Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов. Страница 14
Неизбежность усложнения алгоритмов ФМ видна также из содержания нормативных и других документов Банка России, которые продолжают разрабатываться и приниматься со времени принятия Закона № 115-ФЗ. По состоянию на последнее время банкам при организации и определении содержания внутрибанковского процесса ФМ (и ВК в соответствующей части) удобнее всего ориентироваться на письмо Банка России от 04.09.2013 № 172-Т «О приоритетных мерах при осуществлении банковского надзора», в котором описываются так называемые критерии определения признаков высокой вовлеченности кредитной организации в проведение сомнительных безналичных и (или) наличных операций (там же приведен и перечень документов Банка России для целей квалификации операций в качестве сомнительных). Поэтому банкам требуется разработка все более специализированных и детальных аналитических процедур ФМ (в интересах ПОД/ФТ) для идентификации указанных лиц, контроля и сопоставления данных, осуществляемых в соответствии с их ордерами. То же самое относится и к специализированному программно-информационному обеспечению (ПИО) процесса ФМ, функции которого должны соответствовать требованиям, установленным законодательными и подзаконными актами.
Если доказательство участия банка в каких-либо операциях, связанных с отмыванием денег или финансированием терроризма, карается в соответствии с федеральными законами и подзаконными актами, то наказание за другие виды ПДД далеко не всегда «находит своих героев». Расследование и доказательство преступлений, совершаемых в киберпространстве, стало в последние три десятилетия настолько актуальным, что за рубежом давно уже организована подготовка сотрудников финансовых организаций по специальности «сертифицированный инспектор по мошенничествам» [51]. В задачи специалистов, проходящих подготовку такого рода, входят прежде всего: предотвращение и (или) предупреждение мошенничеств, особенно корпоративных, проведение расследований преступлений (начиная с обеспечения сохранения улик, включая компьютерные устройства и данные, хранимые в электронной форме), взаимодействие с правоохранительными органами и участие в судебных разбирательствах и процессах в качестве экспертов; кроме того, они могут участвовать также в реализации отдельных функций в составе процессов обеспечения информационной безопасности (ОИБ), ФМ и ВК в своих организациях (постоянно или на основе привлечения).
Как отмечается в одной из популярных книг по противодействию мошенничествам, «совершение корпоративного мошенничества всегда связано с посягательством на активы корпорации и их хищением» [52]. При этом необходимо учитывать тот принципиально важный факт, что упомянутые активы теперь — преимущественно «информационные», а следовательно, методы и средства их защиты оказываются прямо связаны с процессами ОИБ, ФМ и ВК в банках. Без сомнения, банковское дело также превратилось во многом в «информационную дисциплину».
Как отмечается в одной из популярных книг по так называемому киберправосудию (или, иначе, киберследствию) [53]:
Риски, с которыми сталкивается руководство кредитных организаций, по мере усложнения технологий только повышаются. Лица, склонные к злоупотреблениям технологиями, обнаруживают, что их возможности в этом плане расширяются, тогда как возможности руководства по удержанию их от этого становятся экспоненциально более проблематичными и ограниченными…
В XXI веке ни одна организация не может забывать о возможности возникновения потребности в высококвалифицированном специалисте в области киберправосудия, независимо от включения его в персонал или приглашения со стороны. При этом актуальным является вопрос не «если» потребуется, а «когда»…
Необходимость наличия актуальной программы киберправосудия, обеспеченной подготовленным персоналом с квалификацией сертифицированного инспектора по мошенничеству и требуемыми рабочими процедурами для проведения служебных расследований, должна полностью осознаваться.
В формируемых новыми информационными технологиями условиях «электронной» финансовой и, в частности, банковской деятельности кибермошенничества становятся все более привлекательными, так как преступник «может скрываться» за киберпространством и использовать для совершения преступления специфические технологии: сетевые, хакерские, шпионские, троянские и т. п., а также прикрытия в форме сетевых атак, фальсификации маршрутной информации (к примеру, IP-адресов при ДБО в варианте интернет-банкинга и др.), равно как и разнообразные приемы, которые позволяют скрывать инициатора мошенничества, его бенефициаров или же сами факты мошенничества (когда прикрытие срабатывает). Практически все подходы такого рода базируются на одной основе — сочетании тех или иных способов НСД к атакуемым ресурсам и БАС кредитных организаций, а также аппаратно-программным средствам их удаленных клиентов (в том числе через автоматизированные системы провайдеров).
Надо отметить, что любое мошенничество, реализуемое через тот или иной способ НСД, связано с упоминавшимся выше «хищением личности», то есть с приданием видимости легитимности обращения к каким-либо информационным активам и операциям с ними. Из этого следует, что основное внимание при использовании любых современных форм платежей и расчетов следует уделять способам и средствам подтверждения идентичности пользователя конкретных информационно-процессинговых ресурсов и правомерности использования тех или иных полномочий доступа к информационно-процессинговым ресурсам [54]. В свою очередь, само возникновение возможностей НСД всегда обусловлено недостатками в установлении ограничений на физический и логический доступ к АПО и информационным ресурсам организаций, что, в свою очередь, свидетельствует, как правило, о неполноте проведения приемо-сдаточных испытаний конкретных автоматизированных системы (БАС или СЭБ). Такая неполнота при построении логики рассуждений в обратном порядке свидетельствует о наличии недостатков в программах, методиках, актах и протоколах проведения этих испытаний, а значит, о недопонимании руководством банка значимости полного подтверждения заявленных свойств БАС и (или) СЭБ. Логическая последовательность обеспечения легитимности прав и полномочий доступа к чувствительным информационно-процессинговым ресурсам, с известной долей условности показана на рисунке 3.2, скомпонованном на основе карикатуры, хорошо отражающей суть данной проблематики. Тем самым отражается также тесная и неразрывная связь процедур управления распределением прав и полномочий доступа к информационно-процессинговым ресурсам банка (включая филиалы, дополнительные офисы и пр.) и контроля над ними.
Рис. 3.2. Пример проблематики разграничения прав и полномочий доступа в условиях применения технологий электронного банкинга
Следует отметить, что нередко наблюдаемое в кредитных организациях, прежде всего банках, желание руководства «сэкономить» на так называемых незарабатывающих подразделениях, к числу которых, как исторически сложилось, относятся подразделения ИТ, ОИБ, ВК, ФМ, УБР и ряд других, гарантированно приводит к недостаткам в обеспечении надежности банковской деятельности. Следствиями такой «экономии» часто оказывается нехватка высококвалифицированного персонала, необходимого для правильной и надежной организации автоматизированной банковской деятельности, или недопустимая концентрация полномочий, в особенности это касается совмещения в одних руках функций администрирования: системного, сетевого, баз данных, информационной безопасности и т. п. Ситуация, в которой один человек совмещает несколько функций, которые в соответствии с правилами здравого смысла (в отсутствие соответствующих нормативных правовых актов) должны быть разделены, как это считается необходимым с точки зрения обеспечения гарантий невозможности НСД высокого уровня, может оказаться связанной с угрозами для безопасности информационных активов организации, так как при этом заведомо не выполняется упоминавшийся принцип «четырех глаз». В этом случае те или иные сотрудники, с одной стороны, получают наиболее полные права и полномочия доступа к таким ресурсам, а с другой стороны, оказываются фактически неподконтрольными.
51
Certified Fraud Examiner.
52
Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. — М.: Маросейка, 2010.
53
По материалам книги A.J. Marcella, Jr., D. Menendez “Cyber Forensics”, 2nd ed., Auerbach Publications, Taylor & Francis Group, Boca Raton, FL, USA, 2008.
54
При наиболее общем подходе понятие «пользователь» охватывает всех участников ИКБД как в банке, так и вне его, то есть и операционистов, и операторов, и администраторов (системных, сетевых, баз данных, информационной безопасности и т. п.), а также клиентов ДБО.