3 февраля 2014

Противодействие компьютерным мошенничествам в банке

Противодействие компьютерным мошенничествам в банке

Разнообразные информационные технологии давно уже стали ключевым фактором сокращения операционных издержек, себестоимости банковского обслуживания и увеличения прибыли кредитных организаций. Они же могут сделать корпоративные активы более уязвимыми для столь же высокотехнологичных посягательств.

На сегодняшний день многие мошенники активно используют новые технологии не только в качестве средства, но и в качестве цели своей деятельности. Данная тенденция, скорее всего, сохранится и в будущем, поскольку преступные сообщества охотно принимают на вооружение любые достижения и «прорывы» в сфере банковских информационных технологий.

Так, масштабы противоправной деятельности (от хищений с помощью банкоматных мошенничеств, фишинга, телефонной «социальной инженерии» и других технологий такого рода до так называемого отмывания денег и финансирования терроризма) с каждым годом практически удваиваются, так что этот негативный процесс может скомпрометировать все виды ДБО, включая карточный бизнес, что опасно не только для банков и держателей карт, но и для банковской системы государства в целом.

Одним из естественных следствий этого негативного процесса, порождаемого мошенничеством, является также и то, что в самих кредитных организациях существенно увеличивается нагрузка на подразделения (внутреннего контроля, финансового мониторинга, информационной и экономической безопасности, правового обеспечения банковской деятельности, взаимодействия с клиентами и др.), отвечающие за внедрение и применение информационных технологий. Одновременно усложняется и значительно увеличивается объем претензионной работы с клиентами кредитных организаций.

Основная угроза для кредитных организаций, которая непосредственно связана с распространением компьютерных мошенничеств, заключается в потере контролируемости и, как следствие, управляемости внедренных компьютерных технологий и реализующих их банковских автоматизированных систем (включая системы ДБО), что влечет потерю доверия обслуживаемого кредитными организациями населения.

Отсюда следует необходимость расширения функций внутреннего контроля над применением в кредитных организациях указанных технологий и соответствующих автоматизированных систем.

Практика содержит массу примеров различных технологий мошенничеств и некорректных действий клиентов, из-за которых мошенничество становится возможным. В связи с этим возникает необходимость совершенствования договорных отношений с клиентами и повышения уровня информирования клиентов о возможных мошенничествах.

Недостаточная защищенность кредитных организаций от действий мошенников и широкое распространение ДБО в совокупности являются серьезной угрозой надежности банковского обслуживания и причиной существенного повышения уровней и смещения профилей ряда банковских рисков: операционного, правового, репутационного, стратегического и пр.

Зарубежная практика по формированию борьбы с кибермошенничеством

На Западе понимание данной проблемы привело к возникновению новой специальности — сертифицированный инспектор по мошенничествам (Certified Fraud Examiner — CFE), в обязанности которого входят:

  • содействие принятию превентивных мер в отношении возможной компьютеризованной преступной деятельности;
  • проведение расследований уже совершенных компьютерных преступлений;
  • разработка мер по усовершенствованию противодействия потенциальным мошенничествам, совершаемым, в том числе с использованием информационных технологий и систем.

Риски, с которыми сталкиваются кредитные организации, по мере усложнения технологий только повышаются. Лица, склонные к злоупотреблениям технологиями, обнаруживают, что их возможности возрастают, тогда как возможности кредитных организаций в части собственной защиты и защиты своих клиентов от незаконных посягательств становятся экспоненциально более проблематичными и ограниченными.

В XXI в. каждая кредитная организация обязана противостоять мошенникам не только на уровне состоявшегося факта совершенного преступления, но и на уровне возможности возникновения угрозы. Для этого необходимы высококвалифицированные специалисты в области киберправосудия, вне зависимости от формы трудовых отношений: будет ли это штатный специалист или приглашенный на основе контракта с третьей стороной. При этом важность вопроса — не «если» потребуется, а «когда»…

В настоящее время необходимость внедрения актуальной программы «киберправосудие», обеспеченной подготовленным персоналом для проведения расследований и прикладными процедурами, должна осознаваться как никогда ранее.

На перечисленных фактах делают акцент многие зарубежные исследователи, в том числе авторы-эксперты, много лет работающие в сфере внутреннего контроля и внутреннего аудита. В частности, в одной из наиболее известных работ Дэвида Кодерре было указано, что растет нагрузка на аудиторов в части предотвращения и выявления мошенничества.

Само по себе предотвращение и обнаружение мошенничества, растрат и злоупотреблений для аудита является обыденным процессом, однако требует дополнительных затрат времени и сил аудитора. Спрос на инспекторов по мошенничествам и тех, кто их расследует, также растет. Ситуация осложняется тем, что теперь от аудиторов и тех, кто расследует мошенничества, требуется предотвращение и выявление мошенничеств в условиях компьютеризованной среды, в которой бумажные документы могут и не существовать. Традиционные методы расследований с использованием органов чувств оказываются уже неактуальными.

Одна из принципиально важных ролей аудита заключается в предоставлении руководству надежных гарантий того, что средства внутреннего контроля действительно имеются и функционируют должным образом. Аудитор обязан всегда предполагать возможность преступной деятельности, проступков, конфликта интересов и различных злоупотреблений. Стандарты аудита требуют от аудиторов наличия достаточного объема знаний о мошенничествах для того, чтобы обнаруживать свидетельства мошенничеств.

Интересно отметить, что на этих же проблемах делает акцент и Ф.У. Абигнейл, бывший мошенник, который по окончании тюремного заключения и выхода на свободу организовал консалтинговое агентство по противодействию мошенничествам и написал книгу, в которой, в частности, сказано: «Технология всегда способствовала и способствует росту преступности, она намного облегчила жизнь мошенникам…

При виртуальном мошенничестве наверняка не известно, кем является злоумышленник. Его нельзя увидеть, потому что это — аноним и он скрыт технологиями и автоматизированными системами». Также Ф.У. Абигнейл отмечает, что для большинства клиентов банков «…электронные банковские операции все еще остаются загадочными». В качестве одного из обоснований он приводит и результаты одного из социологических исследований, в котором приняли участие несколько сотен компаний США.

В процессе исследования изучалось отношение персонала этих компаний к воровству. «Результаты исследований показали, что 10% работников воровали бы все время, еще 10% никогда не украли бы, а 80% воровали бы, если бы у них была для этого причина. Это говорит о том, что руководство компаний должно беспокоиться о 90% персонала». Хотелось бы верить, что столь неутешительная ситуация типична только для упомянутой страны.

Российская практика противодействия кибермошенничеству

В настоящее время в некоторых крупных российских кредитных организациях уже начали формироваться специализированные группы, в задачи которых входит разработка мероприятий по предотвращению той или иной противоправной деятельности и программ ее обнаружения, а также проведение расследований по фактам такой деятельности.

Немалое волнение в банковском сообществе вызвала ст. 9 Федерального закона от 27.06.2011 N 161-ФЗ «О национальной платежной системе», которая ставит кредитные организации, предлагающие услуги ДБО, в затруднительное положение.

При формировании в кредитной организации групп по борьбе с противоправными действиями в них целесообразно включать специалистов по информатизации, обеспечению информационной и экономической безопасности, внутреннего контроля и финансового мониторинга, а также правового обеспечения банковской деятельности и ведения претензионной работы.

Само формирование таких групп, объединяющих разных специалистов высокой квалификации, может рассматриваться в качестве «платы за страх» или за лояльность и «верность» клиентов кредитных организаций, активно использующих ДБО. От качественного состава таких групп и продуманной методологии противодействия мошенничествам зависят надежность современной банковской деятельности и доверие клиентов кредитных организаций.

Собственно работа по организации противодействия потенциальной противоправной деятельности инициируется в тот момент, когда приходит понимание актуальности данной проблематики, и начинается активная подготовка по принятию соответствующих административно-организационных решений. В публикациях зарубежных авторов пропагандируются идеи разработки кредитными организациями программ защиты активов (с учетом того, что наибольшая часть активов кредитных организаций в современном мире — информационные), и в их составе программ противодействия потенциальным мошенничествам (в том числе корпоративным).

Программа противодействия потенциальным мошенничествам

Собственно программу противодействия потенциальным мошенничествам целесообразно начинать с определения состава подлежащих решению задач, а также распределения обязанностей и ответственности, прав и полномочий, подконтрольности и подотчетности. Это типичная структура принятия административно-организационных решений, и в этом плане борьба с мошенничествами ничем не отличается от любой управленческой деятельности. Однако когда речь заходит о высоких технологиях, необходимо учитывать конкретные требования к квалификации менеджеров разных уровней, особенно уровня исполнителей.

Стоит отметить необходимость придания официального статуса такой программе и разработки порядка (и методики) ее регулярного тестирования на соответствие применяемым информационным технологиям и банковским автоматизированным системам (которые могут претерпевать изменения в связи с развитием бизнеса и предложением новых сервисов для клиентов).

Помимо этого, необходимо рассмотреть ряд направлений данной деятельности, в отношении которых целесообразно принятие специфических организационно-технических решений, содержание которых будет определяться составом банковских услуг, оказываемых через киберпространство, видами информационных технологий той или иной кредитной организации, архитектурой ее вычислительных сетей (локальных, муниципальных и зональных, а также особенностями использования глобальной сети Интернет) и некоторыми другими факторами.

Очень многое в части противодействия компьютерным мошенничествам (ПКМ) зависит от состава и качества его документарного обеспечения, в состав которого входят положения об упоминавшихся выше структурных подразделениях кредитных организаций и должностные инструкции менеджеров разного уровня и конкретных исполнителей.

Нельзя забывать и о документах наиболее высокого иерархического уровня — таких положениях, как: о совете директоров кредитной организации, о правлении кредитной организации, внутреннем контроле (ВК), финансовом мониторинге (ФМ), политике обеспечения информационной безопасности и пр. В перечисленных положениях также целесообразно отражать вопросы обеспечения противодействия возможной противоправной деятельности (от хищения конфиденциальной информации и финансовых ресурсов до отмывания денег и финансирования терроризма).

К сожалению, практика свидетельствует о том, что чаще всего от высшего руководства кредитной организации ничего не требуется в части таких важнейших для надежности современной банковской деятельности областей, как ее информатизация (автоматизация), обеспечение информационной безопасности, противодействие противоправной деятельности, хотя вопросы управления внутренним контролем и финансовый мониторинг обычно упоминаются.

Документы, относящиеся к решению вопросов преимущественно общего, административно-организационного характера, по своему содержанию логично связывать с мероприятиями, осуществление которых ориентировано на пресечение посягательств на информационные активы кредитных организаций (как их инсайдеров, так и третьих лиц), а также последующую организацию претензионной работы с их клиентами, пострадавшими от компьютерных преступлений.

Документарное сопровождение осуществления любой банковской деятельности и ее обеспечение (включая описания соответствующих способов и условий) важны сами по себе, что неоднократно подчеркивалось, к примеру, в материалах Базельского комитета по банковскому надзору. Но если говорить именно о противодействии возможному компьютерному мошенничеству, то его организацию можно прокомментировать следующим образом.

Противодействие угрозам компьютерного мошенничества

Мошенничества, связанные с использованием компьютеров и компьютерных сетей, являются наиболее быстрорастущей «строкой» в глобальной преступной статистике. Некоторые ранее популярные виды мошенничества уходят в прошлое, однако с развитием банковских информационных технологий открываются возможности для многих новых его разновидностей.

В современном мире мошенники используют не только высокотехнологичные системы и устройства, но и их уязвимости. Поэтому для руководства кредитных организаций весьма актуальными становятся вопросы определения так называемых «агентов угроз», формирования «образов» (шаблонов) потенциальных атак на информационные активы и создания возможных моделей их поведения.

В специализированной литературе преобладают предложения по так называемому «агрессивному стратегическому подходу» к борьбе с мошенничеством, в том числе — корпоративным, и здесь невозможно переоценить активную роль подразделений ВК и ФМ кредитной организации, а также подразделений по обеспечению информационной безопасности (ОИБ) и управления банковскими рисками (УБР).

Функционирование всех этих подразделений, особенно в части обеспечения надежности банковской деятельности (возможно, с акцентом на ДБО, если эти технологии становятся превалирующими), логично контролировать в совокупности с отдельными элементами контроля, реализуемыми в подразделениях кредитной организации в составе системы ВК.

Это удобно с позиции единой методологии, которая обеспечивается как раз службами ВК и ФМ. Это справедливо и в том случае, если в кредитной организации наличествуют ресурсы для создания специализированной службы сертифицированных инспекторов по мошенничествам (CFE). Во всяком случае, наличие в кредитной организации сертифицированных специалистов CFE, а также сертифицированных аудиторов информационных систем (CISA) и сертифицированных менеджеров информационных систем (CISM), участвующих в работе системы ВК, ничего кроме пользы и дополнительной уверенности руководства кредитной организации в надежности банковской деятельности не принесет.

Необходимо заметить, что организация эффективного взаимодействия перечисленных выше служб является прерогативой высшего менеджмента кредитных организаций. Безопасность самой кредитной организации и средств, доверяемых ей клиентами (возможно, с акцентом на клиентов ДБО), прямо зависит от того, насколько полно обеспечены взаимопонимание согласованных ролевых функций и обмен значимой информацией о предотвращении инцидентов, связанных с компьютерными мошенничествами, или выявлении таких попыток между службами CFE, CISA, CISM.

В связи с этим может потребоваться и корректировка как положений об этих подразделениях, так и должностных инструкций их сотрудников, ориентированная на внедрение развитого механизма информирования о негативных ситуациях, связанных с мошенничествами, а также на сбор информации о совершенных мошенничествах (не только в данной организации), использованных для этого подходах и технологиях и на совершенствование соответствующих превентивных мер.

Разграничение прав и полномочий доступа к информационным ресурсам и операционному программному обеспечению

Банковская деятельность в условиях компьютеризованной среды предполагает наличие строгого разграничения прав и полномочий доступа к информационным ресурсам и операционному программному обеспечению. Положения об этом обычно содержатся в политике ОИБ кредитной организации. Однако нельзя забывать о необходимости мониторинга выполнения соответствующих требований и условий, который осуществляется прежде всего с помощью так называемых «компьютерных журналов», в которых фиксируются данные о действиях всех лиц, имеющих отношение к вводу, обработке и хранению банковских и клиентских данных.

Таких лиц немало — это разного рода операторы, операционисты, администраторы (системные, сетевые, баз данных, информационной безопасности), сотрудники IT-подразделения, наконец, многочисленные клиенты, которые в условиях ДБО сами начинают выполнять отдельные функции операционистов. Состав данных целесообразно определять с учетом того, что возможные негативные инциденты информационной безопасности (которые являются следствием несовершенства требований к распределению прав и полномочий доступа к упомянутым ресурсам, реализации прав и полномочий доступа или же прямого их нарушения) могут быть связаны с «удачными» мошенничествами, а значит, непосредственно вносить свой «вклад» в банковские риски (операционный, правовой, репутационный, стратегический и пр.).

К перечню указанных рисков может добавиться форма риска ликвидности — если из-за махинаций в киберпространстве со счетов клиентов пропадают денежные средства, то кредитная организация может оказаться неплатежеспособной. За такими событиями следуют долговременные судебные разбирательства с сопутствующими судебными издержками, в которых не могут быть заинтересованы кредитные организации.

Стоит добавить, что в политике ОИБ кредитной организации уместно предусмотреть процедуры оперативной смены прав и полномочий доступа сотрудников в зависимости от ситуации с ротацией или «текучкой» кадров: наиболее значимы ситуации, связанные с увольнением неблагонадежных сотрудников.

Информационные сечения

Чрезвычайно важно регулярно анализировать внутрибанковские сетевые архитектуры на наличие так называемых «информационных сечений», которые могут образовываться как между отдельными автоматизированными системами (типичный пример — БАС и системы ДБО), так и отдельными подсистемами в рамках распределенных компьютерных систем.

Избежать возникновения подобных сечений трудно, особенно при интенсивном развитии бизнеса и предложении новых сервисов. Тем не менее в рамках реализации политики ОИБ, равно как и ПКМ, целесообразно проверять выполнение так называемого принципа «четырех глаз» — двойного независимого параллельного контроля.

Основная опасность здесь заключается в том, что через такие сечения может происходить несанкционированный доступ к внутрибанковским информационным потокам.

Типичными примерами таких ситуаций являются составление фальшивых платежных поручений или подмена реквизитов реальных документов, которые существуют только в электронной форме, прежде всего это относится к специфике документооборота ДБО. Кроме того, информационные сечения могут использоваться для хищения конфиденциальной информации о финансовой деятельности кредитной организации и ее клиентах, которая в зависимости от конкретной ситуации сама может оказаться более ценной, чем описанные в ней финансовые активы.

Организационно-технические меры в отношении функционирования сетевых компонентов

В кредитных организациях важно принятие организационно-технических мер в отношении функционирования сетевых компонентов, таких, например, как:

  • использование терминального режима работы функциональных автоматизированных рабочих мест (АРМ) в БАС;
  • ограничение на использование мобильных носителей компьютеризованной информации на серверах и АРМ, используемых для хранения и обработки критично важных данных;
  • разделение сетевых структур на сегменты по функциональным признакам с применением сетевых экранов (брандмауэров);
  • применение при соединении сетевых структур с внешними информационно-телекоммуникационными сетями как минимум двухуровневой системы межсетевой защиты;
  • разделение обязанностей между специалистами подразделений ИТ, ОИБ и других таким образом, чтобы не было недопустимой концентрации в одних руках критично важных прав и полномочий;
  • наличие регламента использования криптографических средств при ДБО клиентов (с учетом требований к сертификации соответствующего аппаратно-программного обеспечения);
  • осуществление контроля содержания сообщений электронной почты и установка обоснованных ограничений на ее использование;
  • применение средств автоматизации мониторинга профиля финансовой активности клиентов и анализа ее результатов (то есть переход в соответствии с рекомендациями FATF от анализа операций клиентов к анализу их финансово-хозяйственной деятельности в целом);
  • криптозащита чувствительной информации (особенно клиентской) на машинных носителях в самой кредитной организации;
  • ведение компьютерных журналов (системных и аудиторских) в целях контроля функционирования и использования БАС и систем ДБО, а также проведения расследований нештатных и криминальных ситуаций;
  • использование специальной выделенной сетевой структуры для управления средствами защиты сетевых компонентов и распределения прав/полномочий доступа к информационным активам и операционному программному обеспечению кредитной организации;
  • осуществление обязательного контроля над установкой и модификацией (обновлением) программного обеспечения БАС и систем ДБО, а также над резервированием и хранением архивов чувствительных данных и копий операционного программного обеспечения;
  • наличие ограничений возможностей сетевого доступа к ресурсам функциональных АРМ в БАС (используемым в обеспечение банковских операций, подготовки отчетности и др.);
  • использование в сетевых структурах систем предотвращения и обнаружения вторжений (IPDS — Intrusion Prevention & Detection System);
  • применение технологии виртуальных частных сетей (VPN — Virtual Private Network) при передаче чувствительной информации по незащищенным каналам связи;
  • ограничение возможностей доступа к сети Интернет с функциональных АРМ в БАС для всех категорий сотрудников кредитной организации;
  • применение антивирусного и антишпионского программного обеспечения с учетом требований к его своевременному обновлению;
  • осуществление контроля над организацией, функционированием и обслуживанием терминалов удаленного доступа (банкоматных сетей, платежных терминалов и т.п.), включая способы оперативного реагирования на нештатные ситуации;
  • осуществление регулярного контроля над ОИБ и финансовым состоянием провайдеров кредитной организации;
  • проведение обучающих мероприятий с персоналом и клиентами кредитной организации по тематике противодействия компьютерным мошенничествам.

Все перечисленные мероприятия целесообразно документировать и доводить содержание этих документов до персонала, ответственного за работу на функциональных участках кредитной организации. Можно добавить, что приведенный перечень (при составлении которого использовались также материалы зарубежных органов банковского регулирования и надзора) не является исчерпывающим, а его полное содержание определяется содержанием банковской деятельности в целом, состава услуг ДБО и способов их предоставления, а также спецификой АПО и сетевых архитектур конкретной кредитной организации.

Несмотря на то, что все перечисленные мероприятия входят в обязанности служб IT, ОИБ и отчасти ФМ, контроль над самими фактами их осуществления и, что не менее важно, качество их реализации остаются важнейшей функцией службы ВК.

Дополнительные сложности возникают в связи с контролем ДБО, поскольку работа каждой из соответствующих систем связана с образованием новых информационных потоков, объединяющих информационно-процессинговые ресурсы кредитной организации с теми компьютеризованными средствами связи, которыми пользуются ее клиенты.

Таким образом, расширяется и так называемый «периметр безопасности» этой организации, состояние которого также необходимо контролировать, в том числе исходя из соображений ПКМ. Тем самым определяются требования к разработке новых программ и методик осуществления ВК, планам его работы и отчетам о проведенных проверках.

Заключение

Одним из результатов анализа ситуации с компьютерными мошенничествами, проведенного в последнее время Департаментом банковского надзора Банка России, стала разработка специальной анкетной формы, содержащей многие из рассмотренных в настоящей статье вопросов организационно-технического характера относительно тех мероприятий, которые было бы уместно реализовывать кредитным организациям для организации противодействия незаконным действиям.

Эта форма была направлена в территориальные учреждения Банка России с Письмом от 25.02.2013 N 27-Т «О запросе и получении от кредитных организаций информации».

В настоящее время идет обработка и анализ полученной от кредитных организаций информации. Предполагается формирование информационной основы для принятия решений относительно содействия повышению надежности банковской деятельности.

Следствием этого процесса должно стать повышение технологической надежности банковской деятельности, снижение финансовых потерь кредитных организаций и их клиентов, а также числа жалоб последних, поступающих в Банк России и правоохранительные органы.