Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов
Шрифт:
Интервал:
Закладка:
и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.
В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4[84].
Рис. 3.4. Программа защиты активов и программа предотвращения мошенничества, а также их компоненты
По аналогии с «Политикой обеспечения информационной безопасности» в таком документе следует предусмотреть совокупность мероприятий, выполнение которых позволит существенно снизить количество угроз, реализуемых в целях любой ППД. Вследствие этого неизбежна тесная связь мероприятий по ОИБ, формирующих периметр безопасности кредитной организации в киберпространстве, с мерами противодействия возможному противоправному использованию технологий ДБО. Следует отметить, что в данном случае типичный акцент на работу службы безопасности банка не оправдан — процесс эффективного возможной ППД неизбежно является комплексным!
На изучение ситуации с противодействием компьютерным мошенничествам в отношении высокотехнологичных банков и их клиентов было ориентировано Письмо Банка России от 25.02.2013 № 27-Т «О запросе и получении от кредитных организаций информации», в котором содержалась анкета по тематике организации противодействия возможной противоправной деятельности с использованием информационных технологий, в том числе интернет-технологий и других технологий ДБО. К сожалению, указанная анкета имела достаточно общий характер и поэтому может служить преимущественно в качестве принципиального ориентира для банков на те подходы, которым целесообразно было бы следовать при организации противодействия возможной ППД. Как видно из содержания входящих в анкету вопросов, основное внимание целесообразно уделять как раз перечисленным выше внутрибанковским процессам: УИТ, ОИБ, ВК, ФМ, правового обеспечения и претензионной работе.
Темпы развития все новых ИТ и способов их противоправного использования приводят к серьезным проблемам для тех, кто обязан воспрепятствовать осуществлению компьютерных преступлений и проводить компьютерные же расследования, чтобы оставаться, так сказать, «на уровне» развития информационных технологий и тем более предупреждать разрушительную деятельность «плохих парней» (как говорят в США). Вследствие этого весьма желательно оценивать новые технологии с позиций возможного их применения для сокрытия ППД, обхода мероприятий по ОИБ, ВК, ФМ и маскировки действий или маскирования личности злоумышленников. В этом плане крайне важны грамотное распределение функциональных ролей в управленческой иерархии кредитной организации и контроль над ними.
В зарубежной литературе, посвященной тематике киберправосудия, считается, что в организациях знаниями о его законодательной основе и основных принципах осуществления следует обладать:
— членам советов директоров;
— главным бухгалтерам (Chief Financial Officers);
— операционным директорам (Chief Operational Officers);
— руководителям, ответственным за информационные технологии;
— руководителям обеспечения информационной безопасности;
— руководителям службы внутреннего контроля (аудита);
— директорам кадровых служб;
— менеджерам, ответственным за непрерывность бизнеса;
— менеджерам, ответственным за реагирование на инциденты.
Данный перечень не является исчерпывающим, но скорее изначальным. Отмечается, что круг лиц, от которых потребуется наличие знаний такого рода, с течением времени будет неизбежно расширяться за счет охвата второго и третьего уровней управленческой иерархии (при усложнении компьютерных систем организации).
Грамотное осуществление ВК и ФМ в условиях применения ТЭБ стало принципиально важным за последние десять лет, но, к сожалению, это не всегда в должной степени осознается руководством высокотехнологичных кредитных организаций. Как всегда подчеркивает в своих работах БКБН, «банкам необходимо располагать средствами внутреннего контроля, адекватными характеру, видам и масштабам их деятельности. Цель использования средств ВК заключается в содействии обеспечению руководством гарантий упорядоченного и эффективного ведения бизнеса, включая приверженность политике управления, защищенность активов, предотвращение и обнаружение мошенничества и ошибок, точности и полноты записей в бухгалтерском учете, а также своевременной подготовки достоверной финансовой отчетности. Разработка специализированных компьютеризованных информационных систем существенно улучшила возможности для осуществления контроля, однако, в свою очередь, привнесла дополнительные риски, связанные с возможностью отказов компьютерной техники или ее мошеннического использования»[85]. Упоминание новых рисков не совсем уместно, поскольку на самом деле речь следовало бы вести об усложнении их структуры (появлении новых компонентов рисков), но ключевое слово здесь — «адекватный», и это совершенно верный акцент.
В условиях новых ИКБД, создаваемых любой ТЭБ, требования к осуществлению ВК неизбежно повышаются, и сама эта работа становится пропорционально более сложной, требующей дополнительной и достаточно высокой квалификации, позволяющей «проникать» в не раз упоминавшееся в данной главе киберпространство и контролировать протекающие в нем процессы. Нельзя при этом забывать о том, что пространство это простирается от устройств, которыми пользуются клиенты, через телекоммуникационные системы, СЭБ и вычислительные сети до той или иной БАС кредитной организации, реализующей ее так называемый бэк-офис. Именно в нем и реализуется наибольшее количество компонентов таких банковских рисков, как операционный, неплатежеспособности, репутационный и, отчасти, стратегический, чему как раз и должен воспрепятствовать ВК. Отсюда можно сделать вывод, какими знаниями и квалификацией необходимо обладать специалистам службы ВК[86].
