Array Коллектив авторов - Мошенничество в платежной сфере. Бизнес-энциклопедия

Необходимо отметить, что в условиях ДБО проблематика точной локализации сечений указанного рода реально «выходит на передний план», поскольку в таких местах возможно прежде всего несанкционированное вмешательство в информационные потоки, в особенности при нелегитимном использовании прав и полномочий доступа к ним и к аппаратно-программному обеспечению (АПО) банков и провайдеров, через которое они проходят. Как показывают исследования, наиболее серьезные угрозы при этом могут возникать со стороны инсайдеров кредитных организаций. Информационные сечения, через которые возможно какое-либо вмешательство в информационные потоки, генерируемые, поддерживаемые и обрабатываемые банками, следует, по возможности, исключать из ИКБД, а если это оказывается невозможным, то их необходимо наиболее строго контролировать в соответствии с так называемым принципом четырех глаз [42] Речь в данном случае идет о двойном независимом параллельном контроле. . Предотвращение возникновения подобных сечений в любом ИКБД или, в случае их неизбежного появления, обеспечение возможностей их полноценного контроля руководству банков целесообразно предусматривать, начиная еще с этапа принятия решения о внедрении той или иной ТЭБ и проектирования/разработки реализующей ее СЭБ. Очевидно, что для этого требуется наличие в банке соответствующих распорядительных документов и осуществление «проактивного» анализа сопутствующих внедрению ТЭБ изменений в структуре банковских рисков.

При реализации любого из упомянутых выше факторов или какой-либо одной связанной с ними угрозы денежные средства, хранящиеся в банке в форме записей об их суммах в его базах данных, могут быть нелегитимно и оперативно переведены на сторонние счета в электронной форме, что обычно и происходит в процессе совершении мошенничеств. При этом современные возможности использования сетевых технологий, а также зонального и даже глобального сетевого информационного взаимодействия позволяют осуществлять подобные трансферы на счета, расположенные практически в любой юрисдикции (городе, регионе, стране). Поэтому, в частности, руководству банков следует помнить о необходимости четкого и полного определения состава так называемой сеансовой информации (СИ), о чем будет сказано в последнем подразделе, накапливаемой и сохраняемой в течение каждого отдельного сеанса информационного взаимодействия удаленного клиента с банком, и обеспечения гарантий ее сохранения в течение установленных сроков (которые следует указывать также и в правоустанавливающих документах на пользование ДБО). При этом необходимо гарантировать и возможность оперативного доступа к ней как минимум при инициации претензионной работы. В основу такого определения целесообразно закладывать механизмы моделирования угроз надежности банковской деятельности в части противодействия возможной ППД, сценарии их возможного развития, состав угрожаемых активов банка, возможные последствия реализации таких сценариев и тому подобные соображения, относящиеся к процессу УБР [43] К сожалению, нельзя сказать, что описанный подход до настоящего времени является общепринятым в российском банковском секторе. .

Эта информация может впоследствии составить основу для принятия решений при разрешении конфликтных (спорных) ситуаций, возникающих в процессе осуществления ДБО между банком и клиентами, или при проведении расследований случаев ППД. Таким образом, речь идет, по сути, о постоянном формировании и поддержании доказательной базыДБО и обеспечении ее юридической силы– в этом заключаются две главные задачи, которые подлежат решению при организации и реализации с помощью информационных технологий (ИТ) в составе ФМ как внутрибанковского процесса и определения видов и содержания составляющих его процедур. При этом, как отмечалось выше, ФМ целесообразно организовывать как внутрибанковский процесс с заведомо более широким содержанием, нежели обычно принято определять, которое заведомо не ограничивалось бы требованиями традиционного противодействия ОД и ФТ (ПОД/ФТ), но охватывало бы всю возможную ППД, с которой в перспективе могут столкнуться банки и их клиенты ДБО. Тем самым можно будет устранить и неоднородности в распределении соответствующих функциональных ролей между такими структурными подразделениями банков, как службы ИТ, внутреннего контроля (ВК), ФМ, безопасности (информационной или экономической), подразделениями, ответственными за работу с клиентами и т. д.

Со времени первой публикации по рассматриваемой тематике банковских рисков, связанных с ДБО [44] Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54. , прошло уже немало времени, и количество публикаций по данной тематике постоянно увеличивается (что свидетельствует одновременно о «разрастании» рассматриваемой проблемной области). Однако угроз надежности банковской деятельности не только не стало меньше, но они стали, так сказать, еще более изощренными, а их реализация даже только в плане ППД в киберпространстве ИКБД по-прежнему обусловливается прежде всего такими факторами, как:

– новизна технологических и технических достижений в области ДБО (которые могут оказаться связаны с новыми компонентами таких банковских рисков, как операционный, правовой, репутационный [45] Этот риск в отечественной литературе известен также как риск потери деловой репутации, но в данном контексте используется международная терминология. , ликвидности (неплатежеспособности), стратегический, а в некоторых случаях и страновой);

– сложность анализа связанных с разновидностями ДБО потенциальных угроз, преобразующихся в компоненты банковских рисков (в том числе комплексного анализа, охватывающего все «виртуальные ворота», которые неизбежно «открывает» банк, переходящий к ДБО);

– недостаточная компьютерная (как, впрочем, и финансовая, и правовая) грамотность подавляющего количества клиентов, которые охотно переходят от традиционного банковского обслуживания на ТЭБ и пользуются соответствующими СЭБ, которые реализуют такие технологии.

Эти и другие, менее очевидные, причины для существенного расширения возможностей осуществления в банках противодействия возможной ППД в условиях применения ТЭБ будут более детально рассмотрены ниже.

Можно отметить также, что на фоне все большего усложнения компьютерных технологий, ориентированных на внеофисное обслуживание клиентов банков, и, соответственно, необходимого для этого банковского АПО, то же самое происходит и с криминальной деятельностью, поскольку преступные сообщества охотно и быстро «осваивают» новые электронные банковские технологии и используют их для создания новых вариантов ППД в киберпространстве. Одним из наиболее типичных примеров в последние годы стало использование в противоправных целях вариантов мобильного банкинга, которые приходят на смену традиционному «телефонному» банковскому обслуживанию. Вследствие этого вместе с новыми достижениями в направлениях применения этих технологий развивается и существенно усложняется сопутствующая рассматриваемой проблематике область расследования компьютерных преступлений (о чем еще будет говориться в подразделе 3.3). В современном мире эти факты целесообразно учитывать руководству высокотехнологичных банков в рамках организации противодействия возможной ППД, а теперь, в первую очередь, при внедрении и развитии ДБО.