Проблемы безопасности, связанные с использованием интернет-технологий в сфере банковских услуг

Проблемы безопасности, связанные с использованием интернет-технологий в сфере банковских услуг.

Банки всегда подвергались рискам, связанным с ошибками или  мошенничеством, но с внедрением современных  компьютерных технологий уровень таких  рисков и масштаб их влияния существенно изменились, поскольку состав причин и возможности реализации рисков такого рода значительно расширились.

Необходим анализ и практический учет новых потенциальных угроз, связанных с технологиями электронного банкинга, а также сценариев их возможной реализации с оценкой последствий.

Наиболее серьезные проблемы системного характера в контроле банковской деятельности:

• Технологический прогресс в сфере банковской деятельности обусловливает постоянное отставание регламентирующей законодательной и нормативной базы
• Применение новых технологий для выполнения банковских операций и обслуживания клиентов может снизить надежность и устойчивость кредитных организаций
• Технологические нововведения в банковской деятельности могут привести к ослаблению внутреннего контроля в кредитных организациях
• Кредитные организации могут быть незаметно использованы как посредники для трансфера или хранения незаконных доходов с помощью новых банковских информационных технологий.

Преступления в банковской сфере  также имеют свои особенности: многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

Как правило, злоумышленники обычно используют свои собственные  счета, на который переводятся похищенные суммы. Большинство преступников не знают, как “отмыть” украденные деньги. Умение совершить преступление и умение получить деньги— это не одно и то же.

Для достижения своей цели преступниками используются банки, у которых имеются корреспондентские  отношения с банками других стран. В течение дня деньги могут  пройти через банковские счета в нескольких странах. Банкам стало труднее определять действительного владельца денежных средств или собственности, приобретенной на деньги, поступившие в банк. Поэтому понятна необходимость возникновения системы контроля по противодействию отмыванию денег как со стороны регулирующих органов, так и внутри банков.

Легализация («отмывание») нелегальных доходов.

Из официального определения отмывания  денег ООН (1988 г.)

 Преобразование  или перевод собственности, которая  заведомо получена незаконным путем, …в целях сокрытия ее незаконного происхождения или содействие кому-либо, кто вовлечен в такой процесс, либо укрывание действий такого рода, включая: сокрытие истинного происхождения, источника, нахождения, размещения, перемещения, принадлежности собственности, если известно о ее незаконном происхождении ...; приобретение или использование собственности, если в момент начала таких действий известно о ее незаконном происхождении …

Согласно приказу  от 12.03.2013 « Об утверждении регламента информационного взаимодействия Банка России, Генеральной прокуратуры Российской Федерации, правоохранительных и иных федеральных государственных органов Российской Федерации при выявлении и пресечении незаконных финансовых операций кредитных организаций и их клиентов »

2. Для целей  настоящего Регламента под незаконными  финансовыми операциями понимаются  операции с участием юридических  и физических лиц, в том числе  нерезидентов Российской Федерации,  с денежными средствами независимо  от формы и способа их осуществления, свидетельствующие о противоправной деятельности, направленной на незаконное извлечение дохода и (или) причинение имущественного вреда бюджетной и кредитно-финансовой системе Российской Федерации, а также придание правомерного вида владению, пользованию или распоряжению денежными средствами или иным имуществом, полученными в результате совершения преступлений, и финансирование терроризма.

4. Основными целями  информационного взаимодействия  между Сторонами являются предупреждение, выявление, пресечение, раскрытие и расследование преступлений и иных правонарушений, связанных с незаконным извлечением дохода и (или) причинением имущественного вреда бюджетной и кредитно-финансовой системе Российской Федерации, а также легализацией (отмыванием) доходов, полученных преступным путем, и финансированием терроризма.

13. Направлению  в Генеральную прокуратуру Российской  Федерации и Федеральную службу  по финансовому мониторингу …  подлежат следующая информация  и материалы:

… 13.2. Информационная справка, в которой излагаются результаты анализа финансовых операций на предмет связи с противоправной деятельностью и содержатся следующие сведения:

… 13.2.4. В случае дистанционного банковского обслуживания с применением систем интернет-банкинга – данные, позволяющие идентифицировать место нахождения системы «Банк-Клиент», в том числе об IP-адресе пользователя системы «Банк-Клиент», зарегистрированном кредитной организацией, сведения о МАС-адресе, которому был сопоставлен IP-адрес и пр.

При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию Интернет-банкинга.

Еще одним важным вопросом в сфере  безопасности является защита от шпионского программного обеспечения при использовании Интернет-банкинга.

Шпионское программное  обеспечение (SpyWare) – возможно наиболее серьезная проблема современности, которая связана с всеобщей компьютеризацией. SpyWare ориентировано на поиск и хищение персональной информации пользователей, начиная с их Web-серфинга и заканчивая паролями и банковскими счетами

В отсутствие должных  мер обеспечения информационной безопасности персональная информация похищается незаметно для пользователя, даже если никаких внешних изменений  в работе компьютера может не быть (хотя отдельные признаки  таких изменений бывают заметны).

Не следует  путать SpyWare с компьютерными вирусами. Программы антивирусной защиты не выявляют шпионские программы, поскольку это совершенно иной вид угроз, реализуемых через недостатки в системном программном обеспечении (например, операционных системах и т.п.) и организации взаимодействия с теми или иными сетевыми структурами.

В общем случае фишинг определяется как криминальный мошеннический процесс в виде попыток получения значимой («чувствительной») банковской информации или данных о кредитных картах, таких как имя пользователя, коды или пароли, необходимые для использования Интернет-банкинга, и т.п. Злоумышленники маскируются с их помощью под легитимных участников дистанционного информационного взаимодействия или используют spyware - шпионское программное обеспечение.

Злоумышленники  часто используют информацию, полученную ими мошенническим путем, для  инициации несанкционированных  денежных переводов со счетов своих  жертв. Для собственного камуфляжа они задействуют и счета третьих сторон – частных лиц или малых компаний, которые не догадываются о мошенническом происхождении соответствующих сумм и соглашаются на перевод денег на личный счет, указанный мошенником (тем более, если за это предлагается комиссия). После этого деньги снимаются им. Эти варианты примыкают к тематике так называемого «отмывания денег» и финансирования терроризма.

Как свидетельствуют  материалы финансовых разведок, в  том числе, России, международных  организаций, в частности FATF, практически все финансовые преступления совершаются посредством проведения операций в платежных системах, в том числе трансграничных. При этом чем лучше их параметры (скорость, надежность), тем выше, при недостаточных мерах противодействия, их уязвимость с точки зрения возможностей отмывания денег и финансирования терроризма.

Целесообразно принятие решения о  комплексном финансовом мониторинге  при использовании кредитной организацией различных систем дистанционного банковского обслуживания

Целесообразна разработка порядка  комплексного сопровождения и анализа  транзакций, осуществляемых в соответствии с ордерами клиентов кредитной организации, поступающих от разных систем дистанционного банковского обслуживания

В рамках организации, осуществления  и адаптации процесса финансового  мониторинга и составляющих его  процедур можно:

• изучать способы и практические примеры противоправной деятельности с помощью банковских информационных технологий;
• создавать и адаптировать модели возможной противоправной деятельности с использованием банковских информационных технологий;
• тестировать программно-информационное обеспечение финансового мониторинга на предмет его адекватности указанным моделям;
• актуализировать и обновлять программно-информационное обеспечение финансового мониторинга.

Применение любой технологии электронного банкинга неизбежно приводит к возникновению  анонимности клиента, дистанционно взаимодействующего с кредитной организацией и «скрытого» от нее средой взаимодействия и распределенными компьютерными системами. Каждая технология может создавать свои условия для потенциальной противоправной финансовой деятельности.

При принятии решения относительно внедрения и применения технологии электронного банкинга и реализующих ее банковских автоматизированных систем руководству кредитной организации целесообразно рассмотреть и проанализировать те процедуры, которые потребуется разработать и внедрить для реализации принципа «Знай Своего Клиента» в приложении к идентификации потенциальных клиентов данной технологии и контроля над осуществляемыми ими операциями, а также оценить возможности реализации этих процедур в плане необходимых для этого практически применимых методов и средств с учетом организации и осуществления дальнейшего управления этими средствами и контроля их использования.

Кредитной организации может быть нанесен ущерб как вследствие недостатков в процессе финансового мониторинга, включая сговор сотрудников с криминальными элементами, так и в связи с мошенничествами и хищениями. Поэтому в кредитной организации необходимо осознание возможного смещения профиля риска в части как минимум правового, операционного и стратегического рисков, а также риска потери деловой репутации.

Дополнительно рекомендуется при  использовании кредитной организацией нескольких систем дистанционного банковского  обслуживания в сети Интернет в процессе анализа сопутствующих каждому  из них факторов риска учитывать  факторы риска, связанные с каждой из систем (как по отдельности, так и в совокупности), ввиду их возможного взаимного влияния, то есть изменения значимости одного банковского риска из-за влияния другого банковского риска (так называемый “эффект взаимного влияния рисков”).

Управление рисками Интернет-банкинга рекомендуется организовывать таким образом, чтобы обеспечить контроль за данным видом дистанционного банковского обслуживания в целом, в том числе в рамках функционирования аппаратно-программного обеспечения систем Интернет-банкинга, осуществления отдельных операций и используемых при этом массивов банковских данных.

Важно, чтобы кредитная организация (КО) различала риски, присущие новым продуктам и операциям, и следила за тем, чтобы до их введения или реализации они были учтены в соответствующих инструкциях и системе контроля. Большинство нововведений, связанных с хеджированием риска или управлением риском, должны быть заблаговременно одобрены Правлением КО или специально созданным в ней Комитетом.

Новые для КО продукты и виды деятельности должны подвергаться тщательному предварительному анализу, позволяющему гарантировать понимание характера связанных с ними рисков и возможность учета его в процессе управления ими. До введения нового продукта и стратегии хеджирования рисков руководство КО должно утвердить адекватные функциональные инструкции и систему контроля рисков.  При использовании любой технологии электронного банкинга необходимо учитывать особенности соответствующего информационного контура банковской деятельности.

По материалам Базельского комитета по банковскому надзору подчеркивается важность принципа: Банк должен иметь возможности мониторинга своих клиентов при совершении ими операций. Приятие эффективных стандартов «Знай Своего Клиента» - это существенная часть банковской практики управления рисками. Банки, не имеющие адекватных программ управления риском, связанным с принципом «Знай Своего Клиента» (ЗСК), подвержены значительным рискам, в особенности правовому и репутационному.

Наличие в банках надежной политики и процедур ЗСК, учитывающих специфику банковского обслуживания:

• способствуют обеспечению безопасности и надежности банков;
• содействует защите целостности банковской системы за счет снижения вероятности превращения банков в «механизмы» отмывания денег, финансирования терроризма и реализации других незаконных действий.