1.2 Риски, связанные с использованием технологий дистанционного банковского обслуживания и меры их предотвращения
Проблематика банковских рисков привлекает внимание органов банковского регулирования и надзора разных стран уже довольно давно, и попытки их подробного описания и анализа имели место задолго до начала эры ДБО. Внедрение в банковскую деятельность технологий и систем ДБО усугубило ситуацию в том плане, что на этой волне стали возникать как бы все новые и новые виды банковских рисков, из-за чего и без того не законченная методология, охватывающая выявление, оценивание, анализ, мониторинг банковских рисков и управление ими, стала размываться, затрудняя ее практическое использование. Несмотря на то, что теоретические разработки в области рисков банковской деятельности, ведутся уже более 20 лет, законченной или даже сколько-нибудь полной «теории» этих рисков до настоящего времени не создано -- проработаны только отдельные направления. В основном такие разработки были посвящены кредитному, процентному, ценовому, валютному рискам или совокупности последних, определяемых как рыночный риск, а также риску ликвидности. Мало того, практически каждый из зарубежных органов банковского регулирования и надзора до последнего времени формировал свою собственную теорию, причем общее число банковских рисков варьировалось от полутора десятков до одного (операционного, поглощавшего все остальные). Между тем, с течением времени и развитием банковских информационных технологий этим дело не ограничилось, поскольку возникли новые компоненты банковских рисков, уже технологического характера, которые стали вносить существенные коррективы в теоретические подходы к анализу рискованности банковской деятельности. Вследствие этого в последних по времени выпуска материалах БКБН, посвященных основным принципам управления рисками в условиях применения электронного банкинга, стали фигурировать еще и такие риски, как:
- деловой;
- безопасности;
- хищений идентификационных данных;
- мошеннических действий со счетами;
- отмывания денег;
- обезличивания индивидуальности;
- отрицания транзакций,
В некоторых других материалах БКБН говорится еще и о так называемых рисках, «характеризующих электронную обработку данных в банках», а именно:
- риск непредусмотренного раскрытия информации;
- риск ошибок;
- риск мошенничества;
- риск прерывания операций;
- риск неэффективного планирования;
- риски, связанные с действиями клиентов.
Основным риском при использовании ДБО является риск получения злоумышленником несанкционированного доступа к управлению счетом Клиента и к документам Клиента, передаваемым в Банк через ДБО. Последствиями несанкционированного доступа могут быть списание денежных средств со счета Клиента или утечка конфиденциальной информации о совершаемых Клиентом операциях.
Меры по предотвращению несанкционированного использования клиентского рабочего места ДБО клиенту, для снижения возможного риска несанкционированного использования рабочего места ДБО и списания третьими лицами денежных средств со счета Клиента, необходимо:
- Соблюдать правила пользования ДБО, в т.ч. знакомиться с информацией и материалами, касающимися работы ДБО на сайте Банка.
- Использовать услугу в виде возможности подключения к ДБО только c определенных IP-адресов компьютеров Клиента и/или информирование о входе в ДБО, посредством технологии сотовой связи - службы коротких сообщений (СМС).
Выполнять следующие организационные и технические меры:
- минимизировать количество пользователей, которые имеют право доступа к компьютеру с установленным рабочим местом ДБО, ограничив его кругом лиц, непосредственно использующим ДБО;
- осуществлять оценку деловой репутации пользователей, имеющих доступ к ДБО;
- использовать на компьютерах только лицензионное программное обеспечение;
- регулярно обновлять операционную систему и используемое для работы с ДБО программное обеспечение. Установку обновлений необходимо проводить только с официальных сайтов разработчиков соответствующего программного обеспечения;
- установить на компьютерах систему антивирусной защиты. Обновление баз данных антивирусных программ должно осуществляться ежедневно, либо по мере выхода новых официальных версий баз данных;
- использовать сетевые экраны при выходе в сеть Интернет, разрешив доступ только к доверенным ресурсам сети Интернет. Запретить в межсетевом экране соединение с сетью интернет по протоколам ftp, smtp. Разрешить соединения по протоколу smtp только с конкретными почтовыми серверами, на которых зарегистрированы почтовые ящики клиента;
- при работе с электронной почтой не открывать письма и прикрепленные к ним файлы, полученные от неизвестных отправителей, не переходить по содержащимся в таких письмах ссылкам. Наилучшей практикой является отказ от использования электронной почты на компьютерах с установленными рабочими местами ДБО;
- не использовать права администратора при отсутствии необходимости. В повседневной практике входить в систему как пользователь, не имеющий прав администратора;
- включить системный аудит событий, регистрирующий возникающие ошибки, вход пользователей и запуск программ, периодически просматривать журнал регистрации и реагировать на ошибки;
- использовать для размещения закрытых ключей ЭП только внешние извлекаемые носители информации. Использование в качестве места хранения ключевой информации реестра или жесткого диска компьютера увеличивает риск хищения закрытой части ключа ЭП;
- извлекать ключевой носитель сразу после окончания сеанса работы с ДБО;
- хранить ключевой носитель в недоступном для посторонних месте, например, в сейфе;
- не использовать ключевой носитель для иных, кроме работы с ДБО, целей, например, для хранения файлов, электронных документов и т.п;
- не передавать ключи ЭП и не сообщать логин и пароль доступа к ДБО третьим лицам;
- не использовать компьютер, на котором установлено рабочее место ДБО, не по назначению, например, для игр, просмотра фильмов и т.п;
- в случае если компьютер установлен внутри локальной сети организации, провести мероприятия по защите локальной сети от несанкционированных воздействий со стороны сети Интернет;
В случае подозрения на несанкционированный доступ к компьютеру, с установленным рабочим местом ДБО или установлении фактов компрометации закрытой части ключа ЭП:
- срочно связаться с Банком и проинформировать об имеющихся подозрениях или фактах;
- проверить легитимность всех выполненных за последнее время платежей;
- направить в Банк заявление о блокировке операций по ДБО;
- произвести смену ключей ЭП;
Среди факторов, которые сдерживают развитие ДБО, наверное, самым серьезным препятствием является недостаток доверия со стороны клиентов к дистанционным операциям и отсутствие должного обеспечения информационной безопасности при их совершении. Особенно если учесть тот факт, что в последнее время участились попытки неправомерного получения персональной информации пользователей систем ДБО: логинов, паролей, секретных ключей средств шифрования и аналогов собственноручной подписи, PIN-кодов платежных карт и т.д.
Если говорить об утечке информации при ДБО, то здесь возникает два вида рисков: со стороны клиентов и со стороны банков. Характерным примером «клиентских рисков» может быть ситуация, когда пользователь вводит пароль в неправильном месте или оставляет его в системе сохраненным и тем самым дает возможность злоумышленникам воспользоваться им, рассказывает заместитель председателя правления банка «АБ Финанс» Леонид Морозовский. «Клиентские риски также связаны с недостаточно безопасными способами авторизации: когда у пользователя нет карточки паролей либо его доступ в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-либо и который кто-то может увидеть», - говорит Леонид Морозовский. Эксперт считает, что при ДБО имеют место в основном клиентские риски, связанные с тем, что банк не предусмотрел эффективной технологии защиты информации.
Второй вид рисков при ДБО - банковские риски - возникают в случае, когда утечка информации происходит на этапе передачи данных в кредитную организацию. Сейчас такие случаи очень редки, поскольку финансовые учреждения располагают достаточными ресурсами для того, чтобы защитить информационные системы. Если работа, которая ведется банком в данном направлении, выстроена грамотно, такие риски минимальны.
Борьба с мошенничеством при удаленном обслуживании клиентов.
72% опрошенных в ходе исследования российских банков заявили, что используют в целях противодействия мошенничеству Antifraud-системы. В 61,1% из них установлены промышленные решения, 54,2% используют Antifraud-системы собственной разработки, 44,4% - решения в рамках АБС. Наиболее популярными промышленными системами противодействия мошенничеству являются решения компании BSS - они внедрены в 25% банков, использующих подобные решения. На втором месте решения компании RSA (10,2%), на третьем - компании «Бифит» (9,1%). 43,2% используемых промышленных Antifraud-систем остались неизвестны, так как банки отказались назвать их разработчика. Основные результаты исследования свидетельствуют о стабилизации ситуации на рынке ДБО - уровень проникновения ДБО и доли основных игроков почти не меняются. При этом очевиден качественный рост дистанционного банковского обслуживания и для юридических, и для физических лиц.
Основные тенденции:
- растет число мобильных приложений для разных мобильных платформ, появляются мобильные решения для юридических лиц;
- более чем в 2 раза, по сравнению с 2013 годом, выросло предложение дополнительных сервисов в рамках ДБО для юридических лиц (электронный документооборот, электронная бухгалтерия, доступ к государственным и муниципальным услугам, сдача отчетности в ФНС России, ПФР, Росстат);
- растет и расширяется предложение дополнительных сервисов в рамках ДБО для физических лиц;
- большинство (72%) банков используют в целях противодействия
мошенничеству Antifraud-системы.
- Введение
- Глава 1. Теоретические аспекты организации деятельности коммерческих банков по оказанию услуг дистанционного обслуживания
- 1.2 Риски, связанные с использованием технологий дистанционного банковского обслуживания и меры их предотвращения
- Глава 2. Анализ и перспективы развития дистанционного банковского обслуживания в РФ и за рубежом
- 2.1 Анализ российского рынка дистанционного банковского обслуживания
- 2.2 Уровень проникновения систем ДБО юридических и физических лиц
- 2.3 Основные проблемы и направления развития электронных банковских услуг на российском рынке
- Заключение
- Дистанционное обслуживание
- Дистанционное обслуживание клиентов коммерческими банками
- «Дистанционное банковское обслуживание».
- Системы дистанционного банковского обслуживания
- 5.1. Понятие и виды дистанционного банковского обслуживания
- 64 Дистанционное банковское обслуживание
- 1.3 Основные тенденции развития рынка дистанционного банковского обслуживания в зарубежных странах
- Дистанционное банковское обслуживание
- 3.3 Предлагаемые мероприятия по совершенствованию электронных каналов продаж и обслуживания банковских продуктов, входящих в систему дистанционного банковского обслуживания