16 сентября, 2014, BIS Journal №3(14)/2014

Смело встречая грядущее


Музипов Фарит

начальник отдела информационной безопасности, CISA, CISM (ООО «КБ «МЕЖТРАСТБАНК»)

Ревенков Павел

профессор кафедры экономического анализа и бухгалтерского учета, доктор экономических наук (Одинцовский гуманитарный университет)

Бердюгин Александр

преподаватель кафедры экономического анализа и бухгалтерского учета (Одинцовский гуманитарный университет)

Интернет-банкинг: новый профиль клиента и угрозы информационной безопасности

 

«Во всех странах железные дороги для передвижения служат, а у нас сверх того и для воровства»
М.Е. Салтыков-Щедрин

 

Информатизация общества начала стремительно развиваться во второй половине XX века. И уже к началу XXI века она захватила практически все сферы человеческого бытия. В экономической области достижения в развитии информационных и коммуникационных технологий, в основе которых лежат возможности глобальной сети интернет, значительно повлияли на эволюционные процессы, связанные с формами проявления функции денег как средства платежа.

 

ВЛИЯНИЕ «ВСЕМИРНОЙ ПАУТИНЫ» НА ОБЩЕСТВО

В итоге, за счёт существенного снижения себестоимости выполнения банковских операций, сформировалась глобальная электронная среда экономической деятельности. В первую очередь речь идет о дистанционном банковском обслуживании ДБО, которое получило за последние 15–20 лет широкое распространение в странах не только с развитыми экономиками, но и с развивающимися.

Глобальная сеть используется в одном из самых распространенных видов ДБО – интернет-банкинге, который представляет собой способ ДБО клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через web-сайт(ы) в сети Интернет) и включающего информационное и операционное взаимодействие с ними. Интернет-банкинг можно рассматривать и как качественный аспект поступательного развития кредита, направленного на повышение доступности банковских услуг для населения.

Интернет-технологии не только стремительно внедряются в политику, бизнес, государственное управление, но и трансформируют характер межличностных отношений в обществе (формируются виртуальные онлайновые сообщества, устанавливаются отношения информационного партнерства, осуществляется группировка пользователей по определенным информационным интересам). Все это приводит к тому, что общество привыкает к активному использованию современных информационных и коммуникационных технологий. Тенденция распространяется и на банковские услуги. Мы имеем дело с самым быстрорастущим в истории человечества рыночным сообществом. Буквально за 10 лет все основные экономические виды деятельности были освоены Интернетом и появились: интернет-коммерция, интернет-реклама, интернет-банкинг и т.д.

Анализ научных трудов отечественных и зарубежных ученых позволил выявить ряд отличительных признаков «всемирной паутины», способных существенным образом влиять на экономику:

  • интернет втягивает в глобальную конкуренцию все компании и организации (в том числе коммерческие банки), независимо от места их расположения. Большинство кредитных организаций предоставляет одинаковый набор банковских услуг, поэтому выбор клиентов, как правило, связан с качеством их оказания и уровнем доверия к данному коммерческому банку;
  • глобальная сеть значительно обострила конкурентную борьбу и потребовала от всех участников банковского рынка соответствия международным стандартам (оформление web-сайтов, поддержка нескольких языков, доступность и функциональность своих представительств в Интернете и т.д.) [1, с. 74–79];
  • многие процессы, в том числе обслуживание и эксплуатацию аппаратно-программного обеспечения систем интернет-банкинга, можно передать на аутсорсинг. Многие web-сайты кредитных организаций разрабатывали профессиональные компании, хорошо владеющие вопросами продвижения брендов и привлечения максимального числа клиентов;
  • клиенты, использующие системы интернет-банкинга, более требовательны к качеству выполнения банковских операций, т.к. могут легко сравнивать аналогичные услуги у других кредитных организаций – конкурентов (значительно удаленные географически банки в глобальной сети находятся «на расстоянии одного клика»);
  • интернет позволяет выбирать коммерческие банки почти в любой стране мира и устанавливать с ними взаимовыгодное сотрудничество для повышения эффективности и снижения издержек;
  • стремительное развитие интернет-технологий не позволяет однозначно спрогнозировать все стратегические риски, связанные с интернет-банкингом;
  • интернет ускоряет распространение новых технологий и идей. Коммерческие банки в любой стране мира, в том числе в развивающейся, могут с помощью глобальной сети отслеживать технологические инновации, получать информацию о новых банковских продуктах, используемых в Европе, Японии, Северной Америке и о новых проектах и действиях лидеров в каждом секторе банковского бизнеса –  с точки зрения бизнеса национальные границы утратили свое былое значение; электронные банковские технологии требуют от коммерческих банков действовать «в режиме Интернет» или «со скоростью Интернет» – скорость становится одним из основных достоинств успешного бизнеса;
  • технологии ДБО (включая системы интернет-банкинга) позволяют оформлять первичные бухгалтерские документы намного быстрее;
  • интернет служит самым дешевым на сегодняшний день каналом обслуживания клиентов. Предоставление банковских услуг через интернет позволяет сократить служащих, которые ведут телефонные переговоры, оформляют банковские документы, консультируют клиентов по особенностям выполнения отдельных банковских операций, принимают различные претензии, предложения и др.;
  • под интернет-проекты относительно легко получить инвестиции. Во многих странах инвестиции в интернет-проекты поддерживаются государством, т.к. развивая интернет-технологии во всех отраслях экономики (включая банковский бизнес) страна выходит на новый качественный уровень;
  • интернет-технологиям постоянно требуется ценный ресурс – человеческий талант, как в форме технических знаний и опыта, так и в форме управленческих ноу-хау. Самые ценные в конкурентном отношении активы организации – это лидерство в разработке ключевых технологий и кадры с уникальным опытом и знаниями [2, с. 239–241].

Благодаря возможностям интернета сообщество людей стало преобразовываться в новую социально-экономическую формацию – глобальное информационное общество. На данном этапе развития общества можно говорить об информационной революции, которая постепенно охватывает все страны, невзирая на их экономическое развитие и уровень финансовой грамотности населения.

Интернет изменил мир и продолжает менять его в геометрической прогрессии. Изменились отношения людей, их общение, поиск данных, мировоззрение, а вместе с тем методы работы институтов и организаций. Каких-то 15 лет назад еще не было таких профессий, как разработчик архитектуры социальных сетей и руководитель цифровой рекламы. А в последние годы в нашу жизнь ворвались и с тех пор доминируют в ней Facebook, LiveJournal, YouTube, Twitter, Skype и многие другие интернет-продукты и социальные сети. Эти технологии стабильно наращивают темпы своего развития.

Отметим особенность в поведении людей, которая стала проявляться по мере проникновения интернета в нашу жизнь – растёт популярность всевозможных мобильных устройств. Классические ноутбуки слишком громоздки, а планшеты еще не всегда обладают нужной функциональностью, поэтому и появляются все новые и новые миниатюрные лэптопы с сенсорными экранами. Подобные устройства теперь не роскошь, а неотъемлемые компаньоны современного человека (в этом убеждаешься, когда забываешь мобильный телефон или планшетный компьютер дома). Многие эксперты с уверенностью заявляют, что через несколько лет интернет-технологии будут единолично доминировать среди технологий, обеспечивающих доступ клиента к управлению своими счетами.

Можно сделать следующие предварительные выводы.

  • Использование интернет-технологий представляет собой наиболее приоритетное направление деятельности в банковском бизнесе, т.к. помимо значительного снижения себестоимости выполнения банковских операций (в условиях интернет-банкинга) дает возможность получить конкурентные преимущества перед кредитными организациями, использующими традиционный банкинг (обслуживание клиентов через офисы).
  • Учитывая активное использование нашими соотечественниками интернет-технологий и сотовой связи (для общения и передачи различной информации) можно с большой долей вероятности предположить, что технологии ДБО (включая системы интернет-банкинга) в ближайшей перспективе будут самыми востребованными банковскими услугами.

ОСОБЕННОСТИ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Широкое распространение виртуальных взаимоотношений между людьми и различными организациями создало новый класс преступников, специализирующихся на преступлениях в области высоких технологий, – киберпреступников. Нет ничего удивительного, что виртуализация банковской деятельности и широкое распространение систем интернет-банкинга стали притягивать к себе киберпреступников, основной целью которых становится воровство денег со счетов клиентов кредитных организаций, использующих для управления своими денежными средствами технологии ДБО.

Психологи прошлого века отмечали, что война качественно изменилась. Враги перестали смотреть друг другу глаза в глаза. «Современная война в воздухе следует принципам современного автоматизированного производства, в котором и рабочие, и инженеры полностью отчуждены от своего труда. В соответствии с общим планом производства и управления они выполняют технические задания, не видя конечного продукта» [3, с. 297]. Подобный процесс мы наблюдаем, когда говорим о киберпреступности. Снимая деньги с карточки, мошенник никогда в глаза не видел свою жертву, он свободен от созерцания последствий своего поступка. Слезы и отчаяние жертвы не тронут его, он просто их не увидит.

Вторая аналогия, которая прослеживается между войной прошлого века и современной киберпреступностью, массовые жертвы среди мирного населения. Современный преступник не охотится исключительно на богатых бизнесменов. Они работают по площадям, списывая по мелочи и у старушки пенсионерки, и у студента, и у служащего.

По подсчетам CiscoVNI, к 2016 г. в мире будет около 3,4 млрд интернет-пользователей, то есть около 45% населения нашей планеты. Число сетевых подключений к 2016 г. составит около 18,9 млрд, т.е. почти 2,5 подключения на каждого жителя планеты, как прогнозирует CiscoVNI. Что касается России, доля пользователей, выходящих в сеть хотя бы раз в сутки осенью 2013 г. составляла 46% (53,2 млн человек). Годовой прирост интернет-пользователей, выходящих в сеть хотя бы раз за месяц, составил 9%, а для суточной аудитории данный показатель равен 14%.

Это приводит к тому, что спрос и нагрузка на системы информационной безопасности непрерывно растут. Кражи кошельков и сотовых телефонов из карманов и сумочек в криминальных сводках отходят на второй план. Все чаще совершается похищение денег и информации через электронные сети. В корпоративной сфере происходит то же самое. На смену разбойным нападениям на сотрудников, подкупам курьеров и взломам сейфов приходят различные технологические ухищрения, в частности, похищение конфиденциальной информации и различные вирусные атаки.

Если в 1990-е годы это было развлечением, то сейчас это вид преступной деятельности. Вместо набора отмычек, фонарика и веревочной лестницы, используемых для проникновения в офисные учреждения, заставленные громоздкими шкафами и сейфами, современные взломщики, сидя за компьютерами, пытаются подсоединиться к «закрытой» базе данных на сервере корпоративной сети, находясь от нее на расстоянии в тысячи километров. Технические средства изменились, но суть осталась прежней – как и в реальном мире, в киберпространстве ведется отчаянная борьба за обладание информацией с применением любых методов и приемов.

Не стали исключением и электронные платежные сервисы. Уязвимость современных систем ДБО замечательно отображена в исследовании, проведенном специалистами компании Positive Technologies для ряда крупнейших российских банков. Исследование показывает, что в каждой третьей системе возможно получение доступа к операционной системе или системе управления базами данных сервера, в ряде случаев возможно получение полного контроля над ними. Еще 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. В рассмотренных системах преобладают уязвимости среднего и низкого уровня риска. Но отсутствие уязвимостей высокой степени риска не означает, что система хорошо защищена.

Обнаруженные уязвимости в большинстве случаев (43%) связаны с недостатками реализации механизмов защиты, а также с недостатками конфигурирования систем (34%), однако уязвимости на уровне кода web-приложения также составляют значительную часть уязвимостей систем ДБО (23%). Таким образом, в случае успешной реализации выявленных угроз информационной безопасности в отношении систем ДБО, под ударом могло оказаться множество пользователей подобных систем, а банки, в свою очередь, могли бы понести существенные финансовые потери за счет возмещения денежных средств клиентам.

В условиях бесконтактного обслуживания клиентов кредитные организации вынуждены существенно повышать уровень обеспечения информационной безопасности, поскольку основные атаки киберпреступников направлены именно на тех клиентов банков, которые осуществляют свои операции удаленно (т.е. вне офиса). Масштабы кибермошенничества заставляют серьезно относиться к данному виду преступлений. Так, например, в июне 2012 года новостные агентства распространили информацию о задержании преступной группы, включая ее организатора, известного под псевдонимами «Гермес» и «Араши», который вместе со своими сообщниками похитил из систем ДБО более 150 млн рублей. По оценкам одной из ведущих международных компаний в области предотвращений и расследований киберпреступлений и случаев мошенничества с использованием высоких технологий Group-IB в 2012 году из российских систем интернет-банкинга было похищено $446 млн (13,38 млрд рублей).

С развитием систем ДБО и появлением новых способов совершения преступлений, связанных именно с использованием новейших достижений в области интернет-технологий, возникла необходимость создания адекватной системы противодействия (включая отдельное направление криминалистики – компьютерную криминалистику). Это послужило причиной появления новой прикладной науки о раскрытии и расследовании преступлений, связанных с компьютерной информацией, о методах получения и исследования доказательств, имеющих форму компьютерной информации (так называемых цифровых доказательств), о применяемых для этого технических средствах – форензики (компьютерной криминалистики).

Одним из последствий недавнего мирового финансового кризиса стало снижение затрат на обеспечение информационной безопасности в банках. При этом криминальный мир, напротив, ответил значительным увеличением своей активности. Компьютерные злоумышленники сегодня совсем не похожи на тинэйджеров, получивших первоначальные знания с хакерских web-сайтов, а представляют собой специалистов с достаточно высокой подготовкой не только в области информационных технологий, но и в финансовых вопросах. Причем большинство из них действуют в составе организованных преступных групп.

Очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки – это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку киберпреступники продолжают выдумывать и создавать новые техники атак.

Эксперты в области киберпреступлений высказывали разные мнения по поводу ужесточения наказаний за подобные преступления. Так, в частности, высказывались мнения о том, что компьютерные преступления необходимо рассматривать как преступления, связанные с кражей, совершенной группой лиц по предварительному сговору в крупном размере. Более того использование новейших аппаратно-программных средств для хищения денежных средств вполне может рассматриваться судом как отягчающее обстоятельство, т.к. фактически такие преступления способны совершать только очень подготовленные специалисты.

По мнению исполнительного директора Ассоциации российских банков Тимура Аитова, пострадавшие клиенты и банк будут более удовлетворены, если злоумышленники получат не реальные сроки, а крупный штраф, во много раз превышающий сумму украденного. У правосудия появится источник возмещения убытков, связанных с исками по этому делу. Если денег на штраф нет, только тогда – заключение. Скорее всего, при подобной постановке вопроса у большинства злоумышленников память в отношении бесследно исчезнувших сумм восстановится.

АКТУАЛЬНЫЕ НАПРАВЛЕНИЯ РЕГУЛИРОВАНИЯ ДБО

Наряду с очевидными преимуществами технологии ДБО (включая системы интернет-банкинга) принесли в банковский бизнес дополнительные риски. А если быть точнее, то количество типичных банковских рисков осталось прежним, а техническая составляющая их значительно возросла. «Бесконтактные» финансовые услуги увеличивают, усложняют и модифицируют риски.

Технический аспект источников типичных банковских рисков требует совершенствования отдельных направлений регулирования в области ДБО. И в первую очередь речь идет о возрастании угроз со стороны киберпреступников и, как следствие, необходимость совершенствования систем для обеспечения информационной безопасности технологий ДБО, а также адаптация систем внутреннего контроля в банках под новые условия банковского обслуживания.

Помимо значительного роста числа киберпреступлений против клиентов кредитных организаций, по мнению авторов, существует ещё 2 актуальных направления регулирования в области ДБО, вызванных следующими факторами.

1. Расширение профиля операционного риска в условиях интернет-банкинга.

Причиной повышенного внимания к операционному риску в банковском секторе стал выход соглашения Базельского комитета по банковскому надзору «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II.

Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.

В качестве возможных проявлений операционного риска можно выделить следующие типы событий:

  • внешние воздействия (наводнения, пожары, аварии и т.п.);
  • внутренние (угрозы со стороны
  • инсайдеров) и внешние (угрозы, как со стороны одиночных хакеров, так и преступных групп) мошенничества;
  • ошибки персонала;
  • сбои в реализации бизнес-процессов и обслуживании клиентов;
  • физический ущерб активам;
  • сбои информационных систем;
  • нарушение процессов обработки и хранения данных.
  • Рекомендации Basel II были дополнены в документах Basel III, в том числе и в отношении операционного риска.

2. Использование технологии ДБО (включая системы интернет-банкинга) в схемах, направленных на легализацию преступных доходов.

В последнее время проблема противодействия отмыванию денег стала одной из основных международных проблем, к решению которой привлечены ведущие страны мира.

Процедура отмывания денег имеет решающее значение для функционирования практически всех форм транснациональной и организованной преступности. Различные меры экономического характера, призванные исключить или ограничить возможность использования преступниками приобретенных незаконными путями доходов, представляют собой важнейший и действенный компонент программ по борьбе с преступностью.

Как правило, в процесс отмывания денег включается целый ряд операций, направленных на сокрытие источника финансовых активов, но все они входят в одну из трех составляющих (стадий) обобщенной модели отмывания денег: размещение (placement), расслоение (layering) и интеграцию (integration). Указанные стадии могут осуществляться одновременно или частично накладываться друг на друга в зависимости от выбранного механизма легализации и от требований, предъявляемых преступной организацией.

Учитывая трансграничный характер операций в условиях интернет-банкинга (включая «оффшорные» банки) и в ряде случаев «упрощенную» идентификацию, процесс установления истинного смысла осуществляемых сделок – значительно усложняется. После проделанных махинаций отмытые деньги помещаются в банковскую систему под видом законно заработанных доходов. Обнаружить грязный след уже почти невозможно. Мог ли подумать легендарный Аль Капоне, создавая сеть автоматических прачечных для легализации преступных доходов, что дело его разрастется до таких масштабов?

В заключение приведём итоговые выводы.

  • Современный банковский бизнес будет стремиться расширять дистанционные банковские услуги.
  • Коммерческие банки вынуждены будут конкурировать с различными предприятиями, осуществляющими аналогичные услуги, которые будут постоянно снижать комиссию за осуществление транзакций.
  • Регулирующим органам необходимо в кратчайшее время принять необходимые нормативные и законодательные акты в сфере дистанционных банковских услуг.
  • Идеальных способов и средств обеспечения информационной безопасности в сетевых структурах до настоящего времени не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками. Целесообразно строить многоуровневую, «эшелонированную» систему защиты, в которой различные барьеры в виде политик, методов, процедур, средств разного уровня работают совместно.
  • Необходимо проводить с клиентами кредитных организаций, пожелавших использовать для выполнения своих операций технологии ДБО, разъяснительную работу по порядку хранения носителей с конфиденциальной информацией, а также информировать их о наиболее распространенных способах мошенничества в системах ДБО.
  • Требуется совершенствовать способы регулирования и надзора за использованием кредитными организациями технологии ДБО (включая возможность использования в целях легализации преступных доходов).

 

ЛИТЕРАТУРА

  1. Международный бизнес: Учебник / под ред. В.А. Черненко. – СПб.: Нестор-История, 2011, – 428 с.
  2. Трофимов В.В. Информационные технологии в экономике и управлении – М.: Издательство Юрайт, 2012. – 521 с.
  3. Фромм Э. Анатомия человеческой деструктивности. – М.: Республика, 1994. – 448 с.

 

Смотрите также

Подпишись на новости!
Подписаться