Новые формы банковского обслуживания юридических лиц (интернет-банкинг) на примере ОАО «Альфа-Банк»

 Общее собрание акционеров является высшим руководящим органом Альфа-Банка. Оно принимает решения по основополагающим вопросам, относящимся к деятельности Банка, таким как внесение поправок к Уставу Банка, выпуск новых акций, обновление состава Совета директоров, утверждение внешних аудиторов и распределение прибыли.

Совет директоров состоит из одиннадцати членов. Он исполняет надзорные функции и определяет стратегию Банка. Аудиторский комитет Банка оказывает содействие Совету директоров в осуществлении надзора за работой внутреннего аудита, подготовке финансовой отчетности, обеспечении высокого качества корпоративного управления и эффективности корпоративного контроля. Приоритетными задачами Совета директоров является определение стратегии развития Банка и направлений его деятельности, обеспечение реализации и защиты прав акционеров, рассмотрение и утверждение бизнес-планов, а также осуществление контроля над деятельностью Правления Банка. 

Правление состоит из семи членов. Правление отвечает за оперативный контроль над деятельностью Банка. Правление Альфа-Банка является коллегиальным исполнительным органом Банка, осуществляющим руководство текущей деятельностью Банка. Правление Банка обеспечивает соблюдение основных принципов корпоративного управления и проведение политики, утвержденной Общим собранием акционеров и Советом директоров в соответствии с правилами внутреннего распорядка. В целях обеспечения эффективности различных направлений оперативной деятельности в Альфа-Банке создан ряд комитетов, подчиненных Правлению:

1. Тендерный комитет.

Главной целью деятельности Тендерного комитета является обеспечение наиболее выгодных условий приобретения товаров, работ и услуг для обеспечения основной деятельности Банка на принципах состязательности, открытости и коллегиальности.

2. Комитет по управлению активами и пассивами.

Целями и задачами Комитета по управлению активами и пассивами являются:

• формирование оптимальной структуры баланса Банка с целью получения максимальной доходности при ограничении уровня возможного риска; 
• контроль за достаточностью капитала и диверсификацией рисков;
• проведение единой процентной политики; 
• определение политики Банка в части управления ликвидностью; 
• контроль за состоянием текущей ликвидности и ресурсов Банка; 
• формирование политики Банка на рынках капитала; 
• контроль за динамикой размера и доходности торговых позиций (покупка/продажа валюты, государственные и корпоративные ценные бумаги, акции, деривативы на эти инструменты), а также степенью их диверсификации; 
• контроль за динамикой основных экономических отношений (ROE, ROA и т.п.), заданных в политике Банка.

3. Инвестиционный комитет — рабочий орган Банка, состоящий из членов Правления и представителей ведущих подразделений Банка, уполномоченный принимать окончательное решение об участии Банка в инвестиционных проектах и реализации стратегии выхода из проектов

4. Кредитный комитет определяет возможные риски, принимаемые на себя Банком по различным видам операций, не входящих в полномочия Комитета по Управлению Активами и Пассивами, и является главным органом Банка, принимающим окончательные решения по привлечению и размещению средств в рамках своих полномочий, определяемых Правлением Банка.
5. Планово-Бюджетный комитет.

Главной задачей Планово-бюджетного комитета Банка является руководство процессом бюджетирования.

6. Управляющий комитет по IT-задачам (IT — информационные технологии) - способствуют поддержанию эффективности различных направлений оперативной деятельности Банка.

Банку важно иметь в определенное время нужное количество персонала соответствующей квалификации, необходимое для достижения хороших финансовых результатов деятельности.

 

2.2 Интернет-банкинг для юридических лиц в ОАО «Альфа-Банк»

 

В основу работы Системы Электронных Платежей «Клиент-Банк» положен принцип «Запрос-Ответ». То есть, клиент формирует запрос, шифрует, подписывает его электронной подписью и отправляет в банк. Пришедший в банк запрос регистрируется, проверяются права клиента на обработку данного запроса, формируется ответ, шифруется и отправляется клиенту.

Порядок работы:

• на компьютере клиента устанавливается программа;
• в банке для каждого клиента создается электронный почтовый ящик;
• связь компьютера клиента с программно-аппаратным комплексом банка происходит при помощи модема или Интернета (по выбору);
• в сеансе связи компьютер клиента передает в банк электронные сообщения (запросы), которые попадают в электронный почтовый ящик в банке;
• на запросы клиента банк в электронный почтовый ящик помещает ответ;
• при следующем сеансе связи клиент забирает ответ банка.

В настоящее время данная система является залогом успешной работы с юридическими лицами и проводит через себя в электронном виде более 90% всех платежных инструкций банка, более 60% из которых обрабатываются без участия человека. Динамика роста клиентской базы и проводимых через систему платежей отображена на рисунке 3.

Рисунок 3, Динамика взаимодействия ОАО «Альфа-Банк» и клиентов – юридических лиц в системе Клиент-банк.

Наряду с системой электронных платежей «Клиент-Банк» Альфа-Банк предлагает для юридических лиц и индивидуальных предпринимателей систему «Интернет-Банк».

 

 

 

2.3 Безопасность дистанционного банковского обслуживания для юридических лиц

 

С высокой долей вероятности можно предположить, что как минимум половина из зарегистрированных на конец 2013 г. 4,6 млн. российских юр. лиц используют системы дистанционного банковского обслуживания регулярно – бумажных платежных поручений больше нет. По мнению руководителей крупных банков, средства ДБО стали неотъемлемой частью банковского обслуживания еще два-три года назад, а сейчас переживают свой золотой век.  Между тем одна из серьезнейших проблем подобного сервиса – высокий риск хищения средств клиентов с помощью компьютерных технологий. И в подобной ситуации финансово-кредитные учреждения проводят слишком слабую разъяснительную работу в клиентской среде, нацеленную на усиление мер безопасности.

Злоумышленники будущего – это в меньшей степени программисты и специалисты по сетевым атакам. В основном, они – психологи и иллюзионисты, умеющие тонко копировать электронную реальность и подделывать схемы взаимоотношения между людьми, с целью получения доступа к конфиденциальной информации.

Основные технологии обеспечения безопасности в современных платежных системах:

• Шифрование данных при помощи SSL-протокола;

• Использование запутанной и перекрестной системы логинов и паролей (постоянная их смена);

• Использование виртуальной клавиатуры в системах интернет-банкинга;

• Использование электронной цифровой подписи, удостоверяющей личность владельца счета. Но эта технология противоречит методологии анонимности в ряде платежных систем;

• Использование системы временных паролей для подтверждения финансовых операций.

Нет сомнения в том, что наиболее интересный объект для атаки со стороны электронных кибервзломщиков – юридические лица. К тому же «работа» с юридическими лицами хороша тем, что бухгалтерия по рабочим дням обязательно активна. Следовательно, есть шанс для взлома.

По числу подобных атак положение еще нельзя назвать эпидемией, но десятки инцидентов в месяц в правоохранительных органах уже фиксируются. По объему нанесенного ущерба они могут быть весьма значительными – в реальной практике большинство хищений по системам ДБО находится в районе 250 тыс. руб. Впрочем, случаи более крупной кражи  средств тоже происходят.

В подавляющем большинстве случаев хищение денег организуется с несанкционированным использованием даже неизвлекаемых секретных ключей при онлайновых атаках (когда USB-токен установлен в рабочем компьютере). Наибольшее число проблем возникает, если бухгалтерский компьютер не только постоянно оснащен однажды установленным USB-токеном, но и системный блок не выключается на ночь, а только переводится в «спящий» режим, оставаясь подключенным к каналу доступа в Интернет.

Первые массовые инциденты атак в режиме онлайн на пользователей ДБО стали проявляться с начала 2010 г. Проникающие на компьютер вирусы выделяют период перерыва в работе системы ДБО (к примеру, обед у персонала, работа с внутренней документацией) и, после адаптации к установленному на компьютере жертвы клиентскому ПО и считывания основных параметров проведения подобных операций, начинают создавать свои платежные поручения для отправки в банк.

Обычно это вирусы-трояны с функцией удаленного доступа к консоли ДБО. На компьютер пользователя сначала проникает загрузчик, который после «укоренения» на компьютере-жертве и детектирования компании-разработчика клиентского модуля ДБО загружает на машину дополнения для работы именно с этой версией системы. Поскольку они не выходят в «открытую» сеть Интернет, антивирусы часто их не отслеживают. Сами трояны такого типа – поделки конструкторов, которыми кишит Интернет. При этом конструкторы сделаны на высоком технологическом уровне. А вот качество вредоносного ПО, которое они производят, зависит от квалификации пользователей и варьируется от уровня студенческих поделок до качественных экземпляров, пригодных для целевых атак.

Еще одно из «изобретений» злоумышленников – перехват команд на запрос электронной цифровой подписи (ЭЦП) с USB-портов компьютера в сочетании с туннелированием трафика с хоста злоумышленника через компьютер клиента сразу до банковского сервера (чтобы IP-адрес отправителя был клиентский). Таким образом, во время сеанса работы с ДБО клиент фактически использует свой компьютер одновременно с мошенником, который в удаленном режиме свободно работает с его системой ДБО. Соответственно, оператор бухгалтерского компьютера может просто не уследить за формированием «левых» платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих.

Правда, для защиты клиентов от новых вирусных угроз банк тоже может улучшить свою систему безопасности. Например, можно настроить индивидуально по каждому юридическому лицу или ИЧП пороговую сумму для платежки, при превышении которой к стандартной ЭЦП потребуется дополнительное подтверждение по авторизованному каналу связи с использованием OTP-токенов или одноразовых паролей через SMS или, как вариант, голосом по определенному номеру мобильного телефона (причем подобный разговор должен записываться). 

Несмотря на многочисленные системы пассивной и активной безопасности, которые предлагаются пользователям ДБО в банках, для большинства из них существует как минимум несколько вариантов для обхода защитных механизмов. В основном атаке подвергается сам компьютер, который работает под управлением ОС, где банально определяются многочисленные недочёты разработчиков. Ведь практически ни в одном банке клиенту не предлагается полноценное автоматизированное рабочее место (АРМ) кассира с «усеченным» функционалом ОС, стандартным и эффективным антивирусом, уже смонтированное на компьютер со вполне достаточной для проведения платежей, конфигурацией. Нет такого предложения в принципе даже для крупных заказчиков. В большинстве случаев речь идет только о комплекте ПО, который надо устанавливать «поверх» операционной системы, т.е. стандартный набор угроз уже учитывается как неизбежное зло.

Хорошим вариант для безопасности банковских платежей является использование отдельного мобильного ПК с легальной операционной системой и установленными обновлениями, который будет работать в ограниченном режиме – только для банковских платежей. Все дополнительное ПО, кроме Firewall и антивируса оттуда удалено, а физический доступ в нему ограничен: он извлекается из сейфа только на время работы. Идеальной ОС для такого решения будет все-таки Linux (в этой среде гораздо меньше вирусов) или Windows 7 (здесь больше встроенных систем безопасности). Кроме того, корпоративный Firewall (помимо личного) должен разрешать этому компьютеру выход исключительно на банковские точки доступа в заранее прописанные и разрешенные системы электронного банкинга. Причем, только в рабочее время – в любые выходные, вечером и ночью доступ в Сеть именно для этой машины полностью закрыт.

Не стоит и пренебрегать качественными системами безопасности – к примеру, стоит использовать две ЭЦП под более или менее значимой по сумме платежкой. В такой схеме первая ЭЦП принадлежит директору (или специальному финансовому контролеру), вторая – главному бухгалтеру. Желательно, чтобы эти люди еще и не сидели рядом в одном помещении. Причем секретные ключи этих ЭЦП должны быть жестко привязаны к разным смарт-картам или USB-токенам, которые не могут работать на одном компьютере – только на строго ограниченном числе рабочих станций (в идеале каждый на своем ПК). Вообще, качественные системы ДБО позволяют поддерживать несколько комбинаций применения двух и более ЭЦП: от оператора, который готовит документы и просто подтверждает валидность их координат, до директора и главного бухгалтера со своими замами, которые могут подписывать документы с определенными порогами перечислений.

Если стандартных мер безопасности не хватает, а ставки слишком высоки, имеет смысл использовать более продвинутые и, разумеется, дорогостоящие системы защиты. Казалось бы, все проблемы можно решить установкой механической или сенсорной кнопки, которая подтверждала бы транзакцию на токене или смарт-карте. Но это не решает проблему сути подписываемого документа – ведь вирус всегда может подсунуть нужное именно ему платежное поручение. Идеальный вариант – «картридер» с небольшим экраном и своим доверенным управляющим ПО на борту. На входе он получает документ, который можно просмотреть на экране немедленно. И именно его он и подписывает. Само устройство может чем-то напоминать смартфон и подключаться к USB-порту компьютера.

 

Заключение

 

В настоящее время предоставление банковских услуг через Интернет является эффективным направлением в банковской деятельности. В перспективе это позволит обеспечить обслуживание клиентов в минимальные сроки без дополнительных затрат.