Кибербезопасность в условиях электронного банкинга. Практическое пособие
Шрифт:
Для того чтобы любая технология получила широкое распространение, а самое главное – доверие со стороны клиентов, должны выполняться по крайней мере три условия:
– она должна быть легальной (т. е. иметь правовые основания для использования [1] );
– она должна быть безопасной (иначе сложно рассчитывать на доверие к ней со стороны клиентов);
– она должна «хорошо продаваться» (т. е. быть привлекательной для бизнеса – приносить прибыль).
Применяя такой подход к технологиям дистанционного банковского обслуживания, можно сказать, что с правовой точки зрения препятствий для внедрения и использования
1
В ряде случаев вводят так называемый «режим регуляторной песочницы».
В рамках обеспечения безопасности многие кредитные организации стараются использовать комплексный подход, применяя различные меры на всех этапах жизненного цикла систем электронного банкинга. Однако возрастающая активность киберпреступников, которые используют различные способы получения конфиденциальной информации (в т. ч. применяя методы социальной инженерии), и недостаточный уровень финансовой грамотности и киберграмотности граждан не позволяют считать технологии дистанционного банковского обслуживания в полной мере безопасными. Минимизировать сопутствующие риски можно только за счет успешного решения всех задач, связанных с должным уровнем кибербезопасности, как на стороне банков, так и на стороне их клиентов (при непосредственном участии всех регулирующих органов).
Добавим, что сегодня для развития технологий дистанционного банковского обслуживания (включая системы электронного банкинга) складываются достаточно хорошие условия. Повсеместно растет число клиентов, которые ежедневно пользуются одним из видов электронного банкинга, заметно улучшаются качество работы и безопасность самих банковских веб-приложений.
Возвращаясь к проблеме обеспечения кибербезопасности, можно сказать, что она является основной для успешного внедрения и распространения технологий дистанционного банковского обслуживания. Именно от уровня обеспечения кибербезопасности зависит доверие клиентов как к отдельным элементам систем электронного банкинга, так и ко всей банковской системе Российской Федерации.
Обеспечение кибербезопасности (или, другими словами, безопасности в киберпространстве) включает в себя целый комплекс организационных и технических мероприятий. Но помимо этого надо минимизировать сопутствующие риски, которые возникают при использовании технологий дистанционного обслуживания.
Данная коллективная монография – это попытка рассмотреть наиболее характерные источники рисков, возникающие в условиях применения систем электронного банкинга, и предложить меры по снижению возможных негативных последствий их проявления. Также мы попытались оценить возможные сценарии развития технологий и социального поведения, существенно влияющие на природу и масштабы таких рисков. Книга не претендует на полное рассмотрение всех возможных угроз и сопутствующих рисков, связанных с внедрением в кредитных организациях систем электронного банкинга, однако может оказать помощь менеджерам банков, специалистам риск-подразделений и служб внутреннего контроля в разработке внутренних методических документов, направленных на минимизацию возможных последствий проявления источников рисков, связанных с использованием систем электронного банкинга.
П.В. Ревенков,
доктор экономических
профессор кафедры «Информационная безопасность» Финансового университета при Правительстве Российской Федерации
1. Электронный банкинг и риски недостаточного обеспечения информационной безопасности
В природе ничего не возникает мгновенно и ничто не появляется в свет в совершенно готовом виде.
Введение
Настанет время, когда наши потомки будут удивляться, что мы не знали таких очевидных вещей.
Электронный банкинг (ЭБ) – один из самых динамично развивающихся видов дистанционного банковского обслуживания (ДБО) [2] . Получив широкое распространение в Америке и Европе, ЭБ завоевывает и российский рынок.
2
Как правило, под ДБО понимают совокупность методов предоставления банковских услуг с помощью средств телекоммуникации, при использовании которых присутствие самого клиента в банке не требуется.
Вот только самые известные преимущества, которые получает клиент кредитной организации, использующий для совершения своих банковских операций системы ЭБ (СЭБ):
– нет необходимости посещать банк лично и можно контролировать свои счета или управлять ими в режиме «24/7» (т. е. круглосуточно 7 дней в неделю);
– ряд кредитных организаций устанавливают продленный режим операционного дня и все платежи (зачисления и списания), поступившие в банк до 18:00 по московскому времени, исполняются банком в этот же операционный день;
– вся информация по счетам и операциям хранится на сервере кредитной организации и всегда доступна для пользователей СЭБ;
– для защиты информации используются современные средства криптографической защиты;
– разработчики большинства программных продуктов СЭБ производят обновление своих программ автоматически (не требуется обращения в кредитную организацию) [103, с. 172].
Внедрение данной услуги обходится кредитной организации относительно недорого и в дальнейшем быстро окупается только за счет абонентской платы.
Однако, несмотря на очевидную привлекательность такого способа совершения банковских операций, как у кредитной организации, так и у ее клиентов возникает немало дополнительных источников банковских рисков. Основными причинами этого являются:
– виртуальный характер дистанционных банковских операций;
– общедоступность открытых телекоммуникационных систем;
– предельно высокая скорость выполнения транзакций;
– глобальные масштабы межсетевого операционного взаимодействия;
– активное участие фирм – провайдеров услуг в проведении операций.
Таким образом, организации кредитно-финансовой сферы должны постоянно совершенствовать свои системы информационной безопасности, а специалистам риск-подразделений необходимо учитывать возможные последствия проявления рисков, связанных с работой в киберпространстве, и своевременно принимать меры по минимизации негативных последствий.
1.1. Интернет и банковский бизнес