скачать книгу бесплатно
OCF – Open Connectivity Foundation
OFC – OpenFog Consortium
PaaS – Platform as a Service
PFM – Personal Financial Management
RPA – Robotic Process Automation
SCS – Social Credit Score
SWIFT – Society for Worldwide Interbank Financial Telecommunications
VPN – Virtual Private Network
XBRL – eXtensible Business Reporting Language
Вступительное слово
Банковский бизнес одним из первых начал использовать преимущества работы в киберпространстве, что обусловлено значительным сокращением затрат на осуществление операционной деятельности: нет необходимости содержать банковские офисы, а функции операциониста выполняет сам клиент с использованием компьютера, планшета или смартфона.
Однако наряду с очевидной привлекательностью такого способа проведения банковских операций появляется и немало дополнительных рисков (как у банка, так и у его клиентов), источниками которых являются виртуальный характер дистанционных банковских операций и постоянно возрастающая активность киберпреступников, ставящих основной своей целью незаконное завладение денежными средствами банков и (или) их клиентов, а также их персональными данными.
Киберпреступность, обладая высокой степенью латентности, остается одним из главных сдерживающих факторов распространения систем электронного банкинга в кредитно-финансовой сфере. В связи с этим развитие научных подходов к решению данных проблем, несомненно, будет способствовать своевременному принятию эффективных защитных мер, обеспечивающих безопасность работы в киберпространстве. Появление таких работ – это очередной шаг к детальному изучению всех особенностей предоставления как банковских, так и в целом финансовых услуг в киберпространстве.
Предлагаемая вашему вниманию книга написана профессионалами своего дела, имеющими большой практический опыт работы по обеспечению кибербезопасности как в регулирующих органах, так и в бизнес-структурах. Она может представлять интерес для студентов, аспирантов, обучающихся по специальностям «Информационная безопасность» и «Банковское дело», а также для преподавателей, работающих по данным специальностям, и всех читателей, желающих получить новые знания в области обеспечения кибербезопасности при использовании систем электронного банкинга.
Р.А. Прохоров,
Председатель Правления Ассоциации
«Финансовые инновации» (АФИ)
Предисловие
Технологии дистанционного банковского обслуживания (включая системы электронного банкинга) стали активно применяться (как в России, так и за рубежом) с начала третьего тысячелетия.
За 20 с небольшим лет системы электронного банкинга для многих людей стали привычным инструментом. Современный смартфон выступает не только как средство связи, органайзер, хранилище аудио- и видеофайлов, игровой компьютер, но и как удобное устройство, с помощью которого можно выбирать товары и услуги, заказывать билеты, а также моментально производить оплату своего выбора.
Для того чтобы любая технология получила широкое распространение, а самое главное – доверие со стороны клиентов, должны выполняться по крайней мере три условия:
– она должна быть легальной (т. е. иметь правовые основания для использования[1 - В ряде случаев вводят так называемый «режим регуляторной песочницы».]);
– она должна быть безопасной (иначе сложно рассчитывать на доверие к ней со стороны клиентов);
– она должна «хорошо продаваться» (т. е. быть привлекательной для бизнеса – приносить прибыль).
Применяя такой подход к технологиям дистанционного банковского обслуживания, можно сказать, что с правовой точки зрения препятствий для внедрения и использования таких технологий почти нет. Однако есть некоторое отставание нормативной базы, регламентирующей банковскую деятельность, что в ряде случаев может привести к ослаблению контроля над кредитными организациями со стороны регулирующих органов.
В рамках обеспечения безопасности многие кредитные организации стараются использовать комплексный подход, применяя различные меры на всех этапах жизненного цикла систем электронного банкинга. Однако возрастающая активность киберпреступников, которые используют различные способы получения конфиденциальной информации (в т. ч. применяя методы социальной инженерии), и недостаточный уровень финансовой грамотности и киберграмотности граждан не позволяют считать технологии дистанционного банковского обслуживания в полной мере безопасными. Минимизировать сопутствующие риски можно только за счет успешного решения всех задач, связанных с должным уровнем кибербезопасности, как на стороне банков, так и на стороне их клиентов (при непосредственном участии всех регулирующих органов).
Добавим, что сегодня для развития технологий дистанционного банковского обслуживания (включая системы электронного банкинга) складываются достаточно хорошие условия. Повсеместно растет число клиентов, которые ежедневно пользуются одним из видов электронного банкинга, заметно улучшаются качество работы и безопасность самих банковских веб-приложений.
Возвращаясь к проблеме обеспечения кибербезопасности, можно сказать, что она является основной для успешного внедрения и распространения технологий дистанционного банковского обслуживания. Именно от уровня обеспечения кибербезопасности зависит доверие клиентов как к отдельным элементам систем электронного банкинга, так и ко всей банковской системе Российской Федерации.
Обеспечение кибербезопасности (или, другими словами, безопасности в киберпространстве) включает в себя целый комплекс организационных и технических мероприятий. Но помимо этого надо минимизировать сопутствующие риски, которые возникают при использовании технологий дистанционного обслуживания.
Данная коллективная монография – это попытка рассмотреть наиболее характерные источники рисков, возникающие в условиях применения систем электронного банкинга, и предложить меры по снижению возможных негативных последствий их проявления. Также мы попытались оценить возможные сценарии развития технологий и социального поведения, существенно влияющие на природу и масштабы таких рисков. Книга не претендует на полное рассмотрение всех возможных угроз и сопутствующих рисков, связанных с внедрением в кредитных организациях систем электронного банкинга, однако может оказать помощь менеджерам банков, специалистам риск-подразделений и служб внутреннего контроля в разработке внутренних методических документов, направленных на минимизацию возможных последствий проявления источников рисков, связанных с использованием систем электронного банкинга.
П.В. Ревенков,
доктор экономических наук,
профессор кафедры «Информационная безопасность» Финансового университета при Правительстве Российской Федерации
1. Электронный банкинг и риски недостаточного обеспечения информационной безопасности
В природе ничего не возникает мгновенно и ничто не появляется в свет в совершенно готовом виде.
Александр Иванович Герцен, русский прозаик, публицист, критик и философ
Введение
Настанет время, когда наши потомки будут удивляться, что мы не знали таких очевидных вещей.
Луций Анней Сенека, древнеримский философ
Электронный банкинг (ЭБ) – один из самых динамично развивающихся видов дистанционного банковского обслуживания (ДБО)[2 - Как правило, под ДБО понимают совокупность методов предоставления банковских услуг с помощью средств телекоммуникации, при использовании которых присутствие самого клиента в банке не требуется.]. Получив широкое распространение в Америке и Европе, ЭБ завоевывает и российский рынок.
Вот только самые известные преимущества, которые получает клиент кредитной организации, использующий для совершения своих банковских операций системы ЭБ (СЭБ):
– нет необходимости посещать банк лично и можно контролировать свои счета или управлять ими в режиме «24/7» (т. е. круглосуточно 7 дней в неделю);
– ряд кредитных организаций устанавливают продленный режим операционного дня и все платежи (зачисления и списания), поступившие в банк до 18:00 по московскому времени, исполняются банком в этот же операционный день;
– вся информация по счетам и операциям хранится на сервере кредитной организации и всегда доступна для пользователей СЭБ;
– для защиты информации используются современные средства криптографической защиты;
– разработчики большинства программных продуктов СЭБ производят обновление своих программ автоматически (не требуется обращения в кредитную организацию) [103, с. 172].
Внедрение данной услуги обходится кредитной организации относительно недорого и в дальнейшем быстро окупается только за счет абонентской платы.
Однако, несмотря на очевидную привлекательность такого способа совершения банковских операций, как у кредитной организации, так и у ее клиентов возникает немало дополнительных источников банковских рисков. Основными причинами этого являются:
– виртуальный характер дистанционных банковских операций;
– общедоступность открытых телекоммуникационных систем;
– предельно высокая скорость выполнения транзакций;
– глобальные масштабы межсетевого операционного взаимодействия;
– активное участие фирм – провайдеров услуг в проведении операций.
Таким образом, организации кредитно-финансовой сферы должны постоянно совершенствовать свои системы информационной безопасности, а специалистам риск-подразделений необходимо учитывать возможные последствия проявления рисков, связанных с работой в киберпространстве, и своевременно принимать меры по минимизации негативных последствий.
1.1. Интернет и банковский бизнес
Если новое поколение будет повторять устаревшие понятия, то как мы обеспечим быстрое движение вперед?
Иван Ефремов. Туманность Андромеды
Современный банковский бизнес невозможно представить без использования новейших достижений в области информационных и телекоммуникационных технологий. Технологии ДБО стали не только способом снижения себестоимости самих процессов выполнения банковских операций, но и основным конкурентным преимуществом любой кредитной организации на рынке банковских услуг.
Одним из условий повышения доверия к технологиям ДБО является обеспечение должного уровня информационной безопасности.
Перед тем как начать разговор о проблемах, связанных с безопасным применением различных систем ДБО (включая СЭБ), необходимо разобраться, что такое безопасность.
Безопасность (как самостоятельный объект исследования) имеет некоторые фундаментальные свойства:
1) безопасность никогда не бывает абсолютной – всегда есть некий риск ее нарушения. Таким образом, усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого;
2) измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности банка[3 - В связи с этим можно говорить только о вероятности наступления того или иного события и масштабе его последствий, то есть использовать для оценки уровня безопасности рисковый подход.];
3) наступление всех рисковых событий предотвратить невозможно, можно лишь понизить вероятность наступления отдельных событий, то есть рисковые события будут наступать реже;
4) можно также понизить степень ущерба от наступления такого события, но при этом чем реже наступает рисковое событие, тем сильнее ущерб от него;
5) при любом несанкционированном вмешательстве в процесс принятия управленческих решений и обработки информации в первую очередь страдает ее безопасность.
Современный банк представляет собой комплекс, включающий в себя не только квалифицированный персонал, но и сложные автоматизированные системы, и одним из наиболее уязвимых элементов этого комплекса является банковская автоматизированная система (БАС).
Современные достижения в развитии информационных и коммуникационных технологий, в основе которых лежат возможности интернета, значительно повлияли на эволюционные процессы, связанные с формами проявления функции денег как средства платежа, и привели к формированию глобальной электронной среды для экономической деятельности за счет существенного снижения себестоимости банковских операций. Технологии ДБО можно рассматривать и как качественный аспект поступательного развития кредита[4 - См.: Валенцева Н.И. Законы и закономерности развития кредита // Банковские услуги. 2010. № 12. С. 2–9.].
Еще в конце прошлого века эксперты в области экономики стали говорить о новой среде – сетевой экономике (networked economy)[5 - Данное понятие часто упоминается в сочетании со словом «глобальная».]. Так, например, в докладе, подготовленном Европейской комиссией[6 - Status Report on European Telework // Telework 1997, European Commission Report, 1997. URL: http://www.eto.org.uk/twork/tw97eto (http://www.eto.org.uk/twork/tw97eto).], глобальная сетевая экономика определяется как «среда, в которой любая компания или индивид, находящиеся в любой точке экономической системы, могут контактировать легко и с минимальными затратами с любой другой компанией или индивидом по поводу совместной работы, для торговли, для обмена идеями и ноу-хау или просто для удовольствия». Возникновение сетевой экономики приводит к эволюции современных экономических систем, развитию нерыночных механизмов регулирования и сетевых организационных структур [102, с. 539].
Новые возможности глобальной коммуникации между людьми дают им и новые инструменты для реорганизации форм их совместной деятельности.
Одним из самых эффективных способов модернизации инфраструктуры в экономике и создания сетевых институциональных структур является использование возможностей интернет-технологий.
Интернет-технологии не только быстро внедряются в политику, бизнес, государственное управление, но и трансформируют характер межличностных отношений в обществе (формируются виртуальные онлайновые сообщества, устанавливаются отношения информационного партнерства, осуществляется группировка пользователей по определенным информационным интересам). Все это приводит к тому, что общество привыкает к активному использованию современных информационных и коммуникационных технологий. Тенденция распространяется и на банковские услуги. Это свидетельствует о том, что мы имеем дело с самым быстрорастущим в истории человечества рыночным сообществом. Буквально за несколько лет все основные экономические виды деятельности были освоены интернетом: появились интернет-коммерция, интернет-реклама, интернет-банкинг и т. д.
Анализ трудов отечественных и зарубежных ученых позволил выявить ряд отличительных признаков всемирной паутины, способных существенным образом влиять на экономику:
– интернет втягивает в глобальную конкуренцию все компании и организации (в т. ч. коммерческие банки) независимо от места их расположения. Большинство кредитных организаций предоставляют одинаковый набор банковских услуг, поэтому выбор клиентов, как правило, связан с качеством их оказания и уровнем доверия к данному коммерческому банку;
– глобальная сеть значительно обострила конкурентную борьбу и потребовала от всех участников банковского рынка соответствовать международным стандартам (оформление веб-сайтов, поддержка нескольких языков, доступность и функциональность представительств в интернете и т. д.);
– целый ряд процессов, в том числе обслуживание и эксплуатацию аппаратно-программного обеспечения систем ДБО (включая СЭБ), можно передать на аутсорсинг. Веб-сайты многих кредитных организаций разрабатывали профессиональные компании, хорошо владеющие вопросами продвижения брендов и привлечения максимального числа клиентов;
– клиенты, использующие системы интернет-банкинга, более требовательны к качеству выполнения банковских операций, так как легко могут сравнить услуги банка с аналогичными услугами кредитных организаций – конкурентов (банки, значительно отдаленные друг от друга географически, в глобальной сети находятся «на расстоянии одного клика»);
– интернет позволяет выбирать коммерческие банки практически в любой стране и строить с ними взаимовыгодное сотрудничество для повышения эффективности и снижения издержек;
– стремительное развитие интернет-технологий не позволяет однозначно спрогнозировать все стратегические риски, связанные с ДБО;
– интернет ускоряет распространение новых технологий и идей. Коммерческие банки в любой стране, в том числе в развивающейся, могут с помощью глобальной сети отслеживать технологические инновации, получать информацию о новых банковских продуктах, используемых в Европе, Японии, Северной Америке, а также о новых проектах и действиях лидеров в каждом секторе банковского бизнеса – с точки зрения бизнеса национальные границы утратили былое значение;
– электронные банковские технологии требуют от коммерческих банков действовать «в режиме интернета» или «со скоростью интернета» – скорость становится одним из основных достоинств успешного бизнеса;
– технологии ДБО (включая СЭБ) позволяют оформлять первичные бухгалтерские документы намного быстрее;
– интернет является самым дешевым на сегодняшний день каналом обслуживания клиентов. Предоставление банковских услуг через интернет позволяет сократить служащих, которые ведут телефонные переговоры, оформляют банковские документы, консультируют клиентов по вопросам выполнения отдельных банковских операций, принимают различные претензии, предложения и др.[7 - Еще в середине 1999 г. на веб-сайте Международного валютного фонда были приведены расчеты затрат на выполнение банковских операций: стоимость ручной обработки транзакции в филиале коммерческого банка составляла в среднем более 1 доллара, телефонное обслуживание оценивалось в 60 центов за услугу, транзакции через банкоматы и клиринговые центры стоили около 25 центов, а транзакция через интернет обходилась всего в 1 цент. Учитывая постоянное снижение тарифов на предоставление доступа в интернет, можно предположить, что сейчас банковские операции, выполняемые в рамках интернет-банкинга, обходятся еще дешевле.];
– под интернет-проекты относительно легко получить инвестиции. Во многих странах инвестиции в интернет-проекты поддерживаются государством, так как, развивая интернет-технологии во всех отраслях экономики (включая банковский бизнес), страна выходит на новый качественный уровень;
– интернет-технологиям постоянно требуется ценный ресурс – человеческий талант: как в форме технических знаний и опыта, так и в форме управленческих ноу-хау. Самые ценные в конкурентном отношении активы организации – это лидерство в разработке ключевых технологий и кадры с уникальными опытом и знаниями.
Благодаря возможностям интернета сообщество людей стало преобразовываться в новую социально-экономическую формацию – глобальное информационное общество.
На данном этапе развития общества можно говорить об информационной революции, которая постепенно охватывает все страны, невзирая на их экономическое развитие и уровень финансовой грамотности населения.
Интернет изменил мир, и эти изменения возрастают в геометрической прогрессии. Трансформировались отношения людей, их общение, мировоззрение, поиск данных, а вместе с тем методы работы институтов и организаций. Каких-то 15 лет назад еще не было таких профессий, как разработчик архитектуры социальных сетей и руководитель цифровой рекламы. В последние годы в нашу жизнь ворвались, заняв в ней доминирующие позиции, Facebook, LiveJournal, YouTube, Twitter, Skype и многие другие интернет-продукты и социальные сети. Темпы развития этих технологий стабильно растут.
Многие банки сегодня рассматривают Facebook как важный источник информации, поскольку данная социальная сеть содержит огромное количество сведений о пользователях. Эти данные могут быть применены для оценки кредитных рисков и кредитоспособности клиентов.
Отметим одну особенность в поведении людей, которая связана с появлением интернета. Все больше людей предпочитают потреблять значительное количество маленьких фрагментов информации, а не целостный блок текста[8 - По этой же причине у многих возникает желание пропустить большой абзац.].
Зная об этом, западные информационные агентства на своих интернет-страницах иногда публикуют абзацы, состоящие из одного предложения. В маленьком фрагменте сложно (а чаще невозможно) передать много информации, но для совершения транзакции с помощью систем ДБО клиент и не должен читать длинные инструкции (они могут быть оформлены в виде аудио- или видеоролика).
Заметим, что информационные процессы в сознании человека, такие как обнаружение и интерпретация сенсорных сигналов, память, образы, мышление, и их изменения во времени представляют объект исследования когнитивной психологии. Поэтому серьезные компании, занимающиеся созданием программ для систем ДБО и пользовательских интерфейсов, основывают свои разработки на моделях, являющихся плодами когнитивной психологии.
По мере проникновения интернета в нашу жизнь растет популярность всевозможных мобильных устройств. Классические ноутбуки слишком громоздки, а планшеты еще не всегда обладают нужной функциональностью, поэтому и появляются все новые и новые миниатюрные лэптопы с сенсорными экранами.
Подобные устройства теперь не роскошь, а неотъемлемые компаньоны современного человека (в этом убеждаешься, когда забываешь дома мобильный телефон или планшетный компьютер).
Согласно докладу Антимонопольного центра БРИКС, количество интернет-пользователей в крупнейших странах по состоянию на март 2019 г. составило:
– 829 млн в Китае (первое место);
– 560 млн в Индии (второе место);
– 293 млн в Соединенных Штатах Америки (третье место);
– 109,5 млн в России (восьмое место)[9 - Интернет-доступ (мировой рынок). URL: http://www.tadviser.ru/a/53635.].
В декабре 2018 г. Международный союз электросвязи (ITU) представил отчет, в котором сообщил, что в интернет выходят 3,9 млрд человек, или 51,2 % населения планеты[10 - Там же.]. При этом в России 81 % граждан пользуются интернетом с той или иной периодичностью. То есть: