Организация противодействия противоправной деятельности в условиях применения технологий электронного банкинга

.

Изложенное выше теоретически должно было бы подталкивать руководство кредитных организаций к тому, чтобы при принятии решения о внедрении какой-либо системы ДБО предварительно изучать особенности конкретной ТЭБ и информационно-телекоммуникационных систем, которые ее реализуют (то есть формируемого ИКБД и его состава), с позиций определения возможностей адекватного сопровождения ордеров клиентов на выполнение транзакций, самих транзакций, их результатов (включая выявление сомнительных операций, мошенничеств, хищений конфиденциальной информации и определение выгодоприобретателей, а также попыток взлома компьютерных систем).

К этому примыкает и анализ систем ДБО на уязвимость к тем или иным видам ППД со стороны его клиентов.
В связи с этим в упоминавшейся выше работе БКБН о консолидированном управлении рисками, связанными с невыполнением принципа ЗСК, дополнительный акцент сделан на контроле над транзакциями клиентов, которые могут иметь связанный характер. Пропагандируемый «групповой подход» имеет важное значение потому, что клиенты-злоумышленники могут действовать через разные каналы доступа к информационно-процессинговым ресурсам банка — разные СЭБ, филиалы, дополнительные офисы, а также объединяться в рамках хозяйственно-экономической деятельности (о чем говорится и в материалах ФАТФ). Поэтому в современных условиях целесообразно отслеживать также такие возможности, как дробление сумм переводимых финансовых средств (например, до неконтролируемых в связи с установленным пределом в 15 000 рублей), использование разных каналов ДБО (на основе комплексного анализа СИ и маршрутной информации в ее составе[75]), сомнительные операции между счетами юридических и группы физических лиц, близкие по времени двунаправленные крупномасштабные переводы, которые могут свидетельствовать об откатах или использовании клиентов ДБО и их счетов в качестве так называемых мулов (то есть о задействовании их счетов в качестве транзитных для сокрытия целевых противоправных финансовых транзакций), работе межрегиональных преступных группировок и т. п.
Кроме того, кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться ненадежной именно с точки зрения своих клиентов или незаметно для себя вовлеченной в ППД (особенно в случаях массового ДБО) и при необходимости выявления в соответствии с законодательством операций, подлежащих обязательному контролю, как говорится, «на проходе» (то и другое связано с репутационным, правовым и даже стратегическим рисками), если ее руководство недостаточно осознает необходимость обеспечения соответствия деятельности «своей» организации теперь уже трем основным принципам:
1. Знай своего клиента.
2. Знай своего работника.
3. Знай свои технологии.

В последнее время на федеральном уровне усиливается акцент на борьбе с противоправной деятельностью в рамках ПОД/ФТ, что необходимо учитывать высокотехнологичным банкам, чтобы не оказаться незаметно для себя в числе нарушителей Закона № 115-ФЗ. Надежная политика и процедуры для реализации принципа ЗСК не только содействуют, как пропагандирует БКБН, общей безопасности и надежности банков, но также защищают целостность банковской системы за счет снижения вероятности превращения банков в транспорт для отмывания денег, финансирования терроризма и другой ППД.
Вследствие этого (в части противодействия возможной ППД) структуру управления кредитной организации целесообразно сформировать таким образом, чтобы как минимум были гарантированы:
Разделение обязанностей, то есть наличие средств, которые гарантировали бы, чтобы те, кто управляет активами, не отвечали за контроль над соответствующими действиями, целостность записей об этом и не были связаны с собственно осуществлением транзакций. Обычно для этого проверяются совместно идентификация, аутентификация и авторизация пользователей (независимо от того, о ком конкретно идет речь: клиентах, операторах, операционистах, администраторах и пр.). Речь идет о грамотном разделении функций управления и контроля, а их не всегда легко определить (как, к примеру, в случае разработки и эксплуатации ПИО в банках).
Компетентность и ответственность персонала, поскольку контроль будет эффективным, только если те, кто его осуществляют, будут иметь необходимую квалификацию и при этом еще будут честными. Это означает, что в современных условиях информатизации, обусловливающих наличие высокой степени риска, недостаточно просто назначить специалистов для исполнения обязанностей, но требуется понимать, что заложенные в автоматизированные системы средства контроля должны действовать именно так, как предполагалось (и к тому же их нельзя было «обойти»).
Должный уровень полномочий ввиду того, что как отмечалось выше, типичной ошибкой в управленческих структурах является чрезмерная концентрация полномочий. Полномочия должны распределяться исключительно в границах необходимости их наличия. Очевидно, это требует от тех должностных лиц, которые управляют распределением полномочий, понимания того, какие существуют уровни полномочий и какие из них требуются в каждом конкретном случае. Здесь также должно действовать ограничение типа «необходимо знать» (то есть не более, чем требуется).
Регистрируемость, которая означает требование наличия средств контроля для регистрации всех решений, транзакций и действий, которые позволят определить, кто, что, когда делал, с должным уровнем уверенности. Как правило, для этого используются специальные компьютерные журналы (файлы — так называемые системные логи и аудиторские трейлы). Само по себе поддержание таких компьютерных журналов ничего особенно не гарантирует, поскольку их наличие может создать в организации ложное чувство безопасности. Поэтому, для того чтобы такие записи оставались эффективными, они должны регулярно тщательно пересматриваться на предмет их адекватности с принятием необходимых корректирующих мер.
Наличие достаточных ресурсов, в число которых входят: персонал, финансирование, оборудование, материалы и методологии. Руководство часто недооценивает стоимость ресурсов, требуемых для осуществления контроля, особенно в условиях распределенных компьютерных систем и ДБО. Мало того, встречаются ситуации, когда руководство просто не понимает необходимости расходов на те или иные специфические аппаратно-программные решения и квалифицированный персонал, обусловленные требованием обеспечения надежности банковской деятельности.
Контроль и проверки, поскольку адекватный надзор соответствующего типа является фундаментальным фактором реализации надежного ВК[76]. При этом он должен быть адекватным именно применяемым кредитной организацией технологиям и архитектурам вычислительных сетей и систем, и это целесообразно отражать в соответствующих распорядительных документах.

Начинать применять описанную идеологию целесообразно с адаптации процесса УБР в кредитной организации. В наиболее общем случае переход организации к применению какой-либо ТЭБ и внедрение реализующей ее автоматизированной системы логично было бы сопровождать (точнее, как отмечает БКБН, предварять) принятием руководством этой организации решений относительно:
— анализа состава источников новых компонентов банковских рисков;
— внесения изменений в описания типичных банковских рисков;
— содержания адаптации УБР;
— модернизации внутрибанковских процессов, связанной с адаптацией УБР;
— выпуска новых редакций соответствующих внутрибанковских документов.

Организация процесса УБР в высокотехнологичной кредитной организации может быть оценена как пруденциальная, только если его реализация заложена во всей системе управления рисками в ней, к которой следует относить целый ряд ее структурных подразделений (а не только то подразделение, которое непосредственно должно, как говорится, «управлять рисками»). Такое управление целесообразно осуществлять обоснованно (в документах), согласованно, последовательно и контролируемо (со стороны высшего руководства банка) в отношении:
— общей методологии управления рисками, включая анализ формулировок банковских рисков на предмет адекватности изменяющимся способам и условиям банковской деятельности, определяемым конкретными ТЭБ и СЭБ;
— следующих из нее административных, технологических и организационно-технических решений;
— внутрибанковских распорядительных документов, отражающих решения такого рода;
— выработки и внедрения новых управленческих и контрольных функций, что обусловлено спецификой внедряемой ТЭБ;
— положений о структурных подразделениях организации и должностных инструкций менеджеров и исполнителей.

В определении, внедрении и эффективном контроле над выполнением таких новых функций и состоит процесс адекватной адаптации деятельности кредитной организации к условиям применения ТЭБ. По существу, необходим именно стратегический подход к управлению банковскими рисками, которые содержат компоненты, обусловленные угрозами возможного осуществления ППД, то есть к воздействию на источники этих компонентов. В совокупности требуется адаптация корпоративного управления в части управления рисками банковской деятельности при ДБО, политики ее информатизации, ОИБ, ВК, ФМ, правового обеспечения, отношений с провайдерами, претензионной работы, функций колл-центров[77] и т. д.
Говоря о процессе управления информационными технологиями (УНТ), целесообразно обращать внимание на то, что время от времени в связи с развитием бизнеса, внедрением ДБО и новых сервисов для клиентов банков, да и просто с обновлением АПО возникает необходимость в его замене. Такие процедуры должны осуществляться обоснованно и контролируемо, чтобы не происходило прерывания деловой активности и прежде всего — выполнения обязательств кредитной организации перед своими клиентами. В части предотвращения ППД это означает, что в процессе замены АПО не должно возникать новых возможностей для НСД, несанкционированной или непроверенной замены отдельных его компонентов, злонамеренного вмешательства в этот процесс и т. д. Целью таких мероприятий является обеспечение гарантий контролируемости структуры и уровней банковских рисков. Это означает, что все изменения:
— обоснованны;
— санкционированы;
— сделаны;
— учтены (документированы);
— экономически эффективны,

а также то, что сделаны только санкционированные изменения.
Указанный контроль требует скоординированных усилий руководства, менеджеров среднего звена, ИТ-персонала, специалистов по ИТ, ОИБ, ВК, ФМ и аудиторов информационных систем. Фактически речь должна идти о гарантированной безопасности БАС и СЭБ, а также протекающих в них процессов и проходящих сквозь них информационных потоков.
Вместе с тем следует помнить, что до настоящего времени идеальных способов и средств ОИБ в сетевых структурах не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, а мастерство тех, кто защищает банк и его клиентов от реализации компонентов рисков, связанных с инцидентами информационной безопасности, как раз и заключается в том, чтобы в совокупности «охватить» максимально возможное количество зон источников компонентов банковских рисков такими средствами защиты, недостатки которых не совпадают. Обычно в литературе пропагандируется принцип так называемой эшелонированной обороны, который реализуется как за счет полноты документарного ОИБ и «Политики обеспечения информационной безопасности», так и, например, за счет применения брандмауэров и других средств сетевой защиты различных видов, возможно, разных производителей или основанных на различных аппаратно-программных платформах. При этом желательно и разделение обязанностей по их настройке, использованию и контролю. В то же время целесообразно помнить о том, что хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки способны обнаруживать. Поэтому после них целесообразно устанавливать компоненты IPDS (Intrusion Protection and Detection System — система предотвращения и обнаружения проникновений).
Сетевая защита и грамотный выбор протоколов для передачи чувствительной информации являются основой ОИБ, особенно в структурах распределенных вычислительных сетей (муниципальных и зональных). Прослушивание сетевого трафика или перехват передаваемой по вычислительным сетям информации может раскрыть более чем достаточно сведений для хакера (прежде всего, инсайдера), стремящегося к получению прав и полномочий наиболее высокого уровня, обеспечивающих бесконтрольный доступ к информационным активам. Такие атаки являются пассивными, вследствие чего их труднее обнаружить, поэтому необходимо применять средства обнаружения «прослушки» в вычислительных сетях. Вместе с тем целесообразно учитывать желательность разнообразия средств не только пассивной, но и активной защиты. Если, например, злоумышленники способны использовать специальные программы-»вынюхиватели»[78] для перехвата, допустим, идентификационных кодовых последовательностей в сетевом трафике, то и в качестве средств сетевой защиты уместно применять программы, позволяющие обнаружить и идентифицировать таких «вынюхивателей». То есть речь здесь идет об известном принципе, который можно было бы переформулировать так: «чтобы поймать хакера, нужен хакер». Это относится и к выявлению источников сетевых атак через Интернет, в данном случае — на банковские автоматизированные системы, о чем желательно иметь представление сотрудникам кредитной организации, отвечающим за ОИБ, поскольку многие зловредные действия в киберпространстве стали в последнее время уголовно наказуемыми, и все больше становится специалистов, занятых в том числе проведением расследований в Сети. Впрочем, как и тех, кто занимается ППД «профессионально», о чем тоже не следует забывать.
Уместно также помнить о том, что защиту лучше строить не как «реактивную», а как «проактивную». Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого в том числе строится эффективная система ОИБ, определяются методы и средства защиты данных и операций. Кроме того, для управления средствами сетевой защиты и IPDS лучше организовывать в банке обособленную хорошо защищенную сетевую структуру, доступную для использования исключительно тем сотрудникам, которые отвечают за ОИБ. Иногда применяются специальные сетевые решения, которые позволяют вообще скрыть наличие IPDS от потенциального атакующего злоумышленника, для того чтобы на них нельзя было осуществить превентивную атаку для нанесения последующего ущерба организации. Для этого требуется создание отдельной сети управления комплексом IPDS, что может оказаться чрезмерно затратным и создавать неудобства для администраторов, управляющих этими системами, однако может стать и неизбежным. Если же такое решение принимается, то дальнейшее повышение безопасности самих IPDS может быть связано с организацией для них специальной виртуальной частной сети (VPN — Virtual Private Network), через которую будут реализоваться соответствующие функции управления и контроля и которая сама должна быть гарантировано защищена[79].
Поскольку в современном мире, в том числе в банковской сфере, все шире применяются подходы, связанные с аутсорсингом и распределенной обработкой данных, важнейшей задачей является обеспечение гарантий прозрачности ДБО как для высокотехнологичного банка, так и для его клиентов, ориентированных на внеофисное обслуживание (особенно в случае использования информационных технологий и автоматизированных систем, прежде всего СЭБ, предоставляемых провайдерами). В тех случаях, когда заведомо существует неопределенность в процедурах формирования, приема/передачи, хранения данных (в том числе в силу ограничений на доступ к технологиям, устанавливаемых провайдерами), от непрозрачных схем ИКБД предпочтительнее отказываться. В российских условиях принятая во многих зарубежных странах практика обязательного знакомства кредитных организаций с технологиями и автоматизированными системами, которые используются ими на условиях аутсорсинга, пока не закреплена. Это, в свою очередь, приводит к тому, что в случаях хищения конфиденциальных клиентских данных и (или) финансовых средств, равно как и сетевых или хакерских атак на банки и их клиентов возникает неопределенность ответственности, которую практически невозможно разрешить. Несовершенство российского финансового и, в частности, банковского законодательства только способствует возникновению подобных ситуаций, а значит, поиски выхода из них остаются прерогативой самих кредитных организаций, предлагающих ДБО.
Одним из дополнительных, но весьма существенных факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых российскими банками, является отсутствие достаточного внимания к содержанию взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом финансовая организация должна[80] иметь полное представление о таких характеристиках своих провайдеров:
— лицензионные данные;
— история, опыт и отзывы о деятельности;
— состав ИТ и АПО;
— организация ОИБ;
— квалификация ключевого персонала;
— средства обеспечения непрерывности функционирования;
— содержание планов на случай чрезвычайных обстоятельств;
— организация ВК;
— финансовое состояние;
— наличие и содержание субконтрактов на аутсорсинг[81];
— результаты аудиторских проверок.

Данный перечень соответствует минимальным требованиям такого рода, но относится ко всем видам технологического аутсорсинга.
Тем самым обеспечивается прозрачность ИКБД для банка и, во многом, технологическая надежность ДБО. Очевидно, что правильная организация работы с провайдерами прямо зависит от понимания значимости данной проблематики руководством банков. Можно, кстати, отметить, что на это обращается внимание многими зарубежными органами банковского надзора, к примеру, в одном из руководств Федеральной корпорации страхования депозитов США[82], посвященном оцениванию банковских рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».
Поскольку, как отмечалось ранее, компьютерные системы провайдеров могут использоваться в качестве промежуточных «усилителей» для атак на банки, их специалистам целесообразно время от времени проводить работу по изучению состояния дел с ОИБ у провайдеров (как минимум ежегодно, в соответствии с рекомендациями БКБН). Кроме того, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем непосредственно зависит и технологическая надежность обслуживаемого банка, одновременно знакомя их с обязательствами данного банка перед клиентами и теми гарантиями, которые сам банк им обязуется обеспечить[83]. Таким образом, желательно было бы убеждаться также и в том, что специалисты провайдера осведомлены о возможных инцидентах информационной безопасности, сетевых атаках и т. п.
и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.
В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4.

По аналогии с «Политикой обеспечения информационной безопасности» в таком документе следует предусмотреть совокупность мероприятий, выполнение которых позволит существенно снизить количество угроз, реализуемых в целях любой ППД. Вследствие этого неизбежна тесная связь мероприятий по ОИБ, формирующих периметр безопасности кредитной организации в киберпространстве, с мерами противодействия возможному противоправному использованию технологий ДБО. Следует отметить, что в данном случае типичный акцент на работу службы безопасности банка не оправдан — процесс эффективного возможной ППД неизбежно является комплексным!
На изучение ситуации с противодействием компьютерным мошенничествам в отношении высокотехнологичных банков и их клиентов было ориентировано Письмо Банка России от 25.02.2013 № 27-Т «О запросе и получении от кредитных организаций информации», в котором содержалась анкета по тематике организации противодействия возможной противоправной деятельности с использованием информационных технологий, в том числе интернет-технологий и других технологий ДБО. К сожалению, указанная анкета имела достаточно общий характер и поэтому может служить преимущественно в качестве принципиального ориентира для банков на те подходы, которым целесообразно было бы следовать при организации противодействия возможной ППД. Как видно из содержания входящих в анкету вопросов, основное внимание целесообразно уделять как раз перечисленным выше внутрибанковским процессам: УИТ, ОИБ, ВК, ФМ, правового обеспечения и претензионной работе.
Темпы развития все новых ИТ и способов их противоправного использования приводят к серьезным проблемам для тех, кто обязан воспрепятствовать осуществлению компьютерных преступлений и проводить компьютерные же расследования, чтобы оставаться, так сказать, «на уровне» развития информационных технологий и тем более предупреждать разрушительную деятельность «плохих парней» (как говорят в США). Вследствие этого весьма желательно оценивать новые технологии с позиций возможного их применения для сокрытия ППД, обхода мероприятий по ОИБ, ВК, ФМ и маскировки действий или маскирования личности злоумышленников. В этом плане крайне важны грамотное распределение функциональных ролей в управленческой иерархии кредитной организации и контроль над ними.
В зарубежной литературе, посвященной тематике киберправосудия, считается, что в организациях знаниями о его законодательной основе и основных принципах осуществления следует обладать:
— членам советов директоров;
— главным бухгалтерам (Chief Financial Officers);
— операционным директорам (Chief Operational Officers);
— руководителям, ответственным за информационные технологии;
— руководителям обеспечения информационной безопасности;
— руководителям службы внутреннего контроля (аудита);
— директорам кадровых служб;
— менеджерам, ответственным за непрерывность бизнеса;
— менеджерам, ответственным за реагирование на инциденты.

Данный перечень не является исчерпывающим, но скорее изначальным. Отмечается, что круг лиц, от которых потребуется наличие знаний такого рода, с течением времени будет неизбежно расширяться за счет охвата второго и третьего уровней управленческой иерархии (при усложнении компьютерных систем организации).
Грамотное осуществление ВК и ФМ в условиях применения ТЭБ стало принципиально важным за последние десять лет, но, к сожалению, это не всегда в должной степени осознается руководством высокотехнологичных кредитных организаций. Как всегда подчеркивает в своих работах БКБН, «банкам необходимо располагать средствами внутреннего контроля, адекватными характеру, видам и масштабам их деятельности. Цель использования средств ВК заключается в содействии обеспечению руководством гарантий упорядоченного и эффективного ведения бизнеса, включая приверженность политике управления, защищенность активов, предотвращение и обнаружение мошенничества и ошибок, точности и полноты записей в бухгалтерском учете, а также своевременной подготовки достоверной финансовой отчетности. Разработка специализированных компьютеризованных информационных систем существенно улучшила возможности для осуществления контроля, однако, в свою очередь, привнесла дополнительные риски, связанные с возможностью отказов компьютерной техники или ее мошеннического использования»[85]. Упоминание новых рисков не совсем уместно, поскольку на самом деле речь следовало бы вести об усложнении их структуры (появлении новых компонентов рисков), но ключевое слово здесь — «адекватный», и это совершенно верный акцент.
В условиях новых ИКБД, создаваемых любой ТЭБ, требования к осуществлению ВК неизбежно повышаются, и сама эта работа становится пропорционально более сложной, требующей дополнительной и достаточно высокой квалификации, позволяющей «проникать» в не раз упоминавшееся в данной главе киберпространство и контролировать протекающие в нем процессы. Нельзя при этом забывать о том, что пространство это простирается от устройств, которыми пользуются клиенты, через телекоммуникационные системы, СЭБ и вычислительные сети до той или иной БАС кредитной организации, реализующей ее так называемый бэк-офис. Именно в нем и реализуется наибольшее количество компонентов таких банковских рисков, как операционный, неплатежеспособности, репутационный и, отчасти, стратегический, чему как раз и должен воспрепятствовать ВК. Отсюда можно сделать вывод, какими знаниями и квалификацией необходимо обладать специалистам службы ВК[86].
Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:
— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;
— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;
— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;
— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,

или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного[87]. Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.
В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.

Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.
В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем[88]. При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода[89]. Можно отметить, что на рынке программно-информационных продуктов, предлагаемых банкам, уже появилась целая линейка средств обнаружения и предотвращения противоправной деятельности (модули, называемые «антифрод», «антидроп» и им подобные[90]).
В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:
— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;
— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;
— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;
— политика подбора надежного персонала;
— порядок ограничения использования мобильных носителей информации;
— порядок сбора информации о совершении компьютерных мошенничеств;
— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;
— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;
— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;
— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;
— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);
— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;
— порядок ведения, использования и защиты компьютерных журналов;
— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);
— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;
— порядок ведения претензионной работы с удаленными клиентами;
— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;
— порядок мониторинга профилей операционной деятельности клиентов;
— порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;
— порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.

Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.
Суммируя сказанное выше касательно технических мероприятий, необходимо также:
— разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;
— применение средств обнаружения сетевого мониторинга (sniffing’a);
— применение межсетевых экранов при соединении сегментов сетей;
— применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;
— применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;
— проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;
— ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;
— ведение системных журналов регистрации доступа клиентов банка — пользователей СЭБ к информационно-процессинговым ресурсам этих систем;
— проведение проверок отсутствия возможностей использования на функциональных автоматизированных рабочих местах устройств дистанционного доступа (точки доступа беспроводных сетей, модемы и др.);
— осуществление обязательного контроля над установкой и модификацией программных средств в банке и т. д.

В целом уместно было бы поддерживать также адекватный «арсенал» средств для проведения непосредственно в кредитной организации криминалистической компьютерной экспертизы, имея в виду технические средства и приемы, так как формирование в ее структуре полноценного следственного подразделения вряд ли экономически целесообразно — важно как минимум располагать средствами для фиксации улик и свидетельств внутрисистемного аудита. Поскольку преступники меняют тактику, необходимо понимать их действия и знать, чем именно мошеннические действия отличаются от типовых действий и привычек обычных клиентов. В общем случае, как уже отмечалось ранее, для того чтобы поймать преступника, уместно думать так же, как преступник, при этом руководству кредитной организации следует учитывать, что наилучший подход для осознания угроз ее информационным системам состоит в их оценивании с точки зрения злоумышленника, который к тому же будет стараться скрыть следы своих действий. Итак, при организации противодействия ППД целесообразно реализовать следующие этапы:
— определение в соответствии с установленным порядком причины проведения расследования или соответствующее обоснование;
— определение того, насколько реально проведение эффективного расследования или доведение его до логического завершения;
— определение состава и сбор свидетельств, их сохранение, оформление и систематизация;
— комплексный анализ свидетельств и составление перечней свидетелей, объектов и процедур, относящихся к расследованию;
— подготовка отчета о результатах проведенного расследования и, при необходимости, представление его следственным органам.

Соответствующий набор методов, алгоритмов и средств их реализации целесообразно продумывать для каждой внедряемой ТЭБ (и даже ее однородных вариантов!), так как в противном случае противодействие возможной ППД окажется неэффективным. Излишне говорить о крайней желательности документарного оформления перечисленных мероприятий и такого же «циклического» пересмотра содержания этих документов, порядков, процедур, аналогичных инструкций на предмет актуальности и адекватности реальной ситуации в банке, наращивающем свои «технологические мускулы».

Комментирование и размещение ссылок запрещено.