Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

В качестве примера итогового оценивания уровней банковских рисков инспекторами, проверяющими коммерческие банки, можно привести таблицу из Community Bank Supervision. Comptroller's Handbook. ЕР-CBS, в которой объединены экспертные заключения относительно ситуации с операционным риском (табл. 5.1; в заголовках столбцов показаны оценки уровня риска, под ними — выводы, лежащие в их основе; стилистика формулировок и терминология сохранены)[130].

Таблица 5.1

Индикаторы количества операционного риска[131]

Аналогичные оценки и инспекционные заключения для качества управления операционным риском в кредитной организации сведены в следующую табл. 5.2.

Таблица 5.2

Аналогичные таблицы составлены для всех остальных банковских рисков[132]. Для получения каждого из итоговых экспертных заключений используется заданный набор предварительных выводов по каждому оцениваемому показателю (индикатору), эти наборы здесь не рассматриваются ввиду объемности цитированного материала[133]. В целом банковская организация надзора на основе рисков в США строится циклически, в соответствии с принятой системой оценивания рисков, и представлена на рис. 5.3 (где показана также матрица рисков, приведенная в виде табл. 2.1). Этот подход к оцениванию рисков банковской деятельности прошел длительную проверку временем, автоматизирован и считается эффективным.

Суждение о том, может ли «количество риска» считаться удовлетворительным или нет, зависит от того, насколько системы управления рисками в банке способны обеспечивать выявление, измерение, мониторинг принимаемого риска и управление им. При этом подчеркивается, что «уровни риска и качество управления риском должны оцениваться независимо», т. е. при присвоении конкретных отдельных рейтинговых оценок по системе оценивания рисков оценка уровня банковского риска не должна зависеть от оценки качества управления им независимо от того, считается оно высоким или низким. Кроме того, «высокие показатели по обеспечению капиталом не должны маскировать неадекватную систему управления рисками», поэтому не следует считать, что «высокие» уровни риска плохи сами по себе, а «низкие» хороши: «оценка уровня риска просто отражает то, какой риск банк принимает в ходе своей банковской деятельности. Оценка уровня считается хорошей или плохой в зависимости от того, насколько система управления рисками банка способна идентифицировать, контролировать риск такого уровня и управлять им». Приведенная цитата имеет прямое отношение к применению электронного банкинга ввиду того, что применение любой ТЭБ может рассматриваться как рискованное для банковской деятельности, хотя такая точка зрения, по-видимому, является упрощенной, поскольку зависит от «степени пруденциальности» условий этого применения.

В качестве примера — в связи с применением технологии интернет-банкинга — достаточно совершить короткий экскурс в историю возникновения и развития Интернета и сопоставить основные выводы из нее с реалиями ДБО через соответствующую сетевую среду. По версии, излагаемой во многих публикациях, история эта началась в 1962 г. во время интенсивной «холодной войны», которая велась так называемыми «западным миром» и «советским блоком». Тогда военные специалисты Пентагона, разрабатывавшие сценарии обмена атомными ударами между участниками уже не «холодного», а «горячего» конфликта, пришли к выводу, что в случае реализации «Советами» некоторых удачных сценариев ведения боевых действий управление войсками «Запада» может быть потеряно. Тогда было выработано простое предложение — воспользоваться в военных целях гражданскими сетями связи, которых к тому времени в США было уже довольно много: правительственные учреждения, финансовые и медицинские корпорации, университеты и другие организации сформировали развитую сетевую инфраструктуру, основанную на проводных, оптоволоконных, радиорелейных и даже спутниковых каналах связи. Очень быстро выяснилось, что эта идея нереализуема, поскольку все сети связи были созданы разными компаниями, базировались на разных аппаратно-программных платформах и работали под управлением несовместимых протоколов[134].

Вследствие этого к 1964 г. сформировались и были практически воплощены (в виде армейской сети связи ARPANET) две базовые идеи «Открытой информационной системы» и «Универсального протокола взаимодействия». Первая идея предполагала обеспечение возможностей для прохождения потоков данных в условиях изменения конфигурации вычислительной сети: даже если какие-то сегменты сетевой структуры выходили из строя или, наоборот, подсоединялись к некоей базовой сетевой структуре, то данные все равно попадали бы «из пункта А в пункт Б» за счет использования маршрутизации без какого-либо ущерба их целостности. Вторая идея предполагала возможность передачи потоков данных между любыми вычислительными сетями за счет использования универсального набора правил передачи из одной сети в другую через шлюзовые элементы. Соответственно перестало иметь значение, на каких средствах и как именно реализована архитектура вычислительной сети, поскольку потоки данных этой специфики «не замечали» и взаимодействие между сетями (Inter-Net) обеспечивалось.

Таким образом достигались необходимые связность и доступность в киберпространстве (которое реализацией описанных идей и было сформировано), что привело к бурному развитию интернет-технологий, вследствие чего до настоящего времени зависимость вычислительных сетей от интернет-технологий растет. Однако довольно быстро стало очевидным, что в условиях «связности и доступности» практически любой современный бизнес оказывается под угрозой, если в его организации не учтены ключевые аспекты информационной безопасности и защиты информации, особенно при вхождении Интернета в бизнес-инфраструктуру. К сожалению, это явилось прямым следствием противоречия между техническим прогрессом и пресловутым человеческим фактором, о чем удачно было сказано в одной из статей, напечатанных в североамериканском журнале «Atlantis Rising»[135]: «Если вы работаете в системе, основанной на честности, целостности, открытости и ясности, а в ней имеются люди, которые действуют вразрез с этими принципами, то их нельзя уличить. Все они вне подозрений». Имеется в виду, что в банковском бизнесе далеко не каждый из участников сетевого взаимодействия может иметь доступ и не ко всем информационным ресурсам (активам). Поэтому при внедрении такой СЭБ, как система интернет-банкинга, необходимо осознавать неизбежно присущие этой ТЭБ факторы риска, заложенные в ее идеологии, почему вопросы ОИБ и защиты информационных активов и стали весьма актуальными на фоне всеобщей эйфории применения в банковском деле интернет-технологий (способов межсетевого информационного взаимодействия), о чем говорилось в главе 1.

На самом деле ничего особенного в применении специальных защитных мер в описанных условиях нет; было бы странно, если бы удалось обойтись без них, и не только в банковском деле, но и в военном. Важно в любом варианте реализации ТЭБ кредитными организациями анализировать их особенности, прямо связанные с организационно-техническими решениями. В качестве примера можно привести варианты реализации интернет-банкинга.

Информационный — в этом варианте кредитная организация использует свой или сторонний web-сайт просто для того, чтобы «привлечь к себе внимание», разместив на нем информацию, включающую ее реквизиты, описания услуг, указание тарифов, рекламу и т. п. Принято считать (конечно, необоснованно), что такой вариант выхода в Сеть является безрисковым, поскольку в большинстве случаев физические связи между web-сайтом и вычислительной сетью кредитной организации отсутствуют. В тоже время, очевидно, что любой web-сайт представляет собой объект для хакерской атаки, вследствие которой он может быть блокирован, его функционирование может оказаться нарушено, его контент изменен и т. п. В книге /. Crume Inside Internet Security[136] приведен пример результативной атаки хакеров на web-сайт Центрального разведывательного управления США, которые на его стартовой странице разместили надпись «Центральное управление идиотов». В случае российских кредитных организаций проявляется эффект так называемой «недобросовестной конкуренции», которая приводит к размещению на атакуемых web-сайтах антирекламы, порочащих гиперссылок, баннеров порносайтов или казино и т. п. Поэтому даже в таком простейшем «информационном варианте» возможно возникновение компонентов репутационного и правового рисков, о чем руководство кредитной организации должно бы задуматься и организовать для сопровождения и контроля функционирования своих web-сайтов специальный внутрибанковский процесс (затрагивающий несколько подразделений и требующий документарного обеспечения).