Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;
2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от web-отношений.
В части web-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLA, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время web-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов.
Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях web-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS — атаки, принятие мер по нейтрализации DDOS-атак и т. п.)…» [184]
184
Речь идет о сетевых атаках Tima «отказ-в-обслуживании» и «распределенный-отказ-в-обслуживании»: DoS (Denial-of-Setvice) и DDoS (Distributed- Denial-of-Setvice).
В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее web-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети [185] . До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации web-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
185
Лямин Л.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в коммерческом банке. 2008. № 2. С, 20–31.
В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» web-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты» [186] , «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.
186
Термин образован от сочетания robot-net.
По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (web-серверов, почтовых
В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.
6.3. Web-отношения с контрагентами
В упоминавшихся выше рекомендациях органов банковского регулирования и надзора США [187] отмечается, что предоставляемые через web-сайты, используемые кредитными организациями, функции и возможности должны быть очевидны для посетителей, равно как и источники предлагаемой информации, независимо от того, предоставляются ли они самими организациями или другими сторонами, входящими в ИКБД. Это действительно важно, поскольку практически каждый web-сайт содержит так называемые «web-связи» [188] . Под такой связью понимается некий объект на web-странице (слово, выражение или изображение), связанный с кодовой комбинацией, которая при «щелчке» по нему мышью воспроизводит на дисплее компьютера пользователя («закачивает») другой, в общем случае, программно-информационный компонент web-сайта или обращается с запросом на другой web-сайт. Web-связи представляют собой удобное и общепринятое средство в конструкции web-сайта, однако их использование может оказаться связано с отдельными компонентами банковских рисков.
187
WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance.
188
Под этим, как правило, в русскоязычных текстах понимается так называемая «гиперссылка», но в данном случае сохранен буквальный перевод англоязычного термина, употребляемого в рассматриваемых материалах.
Web-связи сайтов, используемых кредитными организациями, нередко ведут на web-сайты, которые этими организациями непосредственно не контролируются. Именно «неподконтрольность» web-связей может привести к возникновению упомянутых компонентов, тем более если какие-то «последствия» таких связей возникают неожиданно для кредитной организации как следствие злого умысла (к примеру воздействия-атаки хакера). Поэтому руководству кредитных организаций и специалистам прикладного уровня целесообразно иметь представление о таких факторах и источниках компонентов банковских рисков и предпринимать необходимые меры для контроля над контентом web-сайтов, которые используются в банковской деятельности.
Считается также, что наиболее значительными дополнительными компонентами характеризуются репутационный и правовой риски. Компоненты репутационного риска могут возникать, если имеют место, например:
неуверенность клиента в том, кто предоставляет продукты или услуги: конкретная кредитная организация либо связанная третья сторона;
недовольство клиента качеством продуктов или услуг, фактически получаемых от третьей стороны;
непонимание клиентом возможностей применения конкретных установленных мер защиты в отношении продуктов или услуг третьей стороны.
Компоненты правового риска возникают в тех случаях, когда связанная третья сторона действует таким образом, который не соответствует требованиям регулирующих органов. Например, они могут возникнуть из-за неправильного предоставления или использования связанной третьей стороной предоставленной ей клиентской информации или когда связь с конкретной третьей стороной обусловливает или влияет на правовые обязательства кредитной организации.
Степень подверженности тем или иным компонентам упомянутых банковских рисков зависит от нескольких факторов, включая характер собственно связи. Любая связь с web-сайтом третьей стороны приводит к некоторой подверженности кредитной организации риску, что относится к связям как с аффилированными, так и с неаффилированными третьими сторонами. Связь с web-сайтом третьей стороны, который дает клиенту только информацию, обычно не приводит к заметной подверженности риску, если информация эта относительно безобидна, как, например, прогноз погоды. Напротив, если связанная третья сторона предоставляет информацию или рекомендации, относящиеся к финансовому планированию, инвестициям или другим важным темам, то риск может быть больше. Связи с web-сайтами, позволяющими клиенту взаимодействовать с третьей стороной, как запрашивающей конфиденциальную информацию от пользователя, так и позволяющей ему приобретать продукт или услугу, может обусловить подверженность кредитной организации относительно большему риску
6.4. Организация управления web-отношениями
Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать: