Применение технологий электронного банкинга: риск-ориентированный подход

представитель этой службы, и сотрудник операционного подразделения, входящий в СВК, не обратили на это внимания). Сказанное выше не означает, безусловно, что технология ИБ или использование web-порталов представляют «безусловную угрозу» интересам клиентов кредитной организации или ее самой, речь идет только о желательности внимательного отношения к реализующим эти технологии проектам, их жизненным циклам и сопутствующим факторам возникновения и источникам компонентов банковских рисков. Начинается такое внимание, как правило, с организации взаимоотношений кредитной организации со своими клиентами и с провайдерами, тем более что разработкой и «продвижением» web-сайтов занимается все- таки меньшая часть кредитных организаций. Это в основном наиболее крупные из них, исповедующие принцип «если хочешь, чтобы работа была сделана так, как надо, сделай ее сам». Для большинства других организаций, особенно небольших, это неприемлемо (как и самостоятельное решение многих других вопросов, связанных с автоматизацией банковской деятельности, применением банковских автоматизированных систем, систем электронного документооборота и систем электронного банкинга).

На первый план с точки зрения возникновения новых компонентов банковских рисков в связи с клиентами ДБО выходит их недостаточная техническая и правовая подготовка, они могут неточно понимать (или просто не понимать) условия соглашений по ДБО, заключенных ими с кредитной организацией. С учетом этого руководству кредитной организации целесообразно заблаговременно организовать (на официальной основе) тесное взаимодействие между специалистами подразделений ИТ, ОИБ и правового обеспечения как с целью проработки возможных негативных сценариев претензионной деятельности при возникновении каких-либо инцидентов в ИКБД, так и в плане разработки точных инструкций для клиентов ДБО (по их вариантам), а также при необходимости по личному участию в переговорах.

Мало того, изучение претензионной практики, сложившейся за последние несколько лет, свидетельствует, что помимо «компьютерной безграмотности», следствием которой являются нередко весьма ощутимые финансовые потери клиентов (в десятки тысяч и миллионы рублей, часть которых, впрочем, часто удается все-таки вернуть, хотя это стоит определенных затрат нервов, времени и денег), у кредитных организаций пытаются отсудить немалые денежные суммы и недобросовестные клиенты ИБ, предъявляющие претензии относительно имевших якобы место хищений их финансовых средств либо неведомыми хакерами, либо инсайдерами кредитной организации, что случилось как бы из-за недостатков в обеспечении информационной безопасности. Может также инсценироваться компрометация или утрата средств дистанционного доступа к информационно- процессинговым ресурсам ИБ и т. п. К тому же часто традиционно считается, что недопустимо подозревать в клиенте, желающем перейти на ДБО, потенциального или отъявленного мошенника (в отсутствие заведенного на него уголовного дела). Тем не менее известная практика дает серьезные основания для того, чтобы в кредитной организации по мере оказания удаленным клиентам банковских услуг формировалась такая доказательная база, которая позволяла бы при необходимости детально проанализировать содержание тех или иных web-отношений в течение конкретных сеансов информационного взаимодействия клиента с СЭБ, чтобы затем адекватно аргументировать позицию кредитной организации в суде. Разные кредитные организации относятся к этой проблематике также различно: одни хранят данные по проведенным операциям в течение суток и если за это время не возникло конфликтных ситуаций, просто уничтожают их, другие, располагающие ресурсами хранилищ данных, накапливают терабайты информации по операциям ДБО, проведенным за годы. Опять-таки, для этого может потребоваться как специальная технологическая и сеансовая информация, так и понимание ее назначения, способов получения, содержания и, самое главное, ее значения лицами, принимающими судебные решения.

Следует добавить, что действия клиентов могут представлять реальные угрозы для кредитной организации, реализующиеся через репутационный, правовой, а то и стратегический риски, тем более в современных условиях отмечавшейся «интернетизации» общественной жизни, т. е. возможностей распространения негативной информации через web-сайты, чаты, форумы, рассылки электронной почтой и т. п. Модели таких спорных ситуаций, соответствующих угроз и алгоритмы их парирования также лучше иметь наготове в кредитной организации (подготовить заранее). Еще лучше заведомо поставить клиента ДБО в такие условия, в которых он даже при «противоправном желании» не смог бы нанести ущерб ни кредитной организации (как «имиджевый», так и финансовый), ни другим ее клиентам.

Решающая роль при этом отводится руководству кредитной организации, сознающему наличие дополнительных факторов возникновения источников компонентов банковских рисков, связанных с удаленными клиентами, т. е. концентрирующихся в ее «клиентской» зоне ответственности. Полезно также и в плане УБР и претензионной работы формировать описания процедур, защищающих кредитную организацию в процессе претензионной работы, впрочем, не забывая об обязательствах в отношении клиентов ДБО.

6.2. Web-отношения с провайдерами

Возникновение новых источников компонентов банковских рисков вызвано как самим наличием сторонних организаций в ИКБД, так и появлением функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами. Указанные источники в документах, регламентирующих УБР в кредитной организации, ранее не описывались и не анализировались, а следовательно, в составляющих этот процесс процедурах не отражались. Эти источники (как, впрочем, и во всех остальных случаях возникновения web-отношений) желательно выявлять и анализировать с позиций возможно более полного понимания организационных, технологических и технических причин возникновения потенциальных угроз надежности банковской деятельности на основе четкого представления состава и структуры ИКБД, а также ролевых функций всех его участников. При этом целесообразно помнить, что каждому из них свойственна своя специфика, которая подлежит точно такому же специальному учету в частных процедурах общего процесса УБР в условиях ДБО.

Вопросы пруденциального формирования и поддержания кредитными организациями web-отношений со своими провайдерами актуальны прежде всего в отношении тех компаний, которые непосредственно содействуют им в использовании представительств в Сети для взаимодействия с реальной и потенциальной клиентурой. К числу таких провайдеров относятся компании, которые предоставляют услуги связи и обеспечивают необходимый кредитной организации трафик, и компании, которые создают для нее web- сайты и обеспечивают их функционирование на своих производственных мощностях, а также предоставляют техническое сопровождение (в этом качестве могут выступать интернет-провайдеры, разработчики web- сайтов, компании-интеграторы и т. п.). В зависимости от конкретной функциональной роли того или иного провайдера отношения с ним будут строиться по-разному, поскольку с каждым вариантом ассоциируются свои факторы и порождаемые ими подмножества источников компонентов банковских рисков (хотя частично эти подмножества пересекаются).

В российских условиях еще недостаточно развитой конкуренции в области предложения инфраструктуры, обеспечивающей взаимодействие кредитных организаций с внешним миром через виртуальное пространство Сети, кредитные организации пока не располагают необходимыми возможностями для влияния на соответствующие сторонние организации. Свидетельствует об этом в первую очередь то, что даже выбор провайдера для доступа к Сети, получения тех или иных каналов (линий) связи, поддержки телекоммуникационного и внутрибанковского сетевого оборудования, web-программирования и т. п. нередко оказывается вынужденным, за исключением, пожалуй, нескольких «развитых» в этом отношении российских регионов[183]. Тем не менее даже если отношения с провайдерами строятся таким «вынужденным» образом, кредитным организациям целесообразно проанализировать возможные причины возникновения дополнительных источников компонентов банковских рисков и учитывать их в содержании общего процесса УБР и входящих в него процедур (как правило, имеющих более «организационно-технический», чем операционный характер). Впрочем, в таких ситуациях двумя наиболее существенными вопросами, подлежащими рассмотрению руководством кредитной организации, являются: