Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин
Шрифт:
Интервал:
Закладка:
При этом подчеркивается (и это становится все более значимым в современном мире), что надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, «включая повышенный риск обезличивания индивидуальности и значительные затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам». К этому тесно примыкает проблематика «специфического» использования оффшорных зон.
Поскольку методы аутентификации продолжают совершенствоваться, кредитным организациям рекомендуется «перенимать используемые в отрасли надежные методы работы в данной части», обеспечивающие:
защиту аутентификационных баз данных, которые предназначены для организации доступа к счетам клиентов электронного банкинга или важным системам, от изменения и повреждения. Любое подобное воздействие должно обнаруживаться, при этом должны вестись аудиторские записи для документирования попыток такого рода;
должную авторизацию любых добавлений, удалений или изменений в аутентификационной базе данных для того или иного лица, агента или системы, с помощью какого-либо источника аутентификационных данных[119];
осуществление должных мер контроля подключений к СЭБ, таких, чтобы никто со стороны не мог подменять известных клиентов;
поддержание безопасности аутентификационного сеанса в рамках электронного банкинга во время всей его длительности или затребование повторной аутентификации в случае возникновения ошибок в защите.
Принцип 5. Необходимо использовать методы аутентификации транзакций, которые способствуют невозможности отказа от операций (доказательного подтверждения операции) и обеспечивают возможность учета транзакций в рамках электронного банкинга.
Невозможность отказа от операции обеспечивается за счет формирования доказательства по ее источнику или предоставлению информации в электронной форме для защиты отправителя от ложного отрицания получателем того, что конкретные данные были получены, или для защиты получателя от ложного отрицания отправителем того, что конкретные данные были отправлены. Риск отрицания совершения операций (еще один вид банковского риска?) стал реальностью в обычных транзакциях, осуществляемых посредством кредитных карточек; в то же время ТЭБ повышает этот риск ввиду сложности положительной аутентификации идентичности и полномочий тех, кто инициирует транзакции (имея в виду прежде всего ПОД/ФТ в широком смысле) «возможностей воздействия на электронные транзакции и их перехват, а также возможностей для пользователей технологий электронного банкинга» заявлять, что имело место мошенническое воздействие на их транзакции. Чтобы парировать новые угрозы такого рода, приходится предпринимать усилия, соразмерные со значимостью и типами транзакций в рамках электронного банкинга, и обеспечивать:
разработку систем электронного банкинга таким образом, чтобы понизить вероятность инициирования авторизованными пользователями «непреднамеренных» транзакций[120], и полное понимание клиентами тех рисков, которые связаны с любыми инициируемыми ими транзакциями;
точную аутентификацию всех участников конкретной транзакции и поддержание контроля над аутентифицированным каналом взаимодействия;
защиту данных о финансовых транзакциях от воздействия извне и обнаружение любых воздействий такого рода.
Принцип 6. Необходимо гарантировать наличие должных мер по адекватному разделению обязанностей в системах баз данных и прикладных программных комплексах электронного банкинга.
«Разделение обязанностей представляет собой основную меру внутреннего контроля, предназначенную для уменьшения риска мошенничества в операционных системах и процессах, а также обеспечения должной авторизации, фиксации и защищенности транзакций и активов своих компаний. Разделение обязанностей является критичным для гарантирования точности и целостности данных и используется для предотвращения проникновения злоумышленников. Если обязанности разделены правильно, то мошенничество может быть совершено только на основе тайного сговора».
Обслуживание в рамках электронного банкинга может привести к необходимости изменения способов, которыми осуществляется и поддерживается разделение обязанностей, поскольку транзакции выполняются через автоматизированные системы, в которых действующих лиц легче замаскировать или подменить. Поэтому «в типичную практику организации и поддержания разделения обязанностей в системах электронного банкинга входят»:
разработка транзакционных процессов и систем таким образом, чтобы гарантировалась невозможность ввода, авторизации и завершения транзакций для работников банка или провайдера заказных услуг;
соблюдение разделения функций между теми, кто работает со статичными данными (включая содержание web-страниц), и теми, кто отвечает за верификацию и целостность данных;
тестирование систем электронного банкинга на предмет проверки невозможности обхода установленного разделения обязанностей;
соблюдение разделения функций между теми, кто разрабатывает, и теми, кто администрирует системы электронного банкинга[121].
Принцип 7. Необходимо обеспечивать наличие должных средств авторизации и полномочий доступа для систем, баз данных и приложений электронного банкинга.
Для поддержания разделения обязанностей кредитным организациям необходимо строго контролировать авторизацию и полномочия доступа. Недостатки в обеспечении адекватного контроля авторизации могут дать возможность отдельным лицам расширить свои права авторизации, обойти разделение функций и получить НСД к системам, базам данных и прикладным программам электронного банкинга, к которым они не допущены. В системах электронного банкинга права авторизации и доступа могут устанавливаться как централизованно, так и распределенным образом (причем и в ЛВС, и в ЗВС, а на современном уровне — и в трансграничных вариантах); соответствующие параметры обычно заносятся в базы данных, защита которых от внешнего воздействия или повреждения является принципиально необходимой для эффективного контроля авторизации.
Принцип 8. Необходимо обеспечивать наличие должных мер защиты целостности данных в транзакциях, записях и информации электронного банкинга.
Под целостностью данных понимается гарантия того, что передаваемая или хранимая информация не подвергалась неавторизованному воздействию. Недостатки в обеспечении целостности данных в транзакциях, записях и информации, являясь источниками компонентов банковских рисков, могут подвергнуть кредитные организации финансовым потерям. При сквозной обработке может быть затруднено своевременное обнаружение ошибок программирования или мошеннической деятельности на ранней стадии.
Поскольку данные об операциях электронного банкинга передаются по открытым телекоммуникационным сетям, транзакции подвержены дополнительным опасностям из-за искажения данных, мошенничества и воздействия на записи в базах данных. Поэтому необходимо обеспечивать использование должных мер, позволяющих удостовериться в точности, полноте и надежности транзакций и информации электронного банкинга, которые могут передаваться через Интернет или передаваться/храниться провайдерами по поручению кредитной организации[122]. Типичные меры, применяемые для поддержания целостности данных в комплексах электронного банкинга, включают:
проведение транзакций электронного банкинга таким образом, чтобы гарантировалась их высокая устойчивость к внешним воздействиям на протяжении всего этого процесса;
хранение, предоставление и модификацию записей об операциях электронного банкинга таким образом, который обеспечивает их высокую устойчивость к внешним воздействиям;
разработку процессов обработки транзакций и хранения записей электронного банкинга таким образом, чтобы было фактически невозможно воспрепятствовать обнаружению неавторизованных изменений;
осуществление адекватной политики контроля над изменениями, включая процедуры мониторинга и тестирования, для защиты против любых изменений в СЭБ, которые могут из-за ошибочных или намеренных действий повредить средствам управления или нарушить целостность данных;
обнаружение любого воздействия на транзакции или записи электронного банкинга с помощью функций обработки транзакций, мониторинга и обеспечения сохранности данных.
