Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
Приведенные данные свидетельствуют о том, что имеет место однонаправленный процесс перехода банковской деятельности в так называемое виртуальное пространство (или, иначе, киберпространство), а значит, тем самым подтверждается справедливость слогана «Не будет банкинга, кроме электронного банкинга, а мобильный банкинг — предел его» [34] . Этому, кстати, способствует и ориентация Министерства финансов России на перевод крупных платежей в упомянутое киберпространство безналичных карточных операций. Вместе с тем в этом пространстве наряду с легитимными клиентами высокотехнологичных кредитных организаций стали активно действовать и преступные группировки, в том числе межрегиональные и международные, равно как и отдельные лица, характеризуемые «криминальным мышлением». Вследствие этого негативного явления практически каждая СЭБ, формирующая своего рода «виртуальные ворота» в банк, превратилась в объект виртуальных атак на банки и их клиентов, приводящих к вполне реальным финансовым потерям, в совокупности исчисляемыми миллиардами рублей. Следствием этого стала дополнительная и весьма серьезная нагрузка как на Банк России (в форме многочисленных жалоб клиентов), так и на правоохранительные органы и, соответственно, судебную систему.
34
Лямин Л.В. Применение технологий электронного банкинга: рискориентированный подход. — М., КНОРУС; ЦИПСиР, 2011.
Безусловно, банки всегда подвергались
35
Financial Crimes Enforcement Network (Сеть для противодействия финансовым преступлениям — специальное бюро в Казначействе СИТА).
Ввиду этого в современных банках неизбежно внедрение специальных процедур для адекватного реагирования на возможную противоправную деятельность (ППД), осуществляемую с помощью ТЭБ. Поэтому и необходим анализ и практический учет новых потенциальных угроз, связанных с этими технологиями, а также сценариев их возможной реализации с оценкой последствий. Следует отметить, что в силу неразвитости отечественного законодательства в области так называемых электронных финансов [36] последующее изложение ведется с позиций организации противодействия на основе риск-ориентированного подхода.
36
Насколько известно автору, проект соответствующего федерального закона был разработан еще в 2000 г. и «хранится» в Государственной думе, однако дальше дело, похоже, так и не пошло, тогда как во многих цивилизованных странах законодательные акты такого рода работают давно и успешно.
Начать такой анализ уместно с рассмотрения общей картины усложнения структуры типичных банковских рисков [37] .
3.1. Новые факторы риска для кредитных организаций и их клиентов в условиях применения технологий электронного банкинга
Не подлежит сомнению тот факт, что применение кредитными организациями (далее для краткости называемыми банками) технологий ДБО или, иначе, «электронного банкинга» радикально изменяет способы и условия осуществления банковской деятельности. Эти изменения необходимо учитывать в организации и содержании целого ряда внутрибанковских процессов, что будет детально описано в предпоследнем подразделе настоящего раздела. В цитировавшейся выше книге описывалось принципиально новое явление в сфере банковской деятельности, «вызванное к жизни» применением самих ТЭБ, а именно так называемый информационный контур банковской деятельности (ИКБД), приводилась его обобщенная схема, а также рассматривались три основных, «системных» фактора риска, обусловливающие возникновение новых источников компонентов банковских рисков [38] . До наступления эры ДБО данное явление отсутствовало как таковое, хотя, строго говоря, элементы этого контура стали появляться в банках вместе с внедрением первых же структур локальных вычислительных сетей (изначально строившихся на основе сетевых систем типа «клиент — сервер» по простым схемам типа «звезда», которую составляли центральный универсальный компьютер и рабочие станции, используемые операционным банковским персоналом). Для того чтобы обеспечить ясность последующего анализа усложнившейся структуры банковских рисков, упомянутая схема в несколько измененном вариант приводится и здесь (рис. 3.1).
37
В терминологии Письма Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».
38
В данном случае используется терминология, отличающаяся от общепринятой в соответствующей отечественной литературе, поскольку речь далее идет о возникновении новых угроз надежности банковской деятельности с точки зрения анализа возможного вмешательства в нее преступных элементов, о чем необходимо иметь отчетливое представление руководителям и персоналу высокотехнологичных кредитных организаций, а также их клиентам. Как следствие, возникают новые составляющие типичных банковских рисков, связанные с противоправной деятельностью, из-за которых смещаются их профили и повышаются уровни.
Рис. 3.1. Информационный контур банковской деятельности, формирующийся при дистанционном банковском обслуживании
На приведенной схеме условно показаны два входящих в ИКБД банка (Банк-1 и Банк-2), укрупненная структура их локальных вычислительных сетей (ЛВС) и банковских автоматизированных систем (БАС) [39] с функциями управления, обработки и хранения данных (обозначенных как СУБД — система управления базой данных), элементы сетевой защиты, представленные (только для примера) брандмауэрами (сетевыми экранами), виртуальное пространство, образованное системами, каналами и линиями связи провайдеров банков и клиентов, собственно варианты клиентской части ДБО и два неприятных типа: хакер (хронически занятый попытками несанкционированного доступа (НСД) к банковским информационным ресурсам) и крэкер (ориентированный на нанесение ущерба организациям любым доступным через сетевое пространство способом за счет «взлома» и уничтожения их программно-информационного обеспечения). Как отмечалось, в условиях ИКБД возникают три основных новых фактора риска, о которых необходимо знать руководству банков и на которые
39
Здесь, к слову, можно отметить, что использование понятия «банковская автоматизированная система» в отличие от часто встречающейся в литературе аббревиатуры АБС (автоматизированная банковская система) представляется предпочтительным, имея в виду именно назначение автоматизированных систем в банках, с учетом того, что понятие «банковская система» определено в Федеральном законе «О банках и банковской деятельности», но представлять ее автоматизированной до настоящего времени затруднительно.
1) возникновение клиента нового типа, который во многих случаях, не приходя в банк, сам «играет роль» операциониста, при этом, как следствие, для банка и клиента возникает взаимная анонимность, на эффектах которой основаны все схемы организации финансовых преступлений и так называемого фишинга при ДБО;
2) возникновение зависимости надежности банковской деятельности от сторонних организаций — провайдеров разного рода, автоматизированные системы и каналы связи которых могут использоваться для реализации противоправной деятельности в отношении банков и их клиентов с нанесением ущерба их интересам;
3) возникновение разнообразных возможностей для НСД к сетевым структурам и БАС банков за счет особенностей функционирования так называемых открытых систем со стороны как внешних преступных элементов, так и инсайдеров в самих банках, обладающих специальными знаниями в части организации и функционирования БАС.
В случае действия первого из приведенных факторов могут иметь место два главных негативных эффекта. Первый из них заключается в том, что банк не всегда может быть уверен в том, что к нему обращается легитимный, официально зарегистрированный, то есть априори известный ему клиент. Это происходит из-за так называемого хищения личности (identity theft), то есть имитации злоумышленником действий упомянутого клиента за счет использования данных его удаленной идентификации. Поэтому персоналу банков следует информировать клиентов ДБО о приемах, с помощью которых может быть совершена подмена такого рода, и о тех мерах, которые им следует оперативно принимать в случаях противоправных попыток имитации их действий, а также о новых способах и попытках компрометации схем подтверждения идентичности удаленных клиентов. Кроме того, в договорах с клиентами целесообразно указывать, какие способы банк будет использовать для связи с клиентами и на какие «подвохи» клиент обязан не реагировать. Второй эффект связан с тем, что клиент не всегда может быть уверен в том, что взаимодействует со «своим» банком из-за «успешных» действий фишеров, которым он невольно выдает данные своей персональной удаленной идентификации. Это происходит преимущественно за счет применения методов так называемой социальной инженерии и хакерских приемов. Данные вопросы будут рассмотрены в одном из последующих подразделов.
Действие второго фактора (в части противоправной деятельности, технические проблемы здесь не рассматриваются) может проявляться в том, что атаки на банки (и, как следствие, на их клиентов) осуществляются через системы провайдеров, включая предоставляемые ими общедоступные каналы (линии) связи. При такого рода намерениях разрабатываются и применяются специальные программные средства, которые должны нарушать работу аппаратно-программного обеспечения взаимодействующих при ДБО сторон (то есть переводить его в нештатные режимы работы (в широком смысле, включая создание возможностей для НСД) или выводить из строя). При этом сами системы провайдеров могут превращаться в источники угроз для банков, если входящие в них вычислительные сети заражаются вредоносным кодом (в том числе программами-вирусами), с помощью чего формируются, в частности, так называемые бот-неты («роботизированные» вычислительные сети), используемые для нарушения функционирования вычислительных сетей и серверов организаций, которые оказываются объектами сетевых атак [40] . Под прикрытием таких атак стали все чаще совершаться финансовые преступления против банков и их клиентов, в том числе с проникновением и «усилением» атак через посредство автоматизированных систем провайдеров кредитных организаций.
40
Этой проблематике Банк России посвятил письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности».
Третий фактор может реализоваться в форме различных угроз: специально организуемые или случайно возникающие схемы для осуществления НСД (в том числе через информационные сечения, образуемые при стыковке различных автоматизированных систем или подсистем), сетевые, вирусные, хакерские атаки и т. п. В этих случаях речь идет, как правило, о нелегитимном завладении теми или иными информационными активами (учитывая, что современная банковская деятельность превратилась преимущественно в информационную дисциплину) или о прикрытии таких действий. Вследствие того что при ДБО формируются новые информационные потоки, число которых при массовом обслуживании может исчисляться десятками, сотнями тысяч и миллионами и которые выходят далеко за пределы офисов банка, а это — неотъемлемое свойство любого ИКБД, существенно изменяются характеристики так называемого периметра безопасности банка. Следствием же этого становится необходимость внедрения таких средств защиты архитектур вычислительных сетей (основными из которых являются маршрутизаторы и брандмауэры или их аппаратно-программные комбинации, а также прокси-сервера, — хотя это не единственные средства сетевой защиты), которые позволяют изолировать чувствительные к НСД информационные сечения в таких архитектурах [41] . Ключевым фактором надежности функционирования любого банка при этом становится осведомленность его высшего руководства о новых потенциальных угрозах при ДБО.
41
Под информационными сечениями в данном случае понимаются те места в компьютерных системах (в том числе сетевых, распределенных), через которые потоки данных передаются из одной системы или подсистемы в другую, либо претерпевают какие-либо преобразования.
Необходимо отметить, что в условиях ДБО проблематика точной локализации сечений указанного рода реально «выходит на передний план», поскольку в таких местах возможно прежде всего несанкционированное вмешательство в информационные потоки, в особенности при нелегитимном использовании прав и полномочий доступа к ним и к аппаратно-программному обеспечению (АПО) банков и провайдеров, через которое они проходят. Как показывают исследования, наиболее серьезные угрозы при этом могут возникать со стороны инсайдеров кредитных организаций. Информационные сечения, через которые возможно какое-либо вмешательство в информационные потоки, генерируемые, поддерживаемые и обрабатываемые банками, следует, по возможности, исключать из ИКБД, а если это оказывается невозможным, то их необходимо наиболее строго контролировать в соответствии с так называемым принципом четырех глаз [42] . Предотвращение возникновения подобных сечений в любом ИКБД или, в случае их неизбежного появления, обеспечение возможностей их полноценного контроля руководству банков целесообразно предусматривать, начиная еще с этапа принятия решения о внедрении той или иной ТЭБ и проектирования/разработки реализующей ее СЭБ. Очевидно, что для этого требуется наличие в банке соответствующих распорядительных документов и осуществление «проактивного» анализа сопутствующих внедрению ТЭБ изменений в структуре банковских рисков.
42
Речь в данном случае идет о двойном независимом параллельном контроле.