Читаем Мошенничество в платежной сфере полностью

Уместно также помнить о том, что защиту лучше строить не как «реактивную», а как «проактивную». Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого в том числе строится эффективная система ОИБ, определяются методы и средства защиты данных и операций. Кроме того, для управления средствами сетевой защиты и IPDS лучше организовывать в банке обособленную хорошо защищенную сетевую структуру, доступную для использования исключительно тем сотрудникам, которые отвечают за ОИБ. Иногда применяются специальные сетевые решения, которые позволяют вообще скрыть наличие IPDS от потенциального атакующего злоумышленника, для того чтобы на них нельзя было осуществить превентивную атаку для нанесения последующего ущерба организации. Для этого требуется создание отдельной сети управления комплексом IPDS, что может оказаться чрезмерно затратным и создавать неудобства для администраторов, управляющих этими системами, однако может стать и неизбежным. Если же такое решение принимается, то дальнейшее повышение безопасности самих IPDS может быть связано с организацией для них специальной виртуальной частной сети (VPN — Virtual Private Network), через которую будут реализоваться соответствующие функции управления и контроля и которая сама должна быть гарантировано защищена[79].

Поскольку в современном мире, в том числе в банковской сфере, все шире применяются подходы, связанные с аутсорсингом и распределенной обработкой данных, важнейшей задачей является обеспечение гарантий прозрачности ДБО как для высокотехнологичного банка, так и для его клиентов, ориентированных на внеофисное обслуживание (особенно в случае использования информационных технологий и автоматизированных систем, прежде всего СЭБ, предоставляемых провайдерами). В тех случаях, когда заведомо существует неопределенность в процедурах формирования, приема/передачи, хранения данных (в том числе в силу ограничений на доступ к технологиям, устанавливаемых провайдерами), от непрозрачных схем ИКБД предпочтительнее отказываться. В российских условиях принятая во многих зарубежных странах практика обязательного знакомства кредитных организаций с технологиями и автоматизированными системами, которые используются ими на условиях аутсорсинга, пока не закреплена. Это, в свою очередь, приводит к тому, что в случаях хищения конфиденциальных клиентских данных и (или) финансовых средств, равно как и сетевых или хакерских атак на банки и их клиентов возникает неопределенность ответственности, которую практически невозможно разрешить. Несовершенство российского финансового и, в частности, банковского законодательства только способствует возникновению подобных ситуаций, а значит, поиски выхода из них остаются прерогативой самих кредитных организаций, предлагающих ДБО.

Одним из дополнительных, но весьма существенных факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых российскими банками, является отсутствие достаточного внимания к содержанию взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом финансовая организация должна[80] иметь полное представление о таких характеристиках своих провайдеров:

— лицензионные данные;

— история, опыт и отзывы о деятельности;

— состав ИТ и АПО;

— организация ОИБ;

— квалификация ключевого персонала;

— средства обеспечения непрерывности функционирования;

— содержание планов на случай чрезвычайных обстоятельств;

— организация ВК;

— финансовое состояние;

— наличие и содержание субконтрактов на аутсорсинг[81];

— результаты аудиторских проверок.

Данный перечень соответствует минимальным требованиям такого рода, но относится ко всем видам технологического аутсорсинга.

Тем самым обеспечивается прозрачность ИКБД для банка и, во многом, технологическая надежность ДБО. Очевидно, что правильная организация работы с провайдерами прямо зависит от понимания значимости данной проблематики руководством банков. Можно, кстати, отметить, что на это обращается внимание многими зарубежными органами банковского надзора, к примеру, в одном из руководств Федеральной корпорации страхования депозитов США[82], посвященном оцениванию банковских рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».