Страница 13 из 15
– установить пороговые размеры сделок и время от времени проверять их адекватность.
Отдельно следует отметить роль топ-менеджеров кредитных организаций. Они должны стремиться к постановке и практической реализации задач в области предотвращения незаконных операций и демонстрировать, что банк как субъект корпоративной культуры заботится о своей репутации не меньше, чем о прибылях, маркетинге и качестве обслуживания клиентов.
Топ-менеджерам кредитных организаций необходимо хорошо представлять, что клиенты коммерческих банков, использующие для выполнения своих операций СЭБ и занимающиеся противоправной деятельностью, могут не только нанести удар по репутации банка, но и создать для него серьезные осложнения во взаимоотношениях с регулирующими органами, вплоть до отзыва лицензии на осуществление банковских операций.
1.3.4. Подготовка сотрудников коммерческих банков по вопросам обеспечения информационной безопасности
Четвертая область связана с совершенствованием профессиональной подготовки персонала банка (включая сотрудников служб внутреннего контроля) по вопросам обеспечения информационной безопасности. Учитывая заметное увеличение источников банковских рисков, основу которых составляют особенности функционирования СЭБ, специалистам коммерческих банков, в чьи функции входит управление рисками, необходимо иметь не только экономическое или юридическое, но и техническое образование, позволяющее достаточно уверенно ориентироваться в особенностях функционирования различных технологий ДБО.
Ненадлежащее обеспечение информационной безопасности СЭБ (в частности, продажа населению слабо защищенных финансовых услуг) ведет к созданию предпосылок для хищения денежных средств и финансирования криминала. Существующая динамика развития современных процессов, связанная с ростом технических возможностей, способна многократно увеличить объемы финансирования криминала. Если допустить рост хищений в больших объемах (что приведет к соизмеримости объема хищений с объемами денежных средств в госсекторе), это может быть серьезной угрозой экономической безопасности страны.
2. Кибербезопасность в условиях применения систем электронного банкинга
Кольчуга не слишком защищает от стрелы, особенно если та нацелена вам между глаз.
2.1. Парадигмы построения системы кибербезопасности
Добрые нравы имеют большую силу, чем хорошие законы.
В современном обществе интернет и сотовая связь стали привычными каналами предоставления информационных услуг. В банковской сфере эти два способа связи легли в основу ЭБ, который является лидером среди технологий ДБО. СЭБ фактически переместили весь процесс взаимодействия кредитных организаций с клиентами в виртуальное пространство, или, другими словами, киберпространство.
Внедрение СЭБ не только значительно сокращает операционные издержки, но и является одним из основных конкурентных преимуществ кредитных организаций. В то же время, перенося бизнес в киберпространство, кредитные организации не освобождаются от ответственности за качество предоставления финансовых услуг и должны в полной мере осознавать, что сегодня компьютерные атаки кибермошенников направлены в первую очередь на СЭБ с целью кражи денег со счетов как банков, так и их клиентов.
Если рассматривать информационный контур банковской деятельности, формируемый в условиях применения СЭБ, то наиболее слабым звеном является клиент. АПО СЭБ достаточно хорошо защищено на стороне банка, но не на стороне клиента. Поэтому взломать современные системы защиты, используемые кредитными организациями, намного сложнее, чем получить доступ в личный кабинет клиента.
К основным факторам, сдерживающим развитие ДБО, можно отнести отсутствие доверия клиентов к технологиям ДБО из-за роста компьютерных атак на СЭБ (в т. ч. с использованием социальной инженерии) и низкий уровень финансовой грамотности клиентов (включая недостаточную информированность о возможностях современных технологий ДБО и способах обеспечения кибербезопасности).
Повышение уровня финансовой грамотности населения – это задача, которая должна решаться комплексно. Во многих странах с основами кибербезопасности начинают знакомить еще в начальной школе, а в университетах этот предмет является обязательным – в информационный век не может быть другого подхода.
Следует принимать во внимание, что уровень финансовой грамотности населения всегда будет уступать уровню и скорости развития мошеннических технологий. Поэтому разработчики АПО СЭБ изначально должны ориентироваться на «среднего» пользователя и обеспечивать максимальную защиту от внешних воздействий.
Минимизировать риски «успешного» воздействия компьютерных атак можно с помощью построения комплексной системы кибербезопасности в кредитно-финансовой сфере.
В основе такой системы безопасности может лежать одна из двух парадигм: парадигма защищенности или парадигма развития.
Парадигма защищенности предполагает, что основу обеспечения безопасности составляет борьба с опасностями (угрозами). Менталитет защищенности приводит к отождествлению безопасности с жизнедеятельностью, вследствие чего идея безопасности ставится во главу угла всей деятельности.
Необходимой предпосылкой обеспечения безопасности в рамках данной парадигмы является определение угроз безопасности, на устранение которых и направляется соответствующая деятельность, прежде всего специальных служб[50].
Парадигма развития базируется не столько на борьбе с опасностями, сколько на развитии собственных внутренних сил. И потому опасность представляет собой не только то, что отрицает существование объекта, но и прежде всего то, что угрожает его самоутверждению [69, с. 154].
В настоящее время наблюдается устойчивая тенденция смещения акцентов в деятельности по обеспечению безопасности с парадигмы защищенности на парадигму развития. Появилось понятие «безопасность через развитие». Его суть заключается в том, что обеспечение безопасности все в большей степени осуществляется через развитие и все в меньшей – через защиту[51].
Система не может быть жизнеспособной, только сохраняя достигнутое, без изменений и развития, поэтому следование исключительно парадигме защищенности в действительности не укрепляет безопасность, а постепенно разрушает объект, так как он не развивает свои внутренние силы, а лишь противостоит опасностям. И наоборот – только самоутверждение, постоянное изменение без сохранения основы системы ставят под удар существование последней. Таким образом, парадигмы защищенности и развития должны не исключать, а дополнять друг друга. Именно такого подхода необходимо придерживаться при построении комплексной системы кибербезопасности в кредитно-финансовой сфере.
Очевидно, что большая работа должна быть проведена регулятором. Как минимум он должен обеспечить определение необходимых условий ведения банковского бизнеса в киберпространстве и разработать рекомендации по снижению рисков для кредитных организаций.
В условиях применения СЭБ в ряде случаев в пользу киберпреступников работают:
– стремительная скорость устаревания техники. Именно поэтому многие успешные компьютерные атаки реализовываются при запуске новых банковских сервисов (речь идет об атаках «нулевого дня» – когда атака уже реализуется, а противоядие еще не найдено; такие атаки наносят самый большой вред);
– безграничность интернета и неадекватность нормативно-правовой базы, регулирующей информационные потоки. В связи с этим чрезвычайно сложно идентифицировать киберпреступников (особенно если они находятся на территории офшорных государств, где действует запрет на выдачу определенной информации).
50
Эта парадигма уходит корнями в историю России. Так, система государственной безопасности СССР и деятельность КГБ были построены на этой модели. Четко просматривается эта парадигма и в начале 1990-х гг. XX в. Например, в Законе РФ от 05.03.1992 № 2446-I «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
51
Подтверждением этому может служить принятие ряда важнейших концептуальных документов, направленных на обеспечение разных видов безопасности Российской Федерации (в которых акценты сделаны именно на проблемах развития): Стратегии национальной безопасности Российской Федерации (2009 г.), Доктрины информационной безопасности Российской Федерации (2000 г.), Стратегии развития информационного общества в Российской Федерации (2008 г.) и др.