Андрей Шамраев - Предоплаченные инструменты розничных платежей – от дорожного чека до электронных денег

♦ несанкционированное изменение данных (суммы, валюты) при осуществлении платежа ЭД (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);

♦ отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента ЭД адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать сделки, санкционированные ими ранее, чем нанесут эмитенту финансовые убытки;

♦ совершение операций с ЭД под именем другого держателя. В данном случае, при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;

♦ использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя ЭД), может привести к «ложной» эмиссии ЭД, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск «подделки» ЭД возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию «подделок». Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.

Существуют различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви») или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.

Следует отметить, что одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника – оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например SATAN (Security Administrator Tool for Analyzing Networks) и COPS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее «вскрыть».

Другой вид операционного риска возникает в случае, если организация предполагает осуществлять эмиссию ЭД и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы ЭД, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы ЭД с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов – держателей ЭД определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством ЭД. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Internet (система E-cash, система PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Internet, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Internet) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи «форс-мажора», уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую гибкость в части приспособления предлагаемых услуг к клиентам.

Быстрый темп изменений, характерный для указанных информационных технологий, вызывает необходимость их модернизации, что, в свою очередь, повышает требования эмитентов ЭД к адаптационным способностям своего персонала и увеличивает опасность возникновения трудностей при переходе к более сложным интегрированным электронным решениям. Довольно часто внедрение более производительной технологии оборачивается для сотрудников эмитентов ЭД и их потребителей если не хаосом, то значительными операционным проблемами. К указанному типу операционного риска можно отнести и ошибки, возникающие во время технического обслуживания системы или при использовании специальных программ, применяемых для исправления ранее допущенных ошибок. Причиной их зачастую являются некорректные операции персонала, ошибки же вследствие неполадок в компонентах оборудования относительно редки. Еще одним источником возникновения ошибок являются исправления, вносимые в стандартные пакеты программного обеспечения (например, в «электронный кошелек») с целью удовлетворения потребностей конкретного пользователя.

Риск, связанный с отказом в функционировании как самой системы ЭД, так и устройств держателя ЭД, вследствие сбоев в работе программного и аппаратного компонентов средств вычислительной техники (компьютерные системы) эмитента ЭД и/или устройства держателя ЭД, также относится к операционным рискам. Современные компьютерные системы представляют собой сложный комплекс разнообразного оборудования и программного обеспечения, неполадки в работе любого из компонентов которого могут привести к сбою в работе всей системы. Зачастую компоненты системы сконцентрированы в одном месте, что увеличивает ее уязвимость в случае непредвиденных происшествий. К существенным убыткам может привести отсутствие плана мероприятий в случае сбоев в работе компьютерной системы или низкое качество таких планов. Отсутствие такого плана ведет к задержкам при принятии управленческих решений и, соответственно, как к прямым убыткам (учитывается каждый день простоя), так и косвенным – угроза потери деловой репутации, который более подробно будет рассмотрен далее.