Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов. Страница 16
• для стратегического риска — это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними — и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях — это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков — нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?
Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода [60], с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей» [61], позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).
Общая «беда», сопутствующая внедрению и применению в банках новых информационных технологий, состоит в том, что нередко такие немаловажные внутрибанковские процессы, какУБР, информатизация банковской деятельности, ОИБ, ВК, ФМ и работа других, как считается, «не зарабатывающих» подразделений кредитной организации, вообще финансируются по «остаточному принципу». При этом наблюдаются и такие нежелательные варианты «экономии» на дорогостоящих специалистах, что, как отмечалось, ведет к образованию чрезмерной концентрации полномочий в руках отдельных должностных лиц или к невозможности надежного выполнения довольно «тонких» функций в части ОИБ, таких как настройка брандмауэров, прокси-серверов и т. п. в том смысле, что специалисты, обладающие необходимой для этого достаточно узкой специализацией и высокой квалификацией, во-первых, становятся «штучным товаром», во-вторых, их действия оказывается некому контролировать. Кроме этого, средства сетевой защиты стоят, как правило, недешево, а не в каждом банке руководство имеет полное представление о тех мерах и средствах защиты, которые необходимо приобретать, внедрять, настраивать и сопровождать в связи с каждым новым ИКБД, формируемым той или иной новой ТЭБ. Вследствие этого надежно защитить все «виртуальные ворота» такого рода окажется весьма проблематично, то есть опять-таки может формироваться почва для использования служебных полномочий в личных целях (на исполнительском уровне) с последующим нанесением крупного финансового ущерба банку и его клиентам — это тот же проблемный вопрос о контролируемости информационных сечений, возникающих в ИКБД, между БАС и СЭБ и т. п.
Известно, что «рыба ищет, где глубже, а человек — где лучше», и такого рода поиски неудовлетворенных своим положением специалистов с высокой и достаточной специфичной узкой квалификацией могут приводить к тому, что отдельные банки будут терять определенных специалистов уровня, например, системных администраторов и других, которые при уходе в другую организацию будут уносить с собой всю информацию о составе и архитектуре БАС и СЭБ покидаемого ими банка, порядках, правилах, правах и полномочиях доступа к чувствительным программно-информационным ресурсам ит.п., то есть представлять в итоге совершенно конкретные угрозы для этого банка. Такие угрозы, будучи «сдобрены» плохими взаимоотношениями с прежними работодателями (причины которых — в недостаточной по мнению того или иного лица финансовой оценке его квалификации, трудозатрат, ответственности, функциональной и технологической зависимости и т. п.), могут оказаться причинами последующих инцидентов ППД, причем по своему характеру наиболее серьезных для банка и его клиентов (точнее, принадлежащих им финансовых средств и конфиденциальной информации, что в условиях известной «криминализации» российской экономики может обернуться для участников финансовых отношений непредсказуемыми последствиями). Известны случаи «закладывания» увольняющимися специалистами своего рода «программных бомб», которые через какой-то интервал времени наносят физический ущерб ПИО банков, организации ими скрытых каналов доступа к разным компонентам ПИО, сговора с отдельными сотрудниками подразделения, отвечающего за ИТ или ОИБ с целью совершения впоследствии хищений финансовых средств или конфиденциальной информации и т. д.
60
Так называемого в общем случае класса вредоносного кода malicious ware или, сокращенно, malware.
61
Virtual Private Network — VPN.