Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

Таким образом достигались необходимые связность и доступность в киберпространстве (которое реализацией описанных идей и было сформировано), что привело к бурному развитию интернет-технологий, вследствие чего до настоящего времени зависимость вычислительных сетей от интернет-технологий растет. Однако довольно быстро стало очевидным, что в условиях «связности и доступности» практически любой современный бизнес оказывается под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру. К сожалению, это явилось прямым следствием противоречия между техническим прогрессом и пресловутым человеческим фактором, о чем удачно было сказано в одной из статей, напечатанных в североамериканском журнале «Atlantis Rising»[135]: «Если вы работаете в системе, основанной на честности, целостности, открытости и ясности, а в ней имеются люди, которые действуют вразрез с этими принципами, то их нельзя уличить. Все они вне подозрений». Имеется в виду, что в банковском бизнесе далеко не каждый из участников сетевого взаимодействия может иметь доступ и не ко всем информационным ресурсам (активам). Поэтому при внедрении такой СЭБ, как система интернет-банкинга, необходимо осознавать неизбежно присущие этой ТЭБ факторы риска, заложенные в ее идеологии, почему вопросы ОИБ и защиты информационных активов и стали весьма актуальными на фоне всеобщей эйфории применения в банковском деле интернет-технологий (способов межсетевого информационного взаимодействия), о чем говорилось в главе 1.

На самом деле ничего особенного в применении специальных защитных мер в описанных условиях нет; было бы странно, если бы удалось обойтись без них, и не только в банковском деле, но и в военном. Важно в любом варианте реализации ТЭБ кредитными организациями анализировать их особенности, прямо связанные с организационно-техническими решениями. В качестве примера можно привести варианты реализации интернет-банкинга.

Информационный — в этом варианте кредитная организация использует свой или сторонний web-сайт просто для того, чтобы «привлечь к себе внимание», разместив на нем информацию, включающую ее реквизиты, описания услуг, указание тарифов, рекламу и т. п. Принято считать (конечно, необоснованно), что такой вариант выхода в Сеть является безрисковым, поскольку в большинстве случаев физические связи между web-сайтом и вычислительной сетью кредитной организации отсутствуют. В тоже время, очевидно, что любой web-сайт представляет собой объект для хакерской атаки, вследствие которой он может быть блокирован, его функционирование может оказаться нарушено, его контент изменен и т. п. В книге /. Crume Inside Internet Security[136] приведен пример результативной атаки хакеров на web-сайт Центрального разведывательного управления США, которые на его стартовой странице разместили надпись «Центральное управление идиотов». В случае российских кредитных организаций проявляется эффект так называемой «недобросовестной конкуренции», которая приводит к размещению на атакуемых web-сайтах антирекламы, порочащих гиперссылок, баннеров порносайтов или казино и т. п. Поэтому даже в таком простейшем «информационном варианте» возможно возникновение компонентов репутационного и правового рисков, о чем руководство кредитной организации должно бы задуматься и организовать для сопровождения и контроля функционирования своих web-сайтов специальный внутрибанковский процесс (затрагивающий несколько подразделений и требующий документарного обеспечения).

Коммутационный — в этом варианте кредитная организация помимо предоставления информации о себе обеспечивает обмен информацией с клиентами, которые могут направлять ей сведения о себе, например об изменении адресных данных или реквизитов, передавать запросы, получать файлы форм или бланков и т. п. В таких случаях могут иметься физические связи между ее web-сайтом и ЛВС, вследствие чего руководству этой организации целесообразно обратить дополнительное внимание на противодействие реализации НСД, усиление антивирусной защиты и т. п., что требует организации дополнительных внутрибанковских процедур.

Операционный (транзакционный) — в этом варианте кредитная организация реализует ДБО с возможностью управления клиентом своими счетами (даже в масштабе времени, близком к реальному, из-за чего и возникло упоминавшееся ранее понятие «сквозной обработки»), Очевидно, что при таком варианте руководство кредитной организации должно уделять наиболее серьезное внимание вопросам ОИБ, поскольку могут возникать сетевые связи между «фронт-офисом» (перемещающимся в клиентскую зону концентрации источников риска) и ее «бэк-офисом», а значит, и последствия реализации компонентов банковских рисков могут оказаться также самыми серьезными.