Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

Причиной повышенного внимания к операционному риску стал выход соглашения Базельского комитета по банковскому надзору (БКБН) «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II. Соглашение Basel II является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.

Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.

В качестве возможных проявлений операционного риска можно выделить следующие типы событий:

– внешние воздействия (наводнения, пожары, аварии и т. п.);

– внутренние и внешние мошенничества;

– ошибки персонала;

– сбои в реализации бизнес-процессов и обслуживании клиентов;

– физический ущерб активам;

– сбои информационных систем;

– нарушение процессов обработки и хранения данных.

Требования, предъявляемые документами Basel II, были дополнены в документах Basel III, в том числе и в отношении операционного риска.

Отметим, что БКБН рекомендует привлекать к процессу управления рисками, возникающими при внедрении СЭБ в кредитных организациях, не только риск-подразделения, но и совет директоров, высшее руководство банка, а также топ-менеджеров банка.

Операционный риск является одним из основных типичных банковских рисков, на который в большей степени оказывают влияние СЭБ.

Он определяется как вероятность образования убытков и (или) неполучения прибыли вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к ЭБ выделяются три главные зоны операционного риска:

1) функционирование системы безопасности;

2) привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг);

3) освоение новых технологий сотрудниками банка [78, с. 499].

В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности аппаратно-программного обеспечения и целенаправленных DoS-атак на веб-серверы банка).

Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление банковских услуг в области информационных технологий посредством специализированных фирм (в первую очередь банки сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки оказываются в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой, компаний, сотрудники которых могут и не обладать достаточными знаниями о специфике банковского дела.

Наконец, ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков значительными проблемами[46]46
  В основном это связано с обучением персонала и совершенствованием методик проведения проверок специалистами риск-подразделений и служб внутреннего контроля.


[Закрыть].

Смысл управления операционным риском заключается в прогнозе периодичности различных сбоев и нарушений непрерывности функционирования аппаратно-программного обеспечения СЭБ и оценке величины вероятных убытков. Отметим, что у потерь есть и положительная сторона – они вскрывают слабые места и открывают новые возможности. Поэтому самая большая ошибка – сокрытие нежелательного инцидента. Даже после того, как устранены рисковая ситуация или последствия неблагоприятного события, нельзя оставлять произошедшее в тайне: гораздо лучше использовать инцидент в качестве наглядного урока для других сотрудников.

Формы проявления операционного риска в условиях ЭБ могут быть самыми разнообразными. Однако все они вызваны, как правило, несоответствием определенных процедур требованиям законодательства, несоразмерностью технических возможностей СЭБ и объема бизнеса, техническими сбоями и отказами оборудования, непреднамеренными или умышленными действиями персонала и внешних субъектов, что отвечает классическому определению операционного риска.

Минимизировать операционный риск в условиях ЭБ можно с помощью общепринятых стратегий:

– принятие риска (отказ от превентивных мероприятий, воздействие на источники риска, самострахование (в т. ч. через кэптивные страховые компании), диверсификация активов и т. д.);

– полная или частичная передача риска (страхование, хеджирование, синдицирование и т. п.);

– избежание риска (отказ от применения конкретной системы, профилактика как устранение источников риска и пр.).

Следующая проблема связана с возрастанием активности киберпреступников, чьи усилия направлены на хищение денежных средств клиентов банков, использующих для выполнения своих операций СЭБ.

На конец 2019 г. было известно об активности 38 групп, кампании которых затрагивают все регионы мира. Аналитики Group-IB изучают в основном группы из России, Северной Кореи, Пакистана, Китая, Вьетнама, Ирана, США, ОАЭ, Индии, Турции, региона Южной Америки. К 2022 г., по прогнозу Всемирного экономического форума, сумма планетарного ущерба от кибератак вырастет до $8 трлн[47]47
  Потери компаний от кибератак в мире в 2019 г. могут достигнуть $2,5 трлн. URL: https://www.kommersant.ru/doc/3957187.


[Закрыть].

По статистике компании Group-IB, объем российского рынка киберпреступности во второй половине 2018 г. – первой половине 2019 г. составил почти 510 млн руб. (примерно $8 млн; снижение на 85 % к прошлому периоду)[48]48
  Hi Tech Crime Trends 2019/2020. URL: https://www.group-ib.ru/resources/threat-research/2019-report.html.


[Закрыть]. Из отчета МВД России «Состояние преступности в России»[49]49
  Краткая характеристика состояния преступности в Российской Федерации за январь-октябрь 2019 г. URL: https://мвд. рф/reports/item/19007735/.


[Закрыть] следует, что за январь-октябрь 2019 г. в стране было зарегистрировано 2376 преступлений в сфере компьютерной безопасности.

Компьютерные злоумышленники сегодня совсем не похожи на тинейджеров, получивших первоначальные знания с хакерских веб-сайтов, а представляют собой специалистов с достаточно высокой подготовкой в области информационных технологий и в финансовых вопросах. Причем большинство из них действуют в составе организованных преступных групп. Сегодня доходы от компьютерных преступлений значительно превышают доходы, получаемые от продажи оружия и наркотиков.

Очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки – это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают создавать новые техники атак.

Следующая проблема, связанная с применением СЭБ, заключается в активном привлечении данных систем к процессу легализации преступных доходов. В последнее время отмывание денег стало одной из основных международных проблем, к решению которой привлечены ведущие страны мира. Процедура отмывания денег имеет решающее значение для функционирования практически всех форм транснациональной и организованной преступности. Различные меры экономического характера, призванные исключить или ограничить возможность использования преступниками полученных незаконными путями доходов, представляют собой важнейший и действенный компонент программ по борьбе с преступностью. Приведем лишь некоторые факторы, способствующие отмыванию денег:

– высокая доля неофициальных доходов населения и бизнеса (существование параллельной экономики и (или) «черного рынка»);

– несовершенство механизмов контроля и мониторинга деятельности кредитных организаций;

– несоблюдение международных стандартов регулирования финансовой деятельности, разработанных специализированными международными организациями;

– распространение коррупции в различных органах власти;

– законодательное закрепление тайны финансовых операций;

– широкое использование предприятиями и банками операций с вовлечением офшорных компаний и др.

Как правило, в процесс отмывания денег включается целый ряд операций, направленных на сокрытие источника финансовых активов, но все они входят в одну из трех составляющих (стадий) обобщенной модели отмывания денег: размещение (placement), расслоение (layering) или интеграцию (integration). Указанные стадии могут быть пройдены одновременно или частично накладываться друг на друга в зависимости от выбранного механизма легализации и от требований, предъявляемых преступной организацией.

На стадии размещения необходимо изменить форму денежных средств с целью сокрытия их нелегального происхождения. Например, поступления от незаконной торговли наркотиками чаще всего представляют собой мелкие купюры. Конвертирование их в более крупные купюры, чеки или иные финансовые документы часто производится с помощью предприятий, имеющих дело с большими суммами наличных денег (рестораны, гостиницы, казино, автомойки) и используемых в качестве прикрытия.

На стадии расслоения лица, отмывающие деньги, стараются еще больше скрыть следы, по которым их могут обнаружить. Для этого одни сложные финансовые сделки наслаиваются на другие. Например, для отмывания больших денежных сумм создаются фиктивные компании в странах, отличающихся строгими законами о банковской тайне или слабыми механизмами обеспечения соблюдения законодательных положений, касающихся отмывания денег. Затем «грязные» деньги переводятся из одной фиктивной компании в другую до тех пор, пока не приобретут видимость законно полученных средств [100, с. 106].

На этой стадии активно используются СЭБ (рис. 25).

На стадии интеграции преступник пытается трансформировать доходы, полученные от противозаконной деятельности, в средства, внешне имеющие легальное происхождение (деньги обычно вкладываются в бизнес, недвижимость, драгоценности и др.).

Рис. 25. Обобщенная схема отмывания денег с использованием СЭБ

Поскольку процесс отмывания денег в определенной степени базируется на используемых преступником финансовых системах и операциях, выбор конкретных механизмов ограничивается лишь его изобретательностью. Деньги отмываются через валютные и фондовые биржи, торговцев золотом, казино, компании по продаже автомобилей, страховые и торговые компании. Частные и офшорные банки, подставные корпорации, зоны свободной торговли, электронные системы и торгово-финансовые учреждения – все эти структуры могут скрывать незаконную деятельность. Далее приведем наиболее распространенные негативные последствия отмывания денег:

1. Удар по репутации банков. Бесконтрольное отмывание денег способно негативно влиять на курсы валют и процентные ставки вследствие высокой интеграции фондовых рынков. Эти деньги могут поступать в глобальные финансовые системы и подрывать экономику и валюту отдельных стран. Нужно учитывать, что проведение банковских операций через интернет позволило значительно сократить время на осуществление различных платежей.

2. Подрыв целостности финансовых рынков. Кредитные организации, полагающиеся на доходы от преступных деяний, сталкиваются с дополнительными трудностями. Например, крупные суммы отмытых денег могут поступить в банк и затем внезапно бесследно исчезнуть через электронные переводы в ответ на такие нерыночные факторы, как операции правоохранительных органов.

3. Утрата контроля над экономической политикой. В некоторых странах с формирующейся рыночной экономикой незаконные доходы могут намного превосходить государственные бюджеты, что приводит к утрате правительственного контроля над экономической политикой. В ряде случаев огромная база активов, накопленная за счет отмытых денег, может использоваться для спекулятивной скупки рынков или даже целой экономики небольшой страны.

4. Экономические деформации и нестабильность. Лица, отмывающие деньги, заинтересованы не столько в извлечении прибыли, сколько в защите доходов, поэтому направляют свои средства в области, не обязательно приносящие экономическую выгоду той стране, в которой они размещены.

5. Потеря доходов. Отмывание денег снижает налоговые доходы правительства и тем самым наносит косвенный ущерб честным налогоплательщикам (затрудняется государственный сбор налогов). Такая потеря доходов означает более высокие ставки налогообложения по сравнению с нормальной ситуацией, при которой доходы были бы законными и облагались налогами.

6. Риск для программ приватизации. Отмывание денег угрожает стремлению многих стран реформировать свою экономику путем приватизации. Преступные организации располагают финансовыми средствами, позволяющими приобретать по более высоким ценам предприятия, прежде находившиеся в государственной собственности.

7. Социальные издержки. Отмывание денег ведет к росту государственных расходов на правоохранительные органы (создание специализированных подразделений) и здравоохранение (например, лечение наркотической зависимости).

В целом отмывание денег ставит перед мировым сообществом сложную задачу, постоянно приобретающую новые формы. Характер процессов требует разработки глобальных стандартов и международного сотрудничества для уменьшения возможности преступников осуществлять свою деятельность.

Регулирующие органы рекомендуют банкам эффективнее использовать все ресурсы для выявления сомнительных операций, направленных на отмывание денег. Меры по предотвращению отмывания денег предпринимаются банками не только в соответствии с требованиями законодательства, но и в собственных интересах [97, c. 32].

В рамках проведения процедур идентификации клиентов кредитным организациям следует:

– разработать и внедрить комплексные процедуры, связанные с открытием счетов, установлением кредитных и других деловых взаимоотношений, а также совершением операций с лицами, не имеющими счетов;

– иметь данные о действительной личности клиента, пользующегося услугами банка, в том числе о подлинном владельце счета, открытого на другое имя;

– подвергать проверке данные, удостоверяющие личность, во избежание открытия счетов фиктивным пользователям;

– располагать данными о роде занятий или профессиональной деятельности клиента, об источниках его доходов, состояния или активов, а также о конкретном источнике денежных средств, вовлеченных в совершаемые через банк операции;

– знать цель, с которой открывается счет, и иметь представление о типах операций, в которые обычно вовлечен данный клиент. При открытии счета сотрудники банка должны понимать, нужно ли отнести клиента к категории высокого риска, требующей повышенного внимания.

В рамках выполнения процедуры мониторинга кредитным организациям следует:

– иметь внутренние системы для идентификации и мониторинга операций, вызывающих подозрения;

– оценивать риск, исходя из конкретных видов счетов, регионов и операций;

– обращать внимание на случаи превышения установленного денежного порога депозитов при открытии счета, а также на ежемесячные телеграфные переводы, операции с наличностью, дорожными чеками, получение кредитов и заключение сделок (включая покупку и продажу валют, опционов и драгоценных металлов) и т. п.;

– обращать внимание на усиление активности по банковским счетам, особенно тем, которые могут стать объектами сомнительных операций (офшорные и корреспондентские счета, счета небанковских финансовых институтов, политических деятелей и др.);

– установить пороговые размеры сделок и время от времени проверять их адекватность.

Отдельно следует отметить роль топ-менеджеров кредитных организаций. Они должны стремиться к постановке и практической реализации задач в области предотвращения незаконных операций и демонстрировать, что банк как субъект корпоративной культуры заботится о своей репутации не меньше, чем о прибылях, маркетинге и качестве обслуживания клиентов.

Топ-менеджерам кредитных организаций необходимо хорошо представлять, что клиенты коммерческих банков, использующие для выполнения своих операций СЭБ и занимающиеся противоправной деятельностью, могут не только нанести удар по репутации банка, но и создать для него серьезные осложнения во взаимоотношениях с регулирующими органами, вплоть до отзыва лицензии на осуществление банковских операций.

Четвертая область связана с совершенствованием профессиональной подготовки персонала банка (включая сотрудников служб внутреннего контроля) по вопросам обеспечения информационной безопасности. Учитывая заметное увеличение источников банковских рисков, основу которых составляют особенности функционирования СЭБ, специалистам коммерческих банков, в чьи функции входит управление рисками, необходимо иметь не только экономическое или юридическое, но и техническое образование, позволяющее достаточно уверенно ориентироваться в особенностях функционирования различных технологий ДБО.

Ненадлежащее обеспечение информационной безопасности СЭБ (в частности, продажа населению слабо защищенных финансовых услуг) ведет к созданию предпосылок для хищения денежных средств и финансирования криминала. Существующая динамика развития современных процессов, связанная с ростом технических возможностей, способна многократно увеличить объемы финансирования криминала. Если допустить рост хищений в больших объемах (что приведет к соизмеримости объема хищений с объемами денежных средств в госсекторе), это может быть серьезной угрозой экономической безопасности страны.

2. Кибербезопасность в условиях применения систем электронного банкинга

Кольчуга не слишком защищает от стрелы, особенно если та нацелена вам между глаз.

Терри Пратчетт, английский писатель

2.1. Парадигмы построения системы кибербезопасности

Добрые нравы имеют большую силу, чем хорошие законы.

Публий Корнелий Тацит, древнеримский историк

В современном обществе интернет и сотовая связь стали привычными каналами предоставления информационных услуг. В банковской сфере эти два способа связи легли в основу ЭБ, который является лидером среди технологий ДБО. СЭБ фактически переместили весь процесс взаимодействия кредитных организаций с клиентами в виртуальное пространство, или, другими словами, киберпространство.

Внедрение СЭБ не только значительно сокращает операционные издержки, но и является одним из основных конкурентных преимуществ кредитных организаций. В то же время, перенося бизнес в киберпространство, кредитные организации не освобождаются от ответственности за качество предоставления финансовых услуг и должны в полной мере осознавать, что сегодня компьютерные атаки кибермошенников направлены в первую очередь на СЭБ с целью кражи денег со счетов как банков, так и их клиентов.

Если рассматривать информационный контур банковской деятельности, формируемый в условиях применения СЭБ, то наиболее слабым звеном является клиент. АПО СЭБ достаточно хорошо защищено на стороне банка, но не на стороне клиента. Поэтому взломать современные системы защиты, используемые кредитными организациями, намного сложнее, чем получить доступ в личный кабинет клиента.

К основным факторам, сдерживающим развитие ДБО, можно отнести отсутствие доверия клиентов к технологиям ДБО из-за роста компьютерных атак на СЭБ (в т. ч. с использованием социальной инженерии) и низкий уровень финансовой грамотности клиентов (включая недостаточную информированность о возможностях современных технологий ДБО и способах обеспечения кибербезопасности).

Повышение уровня финансовой грамотности населения – это задача, которая должна решаться комплексно. Во многих странах с основами кибербезопасности начинают знакомить еще в начальной школе, а в университетах этот предмет является обязательным – в информационный век не может быть другого подхода.

Следует принимать во внимание, что уровень финансовой грамотности населения всегда будет уступать уровню и скорости развития мошеннических технологий. Поэтому разработчики АПО СЭБ изначально должны ориентироваться на «среднего» пользователя и обеспечивать максимальную защиту от внешних воздействий.

Минимизировать риски «успешного» воздействия компьютерных атак можно с помощью построения комплексной системы кибербезопасности в кредитно-финансовой сфере.

В основе такой системы безопасности может лежать одна из двух парадигм: парадигма защищенности или парадигма развития.

Парадигма защищенности предполагает, что основу обеспечения безопасности составляет борьба с опасностями (угрозами). Менталитет защищенности приводит к отождествлению безопасности с жизнедеятельностью, вследствие чего идея безопасности ставится во главу угла всей деятельности.

Необходимой предпосылкой обеспечения безопасности в рамках данной парадигмы является определение угроз безопасности, на устранение которых и направляется соответствующая деятельность, прежде всего специальных служб[50]50
  Эта парадигма уходит корнями в историю России. Так, система государственной безопасности СССР и деятельность КГБ были построены на этой модели. Четко просматривается эта парадигма и в начале 1990-х гг. XX в. Например, в Законе РФ от 05.03.1992 № 2446-I «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.


[Закрыть].

Парадигма развития базируется не столько на борьбе с опасностями, сколько на развитии собственных внутренних сил. И потому опасность представляет собой не только то, что отрицает существование объекта, но и прежде всего то, что угрожает его самоутверждению [69, с. 154].

В настоящее время наблюдается устойчивая тенденция смещения акцентов в деятельности по обеспечению безопасности с парадигмы защищенности на парадигму развития. Появилось понятие «безопасность через развитие». Его суть заключается в том, что обеспечение безопасности все в большей степени осуществляется через развитие и все в меньшей – через защиту[51]51
  Подтверждением этому может служить принятие ряда важнейших концептуальных документов, направленных на обеспечение разных видов безопасности Российской Федерации (в которых акценты сделаны именно на проблемах развития): Стратегии национальной безопасности Российской Федерации (2009 г.), Доктрины информационной безопасности Российской Федерации (2000 г.), Стратегии развития информационного общества в Российской Федерации (2008 г.) и др.


[Закрыть].

Система не может быть жизнеспособной, только сохраняя достигнутое, без изменений и развития, поэтому следование исключительно парадигме защищенности в действительности не укрепляет безопасность, а постепенно разрушает объект, так как он не развивает свои внутренние силы, а лишь противостоит опасностям. И наоборот – только самоутверждение, постоянное изменение без сохранения основы системы ставят под удар существование последней. Таким образом, парадигмы защищенности и развития должны не исключать, а дополнять друг друга. Именно такого подхода необходимо придерживаться при построении комплексной системы кибербезопасности в кредитно-финансовой сфере.

Очевидно, что большая работа должна быть проведена регулятором. Как минимум он должен обеспечить определение необходимых условий ведения банковского бизнеса в киберпространстве и разработать рекомендации по снижению рисков для кредитных организаций.

В условиях применения СЭБ в ряде случаев в пользу киберпреступников работают:

– стремительная скорость устаревания техники. Именно поэтому многие успешные компьютерные атаки реализовываются при запуске новых банковских сервисов (речь идет об атаках «нулевого дня» – когда атака уже реализуется, а противоядие еще не найдено; такие атаки наносят самый большой вред);

– безграничность интернета и неадекватность нормативно-правовой базы, регулирующей информационные потоки. В связи с этим чрезвычайно сложно идентифицировать киберпреступников (особенно если они находятся на территории офшорных государств, где действует запрет на выдачу определенной информации).

Очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки – это комбинации различных методик. Использование только традиционных систем обеспечения информационной безопасности (ИБ), таких как сигнатурные антивирусы, не дает надежной защиты от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие выдумывают и создают все новые технологии и схемы.