Управление банковским сетом через Интернет

Кроме того, чтобы усилить безопасность и повысить юридическую значимость трансакций, предусмотрено использование клиентом электронно-цифровой подписи (ЭЦП). По этой подписи система аутентифицирует пользователя и разрешает совершить необходимую операцию.

В системах Интернет-банкинга фиксируются каждая попытка входа и все совершаемые действия пользователей. В ряде банков предусмотрена услуга мониторинга счетов. Как только на счетах клиента начинается движение, система автоматически посылает сообщение на мобильный телефон или электронный почтовый ящик – по выбору клиента.

Клиент решает, считать ли эту операцию подозрительной, и в случае несанкционированного доступа к его счету может сообщить об этом службе безопасности банка. После решения вопросов аутентификации и авторизации клиент получает возможность создавать, редактировать, распечатывать, подписывать и отправлять в банк исходящие документы.

Исходя из вышесказанного, можно с уверенностью утверждать, что защита системы такого класса довольно надежна и «взломать» ее крайне сложно. Реальный взлом в современном банке с квалифицированными администраторами и защищенной инфраструктурой с контролируемыми публичными шлюзами возможен лишь при содействии изнутри, причем квалифицированном. Здесь главная задача банка – выстроить грамотную политику и архитектуру безопасности, проводить непрерывный мониторинг сетевых атак и регулярно тестировать инфраструктуры безопасности.

Что касается клиентов, то им, как правило, достаточно соблюдать определенный набор простых предосторожностей при работе со своим Онлайн-счетом:

1. Предпочтительно работать со своим счетом только с домашнего ПК или другого персонального устройства. Даже рабочий терминал – потенциальный источник утечки данных;
2. Клиент не обязан сообщать свои имя и пароль для входа в систему Интернет-банкинга никому, включая сотрудников банка;
3. Работа в системе требует определенных настроек безопасности компьютера, в том числе антивирусных и «антишпионских» программ;
4. На каждый платежный документ, подготавливаемый в системе, обязательно должны быть наложены две электронные подписи. Если электронные подписи бухгалтера и директора (это не более чем названия) разные, это повышает степень защищенности ваших счетов;
5. Проведенный платеж должен отражаться системой Интернет-банкинга с задержкой не более часа. В противном случае стоит звонить в банк.

На данный момент в России существуют, как минимум, три направления разработок программного обеспечения для Интернет-банкинга:

1. Предоставление доступа к счетам посредством специализированного программного обеспечения, использующего Интернет как канал доставки шифрованных сообщений;
2. Предоставление доступа к счетам с помощью стандартных web-броузеров (Microsoft IE, Netscape Navigator) и использования технологии Java для обеспечения безопасности системы;
3. Предоставление доступа к счетам с помощью стандартных web-броузеров и использования специализированного программного обеспечения, призванного обеспечить безопасность системы.

Популярность указанных на российском рынке можно оценить по данным опроса, представленным в приложении Г.

Все эти направления имеют право на жизнь, но первые два имеют ряд отрицательных свойств. Наиболее существенный недостаток первого направления – использование программного обеспечения, настроенного под конкретный компьютер. Особенностью второго направления является, напротив, отсутствие на компьютере клиента соответствующего программного обеспечения, т. к. оно устанавливается на сервере банка, а необходимые программы, обеспечивающие защиту системы, загружаются в виде Java-аплетов при каждом сеансе. Однако такой подход делает клиента банка, выбравшего эту технологию, незащищенным от случайных финансовых потерь, т. к. на его компьютере не ведутся записи о произведенных финансовых действиях.

Наиболее оптимальным и разумным видится третий подход, при котором клиент не ограничен работой с конкретным компьютером и в то же время максимально защищен от потерь и рисков. При выборе системы "Интернет-Банк" ответственные лица банка во избежание юридических проблем обязательно должны узнать у разработчика и проверить: во-первых, соответствуют ли алгоритмы шифрования ГОСТу, во-вторых, сертифицирована ли Криптографической службой ФСБ внедряемая система защиты? Если оба условия выполнены, можно перейти к рассмотрению конкретной реализации технологии защиты системы "Интернет-Банк", а именно: сертификата, симметричной и несимметричной криптографии, протокола SSL, устройства и работы системы безопасности.

Чаще всего разговоры о трудностях пользования Интернет-банкингом возникают из-за недостаточного информирования клиентов об этой услуге, а также из-за восприятия Интернета как агрессивной среды. На самом деле, современные технологии позволяют предупредить проблемы, отказы оборудования или программ. При этом банку зачастую целесообразно не создавать систему дистанционного обслуживания самостоятельно, а воспользоваться готовым техническим решением от зарекомендовавшей себя на рынке компании-разработчика банковского программного обеспечения (именно так поступает большинство зарубежных банков). Основными системами такого рода, установленными в большинстве российских банков, стали InterBank (R-Style Softlab), «ДБО BS-Client» (Bank’s Soft Systems), iBank 2 (БИФИТ), Банк-Клиент/Интернет (ИНИСТ) и «Телебанк» (СТЕП АП).

Глава 2. Место и значение Интернет-банкинга в современном банковском бизнесе

2.1 Влияние Интернет-банкинга  на структуру банковских рисков: особенности и принципы управления

Развитие новых технологий, а именно – переход к электронному способу ведения бизнеса, ведет к кардинальному изменению соотношения между различными видами риска, с которым сталкиваются банки. Эта проблема привлекла к себе пристальное внимание международных финансовых организаций, центральных банков развитых стран и крупнейших рейтинговых агентств.

Как известно, выделяются следующие категории риска, свойственного банковскому бизнесу: системный, стратегический, кредитный, страновой, рыночный, процентный, риск ликвидности, валютный, операционный, правовой, репутационный. Развитие электронного доступа к услугам банков не приводит к появлению каких-либо новых рисков, происходят лишь сдвиги в конфигурации банковского риска, т.е. в его внутренней структуре.

Исходя из отмеченных в первой главе данной работы особенностей Интернет-банкинга, можно указать на следующие направления изменений в сфере банковского риска:

1. сильная зависимость от прогресса информационных и коммуникационных технологий приводит к резкому усилению стратегического и операционного рисков;
2. динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения, как финансовых инструментов, так и банковских технологий), обуславливает повышения значения стратегического риска;
3. рост ориентированности на потребности клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами) ведет к увеличению правового и репутационного рисков;
4. обострение конкуренции в банковском бизнесе влечет за собой повышение общего уровня системного риска;
5. выход за пределы отдельных национальных рынков и за пределы финансового сектора в целом означает усиления акцента на межстрановом и межсекторном аспектах банковского риска.

Поскольку новых видов риска не возникает, нет необходимости и во введении в управление рисками каких-либо дополнительных элементов помимо тех трех, что уже имеются в распоряжении банков (оценка, контроль и мониторинг рисков). По мнению Базельского комитета, банки должны усилить внимание к проблемам, возникающим в связи с повышением уровня определенных видов риска, а регулирующие органы – выработать принципы банковского надзора, учитывающие специфику электронных банковских услуг.

В настоящее время эксперты единодушно уделяют главное внимание стратегическому риску. Он возникает в связи с возможностью принятия ошибочных управленческих решений в отношении опоры на то или иное информационно-технологическое направление (такие решения относятся к стратегическим, поскольку их результаты оказывают непосредственное влияние на рыночную стоимость бизнеса). Банк, взявший на вооружение формирующую стратегию и играющий роль IT-лидера, получает наибольшие прибыли в случае верного выбора, поскольку «снимает сливки» в быстрорастущем сегменте финансового рынка, но терпит максимальные убытки, если проигрывает сделанные им «высокие ставки» - крупные стратегические инвестиции в ту или иную технологию. Избрав адаптивную стратегию, т.е. взяв на себя роль ведомого, банк уменьшает свой стратегический риск с точки зрения капитальных расходов, однако увеличивает его с точки зрения доходов: в результате наступления агрессивного лидера доля ведомого на рынке может сильно снизиться, а отсрочка в применении передовых технологий не позволит получить сколько-нибудь значительную выгоду от роста рынка, т.к. он будет уже близок к насыщению.

В настоящее время та сфера информационных технологий, которая связана с банками, характеризуется достаточно высокой неопределенностью. В частности, это касается технологической основы всех основных направлений банковской деятельности в Интернете:

1. управления отношениями с клиентами в целях укрепления их лояльности. Требуется обеспечить клиентам возможность использования различных электронных средств взаимодействия с банком – мобильных телефонов, интерактивных телевизионных устройств, электронных органайзеров и пр. – окончательные перспективы применения которых остаются неясными;
2. работы с электронными финансовыми инструментам и платежными/расчетными системами. Их развитие, по сути, только начинается, и определение скрытого в них потенциала является настоящим искусством.

Поэтому ответственность банковских топ-менеджеров за правильную оценку стратегического риска, контроль за его уровнем и мониторинг связанных с ним изменений весьма велика.

Следующая категория риска, привлекающая пристальное внимание специалистов, – операционный риск, т.е. вероятность образования убытков/недополучения прибылей вследствие сбоев в выполнении каждодневных рутинных банковских операций. Применительно к Интернет-банкингу выделяют три главные «зоны» операционного риска – функционирование системы безопасности, привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг) и освоение новых технологий сотрудниками банка.

В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации – искажение, уничтожение, перехват данных или злоупотреблениями в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов. Кроме того, не исключены отказы в функционировании банковских информационных систем – возникновение перегрузок из-за недостаточной мощности компьютерно-программных комплексов и целенаправленных атак на Web-серверы в форме лавин фальшивых запросов.

Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление IT-интенсивных банковских услуг через специализированные фирмы (в первую очередь банки сотрудничают с компаниями, разрабатывающими прикладные программы) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки становятся в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко не связанных между собой компаний, сотрудники которых могут и не обладать достаточным пониманием специфики банковского дела. Сложность положения усугубляется тем, что привлеченные к оказанию услуг фирмы могут передать выполнение каких-либо функций на субподряд, в том числе за границу. Кроме того, узость круга контрагентов, имеющих достойный уровень квалификации, повышает степень концентрации риска.

Наконец, ускорения процесса модернизации информационных систем обусловливает повышение требований к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе к все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков если не хаосом, то значительными проблемами.

Немалое значение в новых условиях приобретает правовой риск, возникающий вследствие нарушения законов и директив регулирующих органов, а также недостаточно четкого определения прав и обязанностей контрагентов. Юридические реалии оформляются медленнее, чем экономические, и это расхождение особенно заметно в такой динамической сфере, как Интернет-бизнес. Можно отметить следующие специфические для электронного банковского сервиса аспекты правового риска:

1. не во всех странах приняты законы об электронной подписи и о действительности договоров, заключаемых электронным способом;
2. в разных государствах не одинаково трактуется вопрос о подлежащей лицензированию банковской деятельности (например, надзорные органы могут потребовать получения лицензии от Web-сайта, рекламирующего услуги банка на том языке, который используется в данной стране, причем даже в том случае, когда до реальных операций дело еще не дошло);
3. возникают особые требования к соблюдению принципа «знай своего клиента», законодательно внедряемого в банковский бизнес в рамках борьбы с легализацией преступных доходов и терроризмом;
4. банкам становится труднее обеспечивать предписываемый законом уровень защиты персональной клиентской информации (особенно если сайт банка связан с сайтом-агрегатором электронного финансового супермаркета);
5. банки, организовавшие удостоверяющие центры по выпуску сертификатов и подтверждению подлинности цифровой подписи, могут быть привлечены к юридической ответственности, если при использовании данных сертификатов участвующие в сделке стороны понесут убытки.

Репутационный риск может существенно увеличиться, если информация о наличии таких проблем, предоставляемая публике, окажется недостаточной и/или несвоевременной, а также, если плохо организован диалог с вкладчиками и заемщиками по электронной почте. В период привыкания к новым технологиям клиентура проявляет особую нервозность по отношению к любым событиям. Не исключено, что репутационный риск у того или иного банка станет весьма заметным просто потому, что хакеры взломали сайт другого банка, предоставляющего те же или сходные онлайновые услуги.