Руководству кредитной организации, принимая решение о переходе к ДБО через открытые системы (в том числе — через Интернет), целесообразно, по сути, провести некоторые специализированные исследования, в том числе в части оценки зависимости этой организации от «третьих лиц», присутствующих в ИКБД, прежде всего от провайдеров разного рода. Организация отношений с ними также может относиться к стратегическим решениям, так как известно, скажем, немало примеров сетевых атак, ориентированных на финансовые учреждения, но осуществлявшихся через компьютерные системы других компаний. Такая атака типа «распределенный отказ в обслуживании»[46] имела место и в отношении уже упоминавшейся кредитной организации, причем обращение ее специалистов к провайдерам с просьбой помочь парировать ложный трафик нашли отклик далеко не у всех таких компаний. Те, кто отказался помочь, ссылались на контрактные обязательства, которые касались только обеспечения конкретных каналов (линий) связи, их пропускной способности, поддержки серверов и т. п., но не содействия в организации сетевой защиты и участия в ней. В итоге этой кредитной организации пришлось пересматривать, а точнее, строить заново свою «политику отношений» с провайдерами. Кстати, это до настоящего времени «больной» вопрос для многих кредитных организаций, особенно тех, кто работает в условиях недостаточно развитой региональной инфраструктуры и отсутствия конкуренции между различными провайдерами (но тем не менее берется за ДБО!).

Таким образом, возможны существенно различные сценарии возникновения угроз надежной банковской деятельности в части компонентов стратегического риска, связанных с применением ДБО, и такие сценарии целесообразно рассматривать, разрабатывая модели потенциальных угроз эффективной реализации ключевых решений, принимаемых руководством кредитной организации по направлению внедрения информационных технологий. Тем более принятию недостаточно продуманных руководящих решений в части перехода к ДБО должно препятствовать ТЭО (почему это в основном и важно). Впрочем, следует заметить, что разработка систем поддержки принятия решений или, как иногда говорят, информационных систем управления[47] пока не стала распространенной практикой в российском банковском секторе.

2.4. Изменение профиля операционного риска

Причины, приводящие к возникновению компонентов операционного риска при ДБО, наиболее разнообразны по сравнению с другими видами банковских рисков. От них зависят возможные текущие и перспективные финансовые потери, обусловленные ошибками при выполнении банковских операций (что может привести к неправильной реализации учетных и расчетных процедур), мошенническими действиями в отношении кредитной организации (включая несанкционированные транзакции, хищения финансовых средств в электронной форме и пр.), нарушением непрерывности (доступности) и (или) переходом автоматизированных систем кредитной организации, используемых для осуществления банковской деятельности, в «нештатные» режимы функционирования (вследствие возможных аварий, отказов и сбоев оборудования как самой кредитной организации, так и ее провайдеров, в каналах связи и т. п., из-за чего возможны потери клиентских транзакций, данных и невыполнение ею обязательств перед своими клиентами). К этому же примыкают случаи несанкционированного сетевого доступа злоумышленников к информационно-процессинговым ресурсам кредитной организации.

Независимо от того, что именно является причиной нарушения штатного функционирования банковских автоматизированных систем кредитной организации и ее систем электронного банкинга, результатом этого всегда будет являться невыполнение ею тех или иных взятых на себя перед клиентами ДБО обязательств, т. е. снижение ее надежности по причине невыполнения положений соответствующих договоров. Базовых обязательств такого рода пять — они относятся к следующим понятиям:

— доступность обслуживания (непрерывности функционирования);

— состав функций («полнофункциональность»);

— финансовые операции (денежные обязательства);

— временные характеристики (своевременность обслуживания);

— конфиденциальность информации (информационная безопасность).

Только выполнение всех перечисленных обязательств без каких-либо отклонений от установленных договорами уровней обслуживания (в отношении клиентов) при дистанционном предоставлении банковских услуг свидетельствует о надежности как банковской деятельности, осуществляемой кредитной организацией, так и ее самой (впрочем, как показывает практика, в текстах таких договоров подобное перечисление можно встретить крайне редко). Речь здесь идет, естественно, о технологической и технической стороне понятия надежности[48].