублирования однотипных по принципу работы телекоммуникационных систем, например, если при начале сеанса от клиента требуется ввод некоего кода (PIN, ID, Log-In и пр.) с клавиатуры (тастатуры), то перед завершающим этапом операции от БАС или СЭБ кредитной организации может передаваться сеансовый код, допустим, на мобильный телефон. Схемы такого рода (системы опознавания), широко известные в оборонной тематике, повышают защищенность интересов клиента и ДБО в целом.

Помимо изложенного необходимо отметить, что история развития ДБО в российском банковском секторе (особенно в последние три года) богата претензиями клиентов к кредитным организациям, специалистам и руководителям которых приходится при разборе конфликтных ситуаций объяснять, к примеру, что:

— технические проблемы с инсталляцией дистрибутива и управлением СЭБ необходимо решать с помощью службы технической поддержки кредитной организации или ее сервис-центром, а не со случайными специалистами;

— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;

— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;

— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;

— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;

— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;

— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.

Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее web-сайтах, в рекламных буклетах и т. п.

Непосредственных требований к содержанию плана действий персонала кредитных организаций в чрезвычайных обстоятельствах и использованию этого плана до настоящего времени не выработано и в отечественной законодательной базе, регламентирующей банковскую деятельность, не содержится. Косвенно о них (в форме рекомендаций, через требования к ВК) можно судить по тексту Положения 242-П, в котором сказано:

«3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.

Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения приведены в приложении 5 к настоящему Положению».

В указанном приложении описывается, по сути, подход к определению содержания и организации процесса поддержания доступности информационно-процессинговых ресурсов кредитной организации в условиях возникновения чрезвычайных обстоятельств, который состоит из процедур разработки, согласования, утверждения, пересмотра и проверки (тестирования) упомянутого плана. Анализ положений этого документа не относится к тематике настоящей книги, тем более что многие из них являются универсальными в плане применения к любым банковским автоматизированным системам, поэтому ниже будут сделаны только несколько замечаний относительно специфики использования содержащихся в нем рекомендаций в условиях внедрения и последующего развития кредитной организацией ДБО.

За рубежом рассматриваемые планы действий обычно подразделяются на две части: обеспечение непрерывности бизнеса и восстановления после чрезвычайной ситуации [179] Business Continuity Plan (ВСР) и Business Recovery Plan (BRP) соответственно. , которые интерпретируются как совокупности мер по предотвращению негативного воздействия потенциально угрожающих надежности банковской деятельности обстоятельств и парированию их последствий, если требуемую надежность обеспечить все же не удалось. Для определения показателей надежности устанавливаются значения, характеризующие допустимые рамки для интервалов прекращения операций. Это, как правило, высокие вероятностные значения порядка 0,95—0,97. Исходя из этих цифр и положений известной теории надежности определяются требования к схемам резервирования оборудования, включая каналы (линии связи), способам, средствам и времени восстановления работоспособности, ее показателям и т. п. Тестирование планов действий кредитных организаций в чрезвычайных обстоятельствах является типичным процессом во многих странах, причем оно может иметь разные масштабы: одной организации, группы филиалов организации (например, объединяемых по географическим признакам для имитации воздействия стихийных бедствий или техногенных катастроф), групп кредитных организаций или даже банковской системы в целом.