Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» web-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты»[186], «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.

По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (web-серверов, почтовых серверов, маршрутизаторов, сетевых экранов) и т. п. Следствием принятия этого подхода может стать удорожание применения кредитной организацией технологий электронного банкинга, но вместе с тем будет повышена его надежность. В современных условиях повышение затрат на обеспечение надежности ДБО (в широком смысле) безусловно оправдано и обосновано, и чтобы оно не сказалось негативно на тарифах, кредитным организациям целесообразно в ходе адаптации своих внутрибанковских процессов позаботиться об их оптимизации, т. е. о компенсации увеличения затрат на повышение эффективности процесса УБР.

В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.

В упоминавшихся выше рекомендациях органов банковского регулирования и надзора США[187] отмечается, что предоставляемые через web-сайты, используемые кредитными организациями, функции и возможности должны быть очевидны для посетителей, равно как и источники предлагаемой информации, независимо от того, предоставляются ли они самими организациями или другими сторонами, входящими в ИКБД. Это действительно важно, поскольку практически каждый web-сайт содержит так называемые «web-связи»[188]. Под такой связью понимается некий объект на web-странице (слово, выражение или изображение), связанный с кодовой комбинацией, которая при «щелчке» по нему мышью воспроизводит на дисплее компьютера пользователя («закачивает») другой, в общем случае, программно-информационный компонент web-сайта или обращается с запросом на другой web-сайт. Web-связи представляют собой удобное и общепринятое средство в конструкции web-сайта, однако их использование может оказаться связано с отдельными компонентами банковских рисков.

Web-связи сайтов, используемых кредитными организациями, нередко ведут на web-сайты, которые этими организациями непосредственно не контролируются. Именно «неподконтрольность» web-связей может привести к возникновению упомянутых компонентов, тем более если какие-то «последствия» таких связей возникают неожиданно для кредитной организации как следствие злого умысла (к примеру воздействия-атаки хакера). Поэтому руководству кредитных организаций и специалистам прикладного уровня целесообразно иметь представление о таких факторах и источниках компонентов банковских рисков и предпринимать необходимые меры для контроля над контентом web-сайтов, которые используются в банковской деятельности.

Считается также, что наиболее значительными дополнительными компонентами характеризуются репутационный и правовой риски. Компоненты репутационного риска могут возникать, если имеют место, например:

неуверенность клиента в том, кто предоставляет продукты или услуги: конкретная кредитная организация либо связанная третья сторона;

недовольство клиента качеством продуктов или услуг, фактически получаемых от третьей стороны;

непонимание клиентом возможностей применения конкретных установленных мер защиты в отношении продуктов или услуг третьей стороны.