Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"
Автор книги: авторов Коллектив
Жанры:
Личные финансы
,сообщить о нарушении
Текущая страница: 8 (всего у книги 22 страниц)
В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:
– программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;
– порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;
– порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;
– политика подбора надежного персонала;
– порядок ограничения использования мобильных носителей информации;
– порядок сбора информации о совершении компьютерных мошенничеств;
– порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;
– порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;
– порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;
– порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;
– порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);
– порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;
– порядок ведения, использования и защиты компьютерных журналов;
– порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);
– порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;
– порядок ведения претензионной работы с удаленными клиентами;
– соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;
– порядок мониторинга профилей операционной деятельности клиентов;
– порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;
– порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.
Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.
Суммируя сказанное выше касательно технических мероприятий, необходимо также:
– разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;
– применение средств обнаружения сетевого мониторинга (sniffing’a);
– применение межсетевых экранов при соединении сегментов сетей;
– применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;
– применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;
– проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;
– ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;
– ведение системных журналов регистрации доступа клиентов банка – пользователей СЭБ к информационно-процессинговым ресурсам этих систем;
– проведение проверок отсутствия возможностей использования на функциональных автоматизированных рабочих местах устройств дистанционного доступа (точки доступа беспроводных сетей, модемы и др.);
– осуществление обязательного контроля над установкой и модификацией программных средств в банке и т. д.
В целом уместно было бы поддерживать также адекватный «арсенал» средств для проведения непосредственно в кредитной организации криминалистической компьютерной экспертизы, имея в виду технические средства и приемы, так как формирование в ее структуре полноценного следственного подразделения вряд ли экономически целесообразно – важно как минимум располагать средствами для фиксации улик и свидетельств внутрисистемного аудита. Поскольку преступники меняют тактику, необходимо понимать их действия и знать, чем именно мошеннические действия отличаются от типовых действий и привычек обычных клиентов. В общем случае, как уже отмечалось ранее, для того чтобы поймать преступника, уместно думать так же, как преступник, при этом руководству кредитной организации следует учитывать, что наилучший подход для осознания угроз ее информационным системам состоит в их оценивании с точки зрения злоумышленника, который к тому же будет стараться скрыть следы своих действий. Итак, при организации противодействия ППД целесообразно реализовать следующие этапы:
– определение в соответствии с установленным порядком причины проведения расследования или соответствующее обоснование;
– определение того, насколько реально проведение эффективного расследования или доведение его до логического завершения;
– определение состава и сбор свидетельств, их сохранение, оформление и систематизация;
– комплексный анализ свидетельств и составление перечней свидетелей, объектов и процедур, относящихся к расследованию;
– подготовка отчета о результатах проведенного расследования и, при необходимости, представление его следственным органам.
Соответствующий набор методов, алгоритмов и средств их реализации целесообразно продумывать для каждой внедряемой ТЭБ (и даже ее однородных вариантов!), так как в противном случае противодействие возможной ППД окажется неэффективным. Излишне говорить о крайней желательности документарного оформления перечисленных мероприятий и такого же «циклического» пересмотра содержания этих документов, порядков, процедур, аналогичных инструкций на предмет актуальности и адекватности реальной ситуации в банке, наращивающем свои «технологические мускулы».
3.4. Особенности организации претензионной работы при применении технологий электронного банкинга
Наряду с изложенным в предыдущих подразделах, весьма важным для банков, переходящих к ДБО, становится внедрение эффективной политики осуществления претензионной работы в отношении клиентов, взаимодействующих с банками дистанционно, а также обеспечение гарантий защиты их интересов. При этом в общем случае необходимо учитывать, что применение разнородных ТЭБ заведомо приводит к различию и в процедурах разрешения конфликтных ситуаций, и в порядке и правилах реализации киберправосудия, и в составе информации, которую, возможно, при необходимости потребуется предоставлять правоохранительным органам и которая, не исключено, будет фигурировать и в ходе последующих судебных разбирательств (имея в виду все варианты ППД). С учетом сказанного выше, руководству банков следует чрезвычайно внимательно относиться к качеству договорных документов с клиентами, включая в их текст детальные описания состава упоминавшейся в подразделе 3.1 доказательной базы и обеспечения ее юридической силы, которые одновременно будут понятны клиентам ДБО и не вызовут разночтений в случаях предъявления судебных исков.
Это же относится к описанию процедур, реализуемых так называемыми конфликтными комиссиями, требований к их составу и квалификации соответствующих специалистов, равно как и определению того, какую юридическую силу будут иметь экспертные заключения такой комиссии в случае, если дело дойдет до судебного разбирательства[91]91
Следует отметить, что в договорных документах на ДБО конфликтные и согласительные комиссии упоминаются часто, однако, как правило, чисто формально, без описания условий их деятельности и того, чего будут стоить их экспертные заключения в судебных разбирательствах.
[Закрыть]. Такую же информацию целесообразно отражать и в текстах договоров на ДБО (контрактов, дополнительных соглашений к договору банковского счета и т. п.), а также убеждаться в том, что каждый клиент ДБО ознакомлен с перечисленными видами информации, ответственно подписывает содержащий ее правоустанавливающий документ и подтверждает согласие на использование соответствующих порядков и правил в случаях, когда возникает необходимость в разрешении конкретных – зафиксированных документально – спорных (конфликтных) ситуаций, в том числе при возникновении угроз возбуждения судебных исков[92]92
Лямин Л.В. Особенности претензионной работы при электронном банкинге // Банковское дело. 2012. № 11. С. 46–50.
[Закрыть].
Разрешение «цифровых» аспектов многих современных преступлений требует участия опытных специалистов по криминалистической экспертизе, владеющих необходимыми навыками сбора и анализа улик, содержащихся в компьютерах, а в настоящее время такие аспекты содержатся почти в каждом преступлении, связанном с хищением финансовых средств или конфиденциальной информации, равно как и расследованием инцидентов ПОД/ФТ в целом. В компьютерах разного рода, мобильных телефонах, коммуникаторах, PDA[93]93
Personal Digital Assistant – личный цифровой помощник, своего рода микрокомпьютер.
[Закрыть], компьютерных планшетах и других электронных устройствах часто хранится информация, которая может оказаться полезной для хода расследования (равно как и в сообщениях электронной почты)[94]94
В случаях расследования компьютерных преступлений ее и взять-то зачастую оказывается больше неоткуда.
[Закрыть]. Специалисты, первыми прибывающие на место преступления (а затем и следователи), должны уметь распознавать потенциальные «цифровые» улики и знать, как сохранить их для анализа экспертов.
Состав таких улик в зависимости от конкретных применяемых ТЭБ варьируется, что прямо сказывается как на формировании подмножеств данных, используемых в составе СИ, так и на видах сведений, предоставляемых тем, кто расследует те или иные компьютерные преступления, совершаемые в банковском секторе (инсайдерами банков, крэкерами в отношении банков или хакерами в отношении клиентов ДБО и пр.). К сожалению, до настоящего времени для российской финансовой сферы не разработаны какие-либо нормативные правовые акты, которые хотя бы в общих чертах регламентировали бы организацию специализированных внутрибанковских процедур, ориентированных на предупреждение и обеспечение расследования возможной ППД. Поэтому с формальной точки зрения банки, к сожалению, не обязаны именно пруденциальным образом организовывать и контролировать действия своих удаленных клиентов и провайдеров (входящих в каждый конкретный ИКБД) в связи с теми или иными сомнительными ситуациями (которые впоследствии могут привести как к финансовым, так и к правовым проблемам). Ниже приведен ориентировочный (и заведомо неполный, хотя вполне пригодный для использования) перечень процедур такого рода:
– осуществление многофакторной идентификации клиентов ДБО (включая отслеживание их перемещений);
– сопоставление IP-адресов, с которых поступают ордера клиентов;
– обоснованное блокирование счетов подозрительных клиентов;
– предупреждение и парирование возможных ошибок клиентов, – оперативное реагирование на противоречивые ситуации с клиентами ДБО;
– разработку инструкций для операторов колл-центра с описанием вариантов мошенничеств и оперативного реагирования на них;
– определение в договорах с клиентами ДБО мер безопасности;
– определение в контрактах с провайдерами условий аутсорсинга;
– изучение информационных технологий, используемых провайдерами;
– проверку технологической надежности и безопасности провайдеров;
– использование процедур аутентификации различных информационных сообщений (включая ордера клиентов, сеансовые пароли и пр.);
– принятие конкретных мер по предотвращению мошенничеств, а также установлению ограничений на действия клиентов ДБО;
– определение возможностей обнаружения программ-шпионов, программ-вирусов и другого вредоносного программного обеспечения;
– принятие конкретных мер по обеспечению доступности, функциональности и информационной безопасности ДБО;
– сопоставление номеров телефонов, с которых к клиентам обращаются якобы сотрудники банка или Банка России;
– информирование правоохранительных органов о подозрительных номерах телефонов, с которых клиентам звонят злоумышленники;
– информирование клиентов ДБО о системах провайдеров и их функциях (как минимум связанных с передачей чувствительных данных);
– угрозах, связанных со «странными» телефонными звонками, сообщениями о поступлении MMS, интернет-сообщениями неясного происхождения.
Тем не менее каждое из подобных мероприятий прямо связано с обеспечением гарантий выполнения кредитными организациями обязательств перед своими клиентами и защитой их интересов. Некоторое содействие в плане сохранения СИ в связи с принятием Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» могут оказать отдельные выпущенные «под него» подзаконные акты Банка России, например, Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Однако указанный закон, к сожалению, тоже страдает неполнотой с точки зрения защиты интересов клиентов кредитных организаций, в частности клиентов ДБО.
К претензионной работе имеют отношение многие современные негативные явления, связанные с прямыми и косвенными атаками на клиентов ДБО кредитных организаций, о чем, вообще говоря, целесообразно было бы ставить в известность таких клиентов. Например, в Письме Банка России от 25.06.2009 № 76-Т «О рекомендациях по информированию клиентов о размещении на веб-сайте Банка России списка адресов веб-сайтов кредитных организаций» сообщалось о «появлении в российском сегменте сети Интернет веб-сайтов, имитирующих интернет-представительства ряда российских кредитных организаций. Доменные имена и стиль оформления таких сайтов, как правило, сходны с именами подлинных веб-сайтов банков, а содержание прямо указывает на их якобы принадлежность соответствующим кредитным организациям. При этом посетителям таких веб-сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация. Использование подобных реквизитов, а также вступление в какие-либо деловые отношения с лицами, фактически представляющими “ложные” банки, связано с риском и может привести к нежелательным последствиям для клиентов кредитных организаций». В связи с этим «в целях противодействия распространению подобных негативных явлений Банк России, начиная с 11.06.2009, приступил к регулярному размещению на своем веб-сайте… списка адресов (доменных имен) официальных веб-сайтов кредитных организаций».
Одновременно отмечалось, что «Банк России считает целесообразным рекомендовать кредитным организациям предупреждать клиентов о распространении в сети Интернет недостоверной информации об интернет-ресурсах кредитных организаций, а также информировать их о размещении списка адресов официальных веб-сайтов кредитных организаций на веб-сайте Банка России. Кредитным организациям рекомендуется подготовить и распространить среди клиентов памятку, содержащую исчерпывающую контактную информацию, рекомендации по безопасному использованию банковских интернет-технологий, а также предложения клиентам информировать кредитную организацию о самостоятельно выявленных ложных веб-сайтах банка или о полученных сведениях подобного рода по электронной почте или иным способом. При наличии в распоряжении кредитной организации сведений об установленных ложных веб-сайтах, списки их адресов также целесообразно доводить до клиентов, в том числе путем публикации на официальных интернет-представительствах кредитной организации».
К сожалению, из-за недостатков действующего законодательства Банк России не имеет возможности полноценного регулирования всех процедур организации, управления и контроля ДБО, а также обеспечения его надежности (в широком смысле), вследствие чего кредитные организации вынуждены решать многие из таких вопросов самостоятельно, почему в упоминавшемся Письме Банка России 36-Т[95]95
Его содержание уместно трактовать в отношении всех ТЭБ, а не только технологии интернет-банкинга, фигурирующей в названии данного документа, – это несложно, причем без потери общности содержания данного документа Банка России, поскольку он носит общий характер и может быть использован в приложении к любой ТЭБ.
[Закрыть] и содержится достаточно обширный 5-й раздел, где описываются информационные компоненты, которые целесообразно использовать руководству этих организаций при принятии бизнес-решений в области ДБО. Указанные там информационные компоненты охватывают широкий круг вопросов от управления банковскими рисками в связи с применением ТЭБ и технического обеспечения ДБО до сведений о негативных ситуациях, имевших место при использовании СЭБ (по пяти направлениям информирования). Поэтому 5-й раздел Письма Банка России 36-Т уместно использовать в качестве информационной основы для принятия указанных решений.
Наиболее современный подход к аналитической работе в кредитных организациях связывается с применением технологий так называемых систем поддержки принятия решений (СППР), в которых по существу реализуются элементы так называемого искусственного интеллекта. Это направление идеологически и алгоритмически сходно с другим его направлением – «экспертными системами», давно используемыми в банковских секторах западных стран в аналитических целях (как центральными банками, так и банковским сообществом). Экспертные системы применяются в аналитических целях для поиска решений, требующих комплексного когнитивного анализа информации (например, об уровнях банковских рисков, в целях комплайенс-контроля и др.). Такие системы позволяют использовать обширные информационные базы фактов, так называемые базы знаний и механизмы логического вывода, с помощью которых обеспечивается некий минимальный уровень экспертизы, который в условиях крупномасштабной и многогранной банковской деятельности обеспечить затруднительно в силу сложностей с аналитической обработкой огромных массивов данных, особенно разрозненных[96]96
Это тем более справедливо при большом количестве клиентов банка, в случаях применения технологий «хранилищ данных» и углубленного анализа данных, а также разработки моделей угроз, составления шаблонов или образов (patterns) действий клиентов, мошеннических действий, сетевых и вирусных атак и т. д.
[Закрыть]. В качестве примеров можно привести функции любого колл-центра и службы поддержки клиентов крупной кредитной организации, формирование, сохранение и аналитическое применение так называемых паттернов (шаблонов, образов) действий клиентов и мошенников (благо для финансового сектора существует уже немало таких разработок, предлагаемых на различных форумах, в том числе банковских). Комплексный анализ такого рода имеет непосредственное отношение к исключению возможностей осуществления и предотвращению ППД, которая далеко не исключена при ДБО, и расследованию ее инцидентов.
СППР обычно комбинируются с хранилищами данных, то есть базы данных используются для принятия фундаментальных бизнес-решений, в том числе за счет так называемого глубокого комплексного анализа данных (что в зарубежной литературе определяется как data-mining). В таких случаях весьма важно, чтобы руководство кредитной организации могло полагаться на точность, полноту, целостность, конфиденциальность и актуальность этих систем, тем более что в условиях массового обслуживания и лавинообразного роста количества ордеров удаленных клиентов СППР (или сходная с ней экспертная система, обеспечивающая минимально необходимый уровень квалификации для принятия решений) может оказаться незаменимым вариантом информационно-аналитической работы персонала и руководства высокотехнологичного банка, в том числе в плане УНТ, управления и контроля функционирования СЭБ. Для полноценной работы СППР требуется полноценное сохранение сведений о поступающих в обработку ордерах клиентов, направляемых в банк в ходе сеансов ДБО, в течение каждого сеанса такого обслуживания каждого клиента с момента начала сеанса и до момента завершения (прерывания) сеанса ДБО. Одновременно необходимо отметить, что банкам целесообразно организовывать комплексный анализ самих ордеров клиентов, в котором используются и данные СИ, поскольку в случае использования многоканальных СЭБ, в особенности с децентрализованной (или распределенной) архитектурой, возможны ситуации пропуска противоправных (или сомнительных) действий клиентов через разные каналы доступа к информационно-процессинговым ресурсам банка, через разные филиалы, дополнительные офисы и т. п.
В завершение настоящего раздела необходимо отметить, что в условиях полностью компьютеризованной современной банковской деятельности и в том числе ДБО руководству высокотехнологичных банков целесообразно было бы формировать в их структуре специальные подразделения (лучше – действующие на постоянной основе), в которые входили бы специалисты с подготовкой по ИТ, ОИБ, экономической безопасности, ФМ, ВК, УБР, правовому обеспечению и, возможно, с другими видами квалификации. Тремя основными задачами таких подразделений можно было бы считать:
1) организацию противодействия возможной ППД в киберпространстве банковской деятельности (включая ЛВС банка);
2) обеспечение проведения расследований инцидентов, связанных с такой деятельностью (отмывание денег, мошенничества, хищение информации);
3) взаимодействие с правоохранительными органами в ходе и по результатам таких расследований (если речь идет об уголовном преследовании).
В самом банке целесообразно организовать специальное взаимодействие между структурными подразделениями, которые имеют прямое отношение к рассмотренной проблематике, что может быть сделано по аналогии с рассмотренным выше взаимодействием в части обеспечения и реализации ВК (рис. 3.6).
Рис. 3.6. Взаимодействие структурных подразделений кредитной организации в рамках противодействия ППД
Приведенная на рисунке 3.6 схема не является исчерпывающей и может быть расширена в зависимости от структуры конкретной кредитной организации, видов и масштабов ее деятельности, типов/вариантов ДБО и СЭБ и т. д. Требуемые дополнительные функции указанных подразделений, равно как и детали информационного взаимодействия между ними, вполне очевидны из вышеизложенного и поэтому здесь не комментируются. Описанное взаимодействие целесообразно отразить в соответствующих распорядительных документах и порядках кредитной организации, а также закрепить в положениях об этих подразделениях и в должностных инструкциях их сотрудников.
Обоснованность, полноту, качество реализации и контролируемость соответствующих функций с течением времени целесообразно проверять, в том числе исходя из оценивания их адекватности тем новым способам и условиям банковской деятельности, которые привносят вместе с собой новые технологии и системы ДБО[97]97
См. также: Лямин Л.В. Новые аспекты корпоративного управления в условиях использования электронного банкинга // Управление в кредитной организации. 2012. № 3. С. 40–52.
[Закрыть]. В документах БКБН вообще рекомендуется регулярно (ежегодно) оценивать реализацию основных внутрибанковских процессов (управления, контроля, документарного обеспечения, применения ИТ, ОИБ, ВК,ФМ, УБР, взаимодействия с провайдерами и др.) с точки зрения их адекватности способам и условиям банковской деятельности и при необходимости осуществлять их адаптацию, если становятся очевидными какие-либо недостатки в их содержании и организации. Это целесообразно делать с учетом развития банковского бизнеса, внедрения новых сервисов и реализующих их автоматизированных систем и систем электронного банкинга, а также расширяющегося ИКБД. Тем самым может быть сформирована полноценная основа, как информационная, так и операционная, для осуществления эффективной претензионной работы с клиентами ДБО, ориентированной прежде всего на защиту их законных интересов.
Наконец, необходимо помнить о том, что любая методология анализа банковских рисков с течением времени устаревает. Точно так же устаревают и те или иные приемы противодействия ППД, мало того, приходится разрабатывать новые подходы к такому противодействию с учетом постоянно развивающихся технологий и появления новых вариантов предоставления банковских сервисов, особенно в рамках мобильного банкинга, который, не исключено, постепенно вытеснит развитые в настоящее время способы ДБО. В постоянном обновлении банковских технологий, целенаправленном повышении надежности реализующих их автоматизированных систем и совершенствовании противодействия ППД заключается залог надежности современной и перспективной банковской деятельности.