Управление розничными операциями коммерческого банка. Организация оказания банковских услуг в сети Интернет

 

С юридической точки зрения, с учетом норм действующего международного и российского банковского законодательства, к основным видам банковской деятельности, осуществляемой с использованием сети Интернет, относятся:

 

1)  открытие и ведение  банковских счетов;

 

2)  безналичные расчеты по поручению физических и юридических лиц по их счетам;

 

3)  купля-продажа иностранной  валюты в безналичной форме.

 

К дополнительным видам  банковской деятельности, осуществляемой с использованием сети Интернет, относятся:

 

1)  привлечение через сеть Интернет безналичных денежных средств физических и юридических лиц во вклады;

 

2)  размещение привлеченных  средств от своего имени и  за свой счет;

 

3)  оказание информационных  и консультационных услуг.

 

Следует отметить, что  банковские операции и банковские сделки, отнесенные к дополнительным, пока не нашли широкого применения в кредитных организациях, являющихся субъектами Интернет-банкинга. Однако именно эти виды банковских услуг в недалеком будущем, после окончательного законодательного определения правового статуса Интернет-банкинга, будут определять стратегию кредитных организаций (банков) на рынке электронных услуг.

 

С технологической точки  зрения все виды банковской деятельности, осуществляемой с использованием сети Интернет, подразделяются на:

 

1.  Интернет-банкинг,  осуществляемый с использованием  подключенного к сети Интернет  персонального компьютера. По сути, это аналог хорошо известной  системы «Клиент-Банк». Разница  лишь в том, что при работе  классического «Клиент-Банка» для  обмена документами между клиентом и банком используется непосредственное модемное соединение компьютера клиента с банковским расчетным центром, а в системе «Клиент-Интернет-Банк» взаимодействие клиента с банком организуется посредством «всемирной паутины» через стандартный Web-браузер.

 

2.  Интернет-банкинг,  осуществляемый с использованием  мобильного телефона, либо иного  устройства удаленного доступа.  Сюда относятся WAP-банкинг и  SMS-банкинг, о которых речь пойдет  ниже.

 

WAP-банкинг представляет  собой удаленное управление банковскими счетами пользователя, осуществляемое с помощью мобильного телефона или портативного «карманного» компьютера (КПК), оснащенного специальным программным обеспечением на базе протокола беспроводной передачи данных (Wireless Application Protocol). Такая технология позволяет передавать сокращенную информацию некоторых сайтов, поддерживающих WAP (например, Yahoo и др.), на мобильные телефоны и совершать некоторые действия. Она позволяет владельцам определенных модификаций мобильных телефонов выходить в Интернет непосредственно с телефона без дополнительного оборудования, обращаться к приложениям благодаря встроенному в телефон или в SIМ-карту браузеру, либо предполагает одновременное использование взаимодействующих телефона и КПК

 

Преимуществами такой системы является еще большая свобода в доступе, недостатком является неудобство получения информации на небольшом дисплее. На сегодняшних момент банки не выделяют WAP-банкинг в отдельный вид услуг. Поэтому клиенту, желающему проводить банковские операции только по мобильному телефону, все же придется подключиться к системе Интернет-банкинга.

 

Другой финансовой услугой, предоставляемой банками владельцам мобильных телефонов, является так  называемый SMS-банкинг. При помощи служб  коротких сообщений (SMS), которые есть у любого оператора сотовой связи, клиенту будет доступна вся информация о состоянии расчетных счетов (остатков по счету), а также получение выписок по счету за требуемый период. По мнению специалистов, эта услуга гораздо более перспективна, чем WAP-банкинг: во-первых, из-за дешевизны, во-вторых, за счет более высокой скорости передачи данных.

 

Мобильные банковские услуги – яркий пример стирания границ между различными формами е-банкинга[5]. Сотовые телефоны и портативные  компьютеры в сочетании с беспроводной связью обеспечивают доступ во «всемирную паутину» и дают возможность пользоваться Интернет-услугами, а в результате последние перестают относиться исключительно к банковскому обслуживанию через персональный компьютер. Развертывание национального и международного роуминга, в том числе и по протоколам GPRS, WAP, позволяет использовать услуги банкинга в любой точке планеты при условии единой стандартизации или наличия отдельных пакетов договоров между операторами связи, банковскими и финансовыми структурами. По данным консалтинговой компании GPS, 38% пользователей готовы осуществить платежи при помощи мобильных телефонов. К сожалению, эта современная Интернет-технология обслуживания частных клиентов российскими банками пока почти не освоена. Однако следует отметить, что такая ситуация вряд ли продлится долго – на сегодняшний день российские кредитные организации мало уступают банкам зарубежных стран в скорости внедрения самых современных (новейших) финансовых технологий.

 

1.3 Техническая инфраструктура Интернет-банкинга: организация безопасности дистанционного обслуживания

 

Системы «Интернет-Банк»  построены на счетах банков, с которыми можно оперировать как в онлайновом режиме, так и традиционными способами. Технологически каждый счет есть не что иное, как запись в базе данных. Платеж сводится к согласованному изменению пар счетов – плательщика и получателя. При этом банк должен решать следующие задачи:

 

-  определить права  плательщика на управление счетом;

 

-  получить от плательщика  описание операции;

 

-  проверить допустимость  операции;

 

-  возможно, получить  от получателя согласие на  проведение операции;

 

-  сгенерировать трансакции  по взиманию комиссии;

 

-  изменить записи  счетов плательщика и получателя;

 

-  разослать сторонам  отчеты-квитанции;

 

-  сохранить отчет  у себя.

 

Безопасность системы  «Интернет-Банк» гарантирована как  аппаратным обеспечением, так и на программном уровне. Все пересылаемые данные шифруются: как информации, пересылаемая клиентом в банк, так и пересылаемая банком клиенту. Для установки связи используется технология несимметричной криптографии. Безопасность соединения, в свою очередь, обеспечивается технологией симметричной криптографии – используется уникальный для каждой сессии ключ. Сертификат является электронным аналогом удостоверения личности – паспорта, военного билета и т. д. Сертификат позволяет идентифицировать пользователей Интернета. С другой стороны, пользователи, подключившиеся к сертифицированному серверу, могут быть уверены, что попали именно в искомую организацию. Услуги "Интернет-банка" доступны только тем клиентам, которым банк выдал соответствующие сертификаты. Клиенты распознаются на основании идентификатора и пароля, а также информации, содержащейся в сертификате. Каждая транзакция подписывается электронной подписью, генерируемой с помощью ключа, содержащегося в сертификате клиента. Несмотря на то, что сам сертификат клиента является открытым, его нельзя использовать без закрытого ключа клиента, соответствующего содержащемуся в сертификате открытому ключу. Дополнительной степенью защиты закрытого ключа клиента является PIN-код. Для защиты от перехвата данных в сети обычно используется такое стандартное средство, как протокол SSL (Secure Socket Layer), являющийся обязательным атрибутом любого современного браузера.

 

Кроме того, чтобы усилить  безопасность и повысить юридическую  значимость трансакций, предусмотрено  использование клиентом электронно-цифровой подписи (ЭЦП). По этой подписи система  аутентифицирует пользователя и  разрешает совершить необходимую операцию.

 

На практике работа системы  безопасности выглядит следующим образом. Клиент, используя обычный браузер, входит на сервер банка с системой «Интернет-Банк». Сервер проверяет  наличие у клиента электронного сертификата, выданного банком. Клиент выбирает из списка сертификат, которым он должен воспользоваться (у него может быть несколько сертификатов, выданных разными организациями), и вводит PIN-код. Данные электронного сертификата передаются в банк, где они проверяются. После успешного прохождения аутентификации и обеспечения безопасности канала связи загружается страница регистрации для ввода идентификатора и пароля. После шифрования пароль передается в банк и там сравнивается с паролем, хранящимся в базе данных. После успешной верификации пароля клиент получает доступ к информации и операциями со своими счетами. Каждая трансакция подписывается электронно-цифровой подписью. Наглядный пример реализации подобной схемы представлен в Подразделе 3 Главы 2 данной работы, где описаны принципы функционирования системы безопасности InterPro, используемой в ЗАО «Внешторгбанк – Розничные услуги».

 

В системах Интернет-банкинга фиксируются каждая попытка входа  и все совершаемые действия пользователей. В ряде банков предусмотрена услуга мониторинга счетов. Как только на счетах клиента начинается движение, система автоматически посылает сообщение на пейджер, мобильный телефон или электронный почтовый ящик – по выбору клиента. Клиент решает, считать ли эту операцию подозрительной, и в случае несанкционированного доступа к его счету может сообщить об этом службе безопасности банка. После решения вопросов аутентификации и авторизации клиент получает возможность создавать, редактировать, распечатывать, подписывать и отправлять в банк исходящие документы.

 

Исходя из вышесказанного, можно с уверенностью утверждать, что защита системы такого класса довольно надежна и «взломать» ее крайне сложно. Реальный взлом в современном банке с квалифицированными администраторами и защищенной инфраструктурой с контролируемыми публичными шлюзами возможен лишь при содействии изнутри, причем квалифицированном. Здесь главная задача банка – выстроить грамотную политику и архитектуру безопасности, проводить непрерывный мониторинг сетевых атак и регулярно тестировать инфраструктуры безопасности.

 

Что касается клиентов, то им, как правило, достаточно соблюдать  определенный набор простых предосторожностей  при работе со своим Онлайн-счетом:

 

1) Предпочтительно работать  со своим счетом только с  домашнего ПК или другого персонального  устройства. Даже рабочий терминал – потенциальный источник утечки данных. 2) Клиент не обязан сообщать свои имя и пароль для входа в систему Интернет-банкинга никому, включая сотрудников банка. 3) Работа в системе требует определенных настроек безопасности компьютера, в том числе антивирусных и «антишпионских» программ. 4) На каждый платежный документ, подготавливаемый в системе, обязательно должны быть наложены две электронные подписи. Если электронные подписи бухгалтера и директора (это не более чем названия) разные, это повышает степень защищенности ваших счетов. 5) Проведенный платеж должен отражаться системой Интернет-банкинга с задержкой не более часа. В противном случае стоит звонить в банк.

 

На данный момент в  России существуют, как минимум, три  направления разработок программного обеспечения для Интернет-банкинга:

 

1. Предоставление доступа  к счетам посредством специализированного  программного обеспечения, использующего  Интернет как канал доставки  шифрованных сообщений.

 

2. Предоставление доступа  к счетам с помощью стандартных web-броузеров (Microsoft IE, Netscape Navigator) и использования технологии Java для обеспечения безопасности системы.

 

3. Предоставление доступа  к счетам с помощью стандартных  web-броузеров и использования  специализированного программного  обеспечения, призванного обеспечить безопасность системы.

 

Популярность указанных  на российском рынке можно оценить  по данным опроса, представленным на Рисунке 1.

 

Все эти направления  имеют право на жизнь, но первые два  имеют ряд отрицательных свойств. Наиболее существенный недостаток первого направления – использование программного обеспечения, настроенного под конкретный компьютер. Особенностью второго направления является, напротив, отсутствие на компьютере клиента соответствующего программного обеспечения, т. к. оно устанавливается на сервере банка, а необходимые программы, обеспечивающие защиту системы, загружаются в виде Java-аплетов при каждом сеансе. Однако такой подход делает клиента банка, выбравшего эту технологию, незащищенным от случайных финансовых потерь, т. к. на его компьютере не ведутся записи о произведенных финансовых действиях.

Наиболее оптимальным  и разумным видится третий подход, при котором клиент не ограничен  работой с конкретным компьютером  и в то же время максимально  защищен от потерь и рисков. При выборе системы "Интернет-Банк" ответственные лица банка во избежание юридических проблем обязательно должны узнать у разработчика и проверить: во-первых, соответствуют ли алгоритмы шифрования ГОСТу, во-вторых, сертифицирована ли Криптографической службой ФСБ (до апреля 2003 года- ФАПСИ) внедряемая система защиты? Если оба условия выполнены, можно перейти к рассмотрению конкретной реализации технологии защиты системы "Интернет-Банк", а именно: сертификата, симметричной и несимметричной криптографии, протокола SSL, устройства и работы системы безопасности.

 

Фактически, при условии  ответственного подхода банков к  вопросам IT, технические проблемы в  Интернет-банкинге существуют скорее в газетных публикациях, чем в  реальной жизни. Чаще всего разговоры о трудностях пользования Интернет-банкингом возникают из-за недостаточного информирования клиентов об этой услуге, а также из-за восприятия Интернета как агрессивной среды. На самом деле, современные технологии позволяют предупредить проблемы, отказы оборудования или программ. При этом банку зачастую целесообразно не создавать систему дистанционного обслуживания самостоятельно, а воспользоваться готовым техническим решением от зарекомендовавшей себя на рынке компании-разработчика банковского программного обеспечения (именно так поступает большинство зарубежных банков). Основными системами такого рода, установленными в большинстве российских банков, стали InterBank (R-Style Softlab), «ДБО BS-Client» (Bank’s Soft Systems), iBank 2 (БИФИТ), Банк-Клиент/Интернет (ИНИСТ) и «Телебанк» (СТЕП АП). С подробной сводной таблицей, в которой приведены данные по предоставляемым в настоящее время российскими коммерческими банками услугам Интернет-банкинга и соответствующим им используемым программным решениям, можно ознакомиться в Приложении 1 данной работы.