Электронные деньги в России: мировой опыт

Существует также так называемые правовые риски.

Хищения денежных средств  через системы электронного банкинга стали ежедневной проблемой для  большинства банков и их клиентов, которые работают со своими счетами через Интернет и средства сотовой связи.

Количество случаев мошенничества  по отношению к каждому отдельному банку варьируется в зависимости  от количества клиентов и общего уровня защищенности системы электронного банкинга.

Однако практически не существует банка, который хотя бы раз  не столкнулся с попыткой хищения  денег у своих клиентов. Особо следует отметить, что любые технологические нововведения повышают и усложняют банковские риски и как следствие - снижают надежность и устойчивость банков. Прогресс в области информационных технологий и развитие способов сетевого взаимодействия в сфере банковской деятельности вносят качественные изменения в работу кредитных организаций. Это обусловлено наблюдающимися изменениями в информационном контуре банковской деятельности и появлением в нем новых участников. Речь идет о провайдерах услуг и каналах связи, а также о совершенно новом типе клиентов, которые уже не приходят в банк для того, чтобы осуществить те или иные банковские операции, а сами становятся операционистами.

Приведем наиболее распространенные источники правового риска, которые  могут возникать в кредитной  организации в связи с использованием систем электронного банкинга.

Ошибки в аппаратно-программном  обеспечении (АПО) систем электронного банкинга. Эти ошибки могут привести к нарушениям требований законодательства Российской Федерации, в том числе и нормативных актов Банка России, в части обеспечения банковской тайны, соблюдения правил бухгалтерского учета и порядка осуществления банковских операций, своевременности и достоверности представления в Банк России банковской отчетности.

Отдельно следует выделить нарушения законодательства по противодействию  легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ). За последние несколько лет это самая распространенная причина отзыва банковских лицензий у кредитных организаций. В 2009 г. Банк России отозвал лицензии у 46 кредитных организаций, почти у трети из них среди причин в пресс-релизе Банка России указано неисполнение Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». По информации, размещенной на официальном сайте Федеральной службы по финансовому мониторингу (www.kfm.ru), в 2008 г. в связи с нарушением вышеупомянутого закона Банк России отозвал лицензии у семи банков. Аналогичных случаев в 2007 г. гораздо больше - тогда лицензий лишились 44 банка.

Отметим, что на сегодняшний  день сложно осуществлять контроль за законностью трансграничных операций с использованием систем электронного банкинга - опять же по причине отсутствия должного правового обеспечения на международном уровне.

Невозможность полноценного контроля провайдеров услуг. Такая проблема есть не только у банков, но и у регулятора. В настоящее время Банк России прорабатывает вопрос законодательного закрепления данного вида контроля. Во многих развитых странах (США, Франции, Японии и др.) давно уже действуют законы, предоставляющие центральным банкам право осуществлять надзор за деятельностью провайдеров, которым коммерческие банки передали по договорам аутсорсинга выполнение банковских операций и (или) которые обеспечивают архив банковской информации. В ряде стран надзорные органы имеют право осуществлять инспекционные проверки компаний-провайдеров услуг на предмет их финансового состояния и качества управления рисками.

Далее рассмотрим основные угрозы для систем электронного банкинга и наиболее характерные инциденты, возникающие при виртуальном взаимодействии клиента с банком.

В ходе проведенного компанией Group-IB исследования инцидентов, связанных  с ДБО, был зафиксирован трехкратный  рост количества таких преступлений в 2010 г. (по сравнению с 2009 г.). Ежедневно  эксперты компании отмечали, что к ним поступала информация о десятках инцидентов, ущерб по которым в совокупности доходит до 100 млн руб. Преступные группы хакеров к настоящему моменту отточили механизм кражи денег со счетов клиентов банков до автоматизма и зачастую находятся на шаг впереди сотрудников служб безопасности банков. Фактически сегодня на каждую новую защитную меру, внедряемую банком, преступники уже имеют ответный ход.

Многие специалисты в  области информационной безопасности (ИБ) сравнивают данный процесс с «гонкой вооружений». В настоящее время бюджет службы ИБ банка в лучшем случае составляет 7–10% от бюджета на информационные технологии, тогда как хакеры располагают миллионами долларов, которые они с готовностью инвестируют в свой преступный бизнес.

Сегодня в России расследование  киберпреступлений затруднено. Этому  способствуют и новизна сферы, и  специфичность состава преступлений, и малочисленный состав подразделений  органов внутренних дел, ответственных  за расследования, а также ряд  других факторов. В то же время суммы финансовых потерь увеличиваются. Так, убытки от противоправных действий киберпреступников в рамках ДБО клиентов в среднем для одного банка составляют 10 млн руб. в год.

В сложившихся условиях российский рынок невольно становится центром развития киберпреступности. По экспертным оценкам, к концу 2010 г. количество активно действующих хакеров составило около 20 тысяч. При этом ответственность за свои действия в среднем несут только 5–7 преступников, что не составляет даже 0,1% от общего количества. Это, в свою очередь, является фактором роста числа новых противоправных действий.

Мошенничество в системе  электронного банкинга требует оперативной  и компетентной реакции. Только быстрые  и слаженные действия специалистов службы ИБ банка, пострадавшего клиента, независимых криминалистов и сотрудников правоохранительных органов позволят вернуть денежные средства и поймать злоумышленников.

Хорошей практикой является, когда в банке расследование  инцидентов, связанных с системами  электронного банкинга, представляет собой налаженный бизнес-процесс, где есть входная и выходная информация. Причем на выполнение каждого составного элемента данного процесса отводится строго определенный интервал времени.

Важная для расследования  информация может содержаться в различного рода журналах активности (журналах прокси-сервера, межсетевого экрана, антивирусных средств, систем предотвращения вторжений, контроллеров домена и др.). Хорошо настроенная политика логгирования позволяет собирать те данные об инциденте, которые отсутствуют на персональном компьютере бухгалтера, но крайне важны при расследовании. Журнал сетевых взаимодействий может содержать данные об удаленных подключениях злоумышленника к компьютеру жертвы, об использованных протоколах и IP-адресах. Вся эта информация послужит в качестве отправных точек расследования инцидента.

Сегодня мошенничество в  системах ДБО является одной из самых  опасных угроз со стороны киберпреступности. Постоянный рост количества подобных преступлений в России и в мире связан с возможностью получить многомиллионную прибыль и при этом остаться безнаказанным18. В то же время он вызывает активную реакцию со стороны банковских служб ИБ, правоохранительных органов и независимых экспертных организаций. Благодаря такой совместной работе многие компьютерные преступления пресекаются еще на ранней стадии и виновные привлекаются к ответственности.

Развитие услуг и методов  реагирования на компьютерные инциденты, укрепление международного сотрудничества, а также совершенствование законодательства и правоприменения позволят в дальнейшем более результативно отвечать на преступные действия мошенников.

Список рисков не может быть всеобъемлющим. Следует пояснить, что под термином «информационные технологии» понимают систему методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники.

В стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы  Российской Федерации» под риском информационной безопасности понимается сочетание вероятности нанесения ущерба и тяжести этого ущерба.

Специфические типы рисков, возникающие перед эмитентами ЭД, могут быть сгруппированы согласно категориям, содержащимся в документе  «Управление рисками в банковских операциях в электронном виде и применение электронных денег», подготовленным Базельским комитетом по банковскому надзору, в котором, также наиболее полно освещены проблемы управления рисками в системах электронных денег.

С большой уверенностью можно  утверждать, что риски, рассматриваемые в указанном документе, подпадают под те же общие категории, что и те, которые присущи существующим традиционным розничным платежным механизмам, расчеты в которых осуществляются посредством чеков, платежных карт: операционный риск, риск потери репутации, правовой риск и стратегический риск. Проанализируем эти виды рисков.

Операционный риск. В настоящее  время общепринятое определение  операционного риска отсутствует. В практической деятельности кредитных  организаций под определение операционного риска попадает любой риск, не входящий в категорию рыночного или кредитного риска; поэтому многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок.

Базельский комитет по банковскому надзору принял общее для банковского сектора определение операционного риска, а именно: «...риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами».

Аналогичное определение  принял и Банк России. Согласно Рекомендациям  Банка России от 24 мая 2005 г. № 76/Т  «Об организации управления операционным риском в кредитных организациях»  «под операционным риском понимается риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Определение базируется на лежащих в основе причинах операционного риска (человеческий фактор, ошибка в процессе обработки, отказ системы и внешние факторы) и предусматривает их выявление»⁶². Такое определение, основанное на «причинной модели», позволяет выработать общие подходы к управлению операционным риском в рамках финансовых организаций, деятельность которых, в том числе, связана с эмиссией «электронных денег».

Следует отметить, что в  системах ЭД операционный риск проистекает  из возможности понести убытки из/за значительных недостатков в их надежности и безопасности, которые в большинстве  случаев связаны с человеческим фактором.

Под термином «надежность» системы ЭД понимается свойство системы  ЭД сохранять во времени в установленных  пределах все параметры, обеспечивающие выполнение требуемых функций в  заданных условиях эксплуатации. Отечественная  специализированная литература по теории надежности посвящена надежности машин и механизмов и не рассматривает данное понятие (свойство) применительно к платежным системам, представляющим собой набор инструментов, банковских процедур, технических и институциональных структур, осуществляющих безналичные переводы денежных средств между субъектами финансово/хозяйственной деятельности (кредитными организациями и их клиентами — юридическими и физическими лицами). Вместе с тем, учитывая, что системы ЭД базируются на информационных технологиях, важным элементом которых, как уже отмечалось выше, являются компьютерные системы, представляющие собой сложный комплекс разнообразного оборудования и программного обеспечения, то такие параметры надежности как безотказность функционирования и исправность, применимы к данным системам. Проблема надежности в банковском деле имеет особое значение: так как неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и к утрате доверия к банку.

Под термином «безопасность» системы ЭД понимается такое состояние  системы, при котором с требуемой  вероятностью обеспечивается ее устойчивость к случайным или преднамеренным воздействиям, которые приводят к  материальному (моральному) ущербу потребителя электронных денег или их эмитента.

Нарушения системы безопасности ЭД могут возникнуть на уровне потребителя (держателя ЭД), предприятия торговли (услуг) или эмитента и проявиться в попытке кражи ЭД как в  процессе платежа, так и непосредственно с устройства держателя. Важно отметить, что нарушение безопасности может также привести к мошенничеству, создающему дополнительную ответственность эмитента. В связи с этим вопросы, связанные с мошенничеством в системах ЭД, являются приоритетными при проектировании данных систем.

Прочие риски. Некоторые  из традиционных рисков в банковском деле — кредитный, риск потери ликвидности, рыночный риск — также могут иметь  место при совершении операций с  ЭД, хотя их практические последствия  для банков и органов надзора носят иной масштаб, нежели риски, о которых было упомянуто выше. Особенно правдиво это утверждение в отношении банков, которые заняты различной банковской деятельностью (операции с ценными бумагами, трастовые операции, кредитные и т. д.) и эмиссия ЭД занимает незначительную ее часть, в отличие от банков, специализирующихся только на услугах в сфере розничных платежей.