Кибербезопасность в условиях электронного банкинга. Практическое пособие [заметки]

В ряде случаев вводят так называемый «режим регуляторной песочницы».

Как правило, под ДБО понимают совокупность методов предоставления банковских услуг с помощью средств телекоммуникации, при использовании которых присутствие самого клиента в банке не требуется.

В связи с этим можно говорить только о вероятности наступления того или иного события и масштабе его последствий, то есть использовать для оценки уровня безопасности рисковый подход.

См.: Валенцева Н.И. Законы и закономерности развития кредита // Банковские услуги. 2010. № 12. С. 2–9.

Данное понятие часто упоминается в сочетании со словом «глобальная».

Status Report on European Telework // Telework 1997, European Commission Report, 1997. URL: http://www.eto.org.uk/twork/tw97eto.

Еще в середине 1999 г. на веб-сайте Международного валютного фонда были приведены расчеты затрат на выполнение банковских операций: стоимость ручной обработки транзакции в филиале коммерческого банка составляла в среднем более 1 доллара, телефонное обслуживание оценивалось в 60 центов за услугу, транзакции через банкоматы и клиринговые центры стоили около 25 центов, а транзакция через интернет обходилась всего в 1 цент. Учитывая постоянное снижение тарифов на предоставление доступа в интернет, можно предположить, что сейчас банковские операции, выполняемые в рамках интернет-банкинга, обходятся еще дешевле.

По этой же причине у многих возникает желание пропустить большой абзац.

Интернет-доступ (мировой рынок). URL: http://www.tadviser.ru/a/53635.

Там же.

Просторы интернета: для работы или развлечений? ВЦИОМ. URL: https:// wciom.ru/index.php?id=236&uid=9322.

Подробнее см.: The IT cloud // The Economist. 2013. No. 8845. P. 61.

Правила регистрации доменных имен в доменных зонах. RU и. РФ. URL: https: / / cctld.ru/ru/docs/project/algoritm/rules_draft.pdf.

ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1–1. Терминология, концептуальные положения и модели (утв. и введен в действие Приказом Росстандарта от 10.11.2014 № 1493-ст).

Письмо Минобрнауки России от 28.04.2014 № ДЛ-115/03 «О направлении методических материалов для обеспечения информационной безопасности детей при использовании ресурсов сети Интернет».

Эти же рекомендации должны знать и специалисты кредитной организации, отвечающие за бесперебойное и безопасное функционирование веб-сайта, чтобы без промедления пресекать подобные мошеннические действия.

Речь идет об адресной строке. Для проверки наличия кодированного (шифрованного) вида пользователю необходимо обращать внимание на конфигурацию ссылки веб-сайта банковского учреждения. Кодированным (шифрованным) и безопасным соединением считается ссылка, в начале которой указывается аббревиатура https.

Самостоятельно получить сведения о веб-сайте можно на следующих сетевых ресурсах: www.dnsdtuff.com,www.geobytes.com,www.nextwebsecuritj.com, www.do-maintools.com и др.

Автор сознательно приводит не один, а несколько однотипных примеров вебсайтов, чтобы показать разнообразие уловок кибермошенников.

ФинЦЕРТ, или Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, входит в состав Департамента информационной безопасности Банка России.

Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.

Маркировка осуществляется в виде зеленой галочки, которая устанавливается рядом с адресной строкой и наименованием веб-сайта при поиске ресурса в поисковой системе «Яндекс».

Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.

Подробнее см.: Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России. URL: www.cbr.ru/fincert.

Более подробно процедуру выявления фиктивных кредитных организаций мы рассматривали в разделе 1.2.1 «Лжебанки». Потребителю необходимо быть бдительным и проверять не только сам веб-сайт, но и информацию об организации, предоставляющей на нем платежные услуги.

Все эти махинации носят название MLM-схем (Multi-Level Marketing – многоуровневый маркетинг).

Другое распространенное название – «Афера 419» (по номеру соответствующей статьи в Уголовном кодексе Нигерии).

Надо отметить, что география подобных преступлений постоянно растет. Были даже примеры, когда делили сбережения российских олигархов.

Сразу хочется задать вопрос, почему обладатель такого состояния решает обратиться через интернет к незнакомцу, а не иметь дело со знакомым и проверенным человеком.

Червь (worm) – разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов, червь является самостоятельной программой.

Троянская программа, или троян (trojan), – разновидность компьютерных программ, которые «претендуют» на то, что выполняют определенную функцию, в действительности же работают совершенно иначе (свое название получила в честь «троянского коня»).

В системе WebMoney используются различные валюты. WMZ – средства, эквивалентные долларам США.

В последнее время в качестве причин проблем все чаще называют финансовый кризис.

Ботнет (botnet) – компьютерная сеть, состоящая из некоторого количества зараженных компьютеров (ботов).

DoS-атака (от англ. Denial of Service — отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service — распределенный отказ в обслуживании) – разновидности атак на вычислительную систему. Цель этих атак – довести систему до отказа, то есть создать такие условия, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам либо этот доступ затруднен.

Компания Sophos является одним из мировых лидеров в области решений для информационной безопасности.

Кроме того, сами банки иногда используют недостаточно надежные системы ДБО.

Более известен во всемирной сети под псевдонимами Гермес и Араши.

Group-IB – международная компания, лидер российского рынка по оказанию полного комплекса услуг в области расследований инцидентов информационной безопасности и компьютерных преступлений: начиная от оперативного реагирования на инцидент и заканчивая постинцидентным консалтингом (официальный веб-сайт компании: http://www.group-ib.ru).

Подробнее см. интервью Ильи Сачкова для РИА Новости: Хакер, укравший 150 млн рублей, работал с 25 сообщниками // Прайм. Бизнес-лента 22 июня 2012 г.; Гендиректор Group-IB: у хакеров есть несколько собственных платежных систем // ПЛАС-daily 19 июля 2012 г.

Carberp – распространенная среди киберпреступников вредоносная программа. Она собирает информацию о пользователе и системе и отправляет ее на сервер злоумышленников. Также бот может делать снимки экрана, перехватывать нажатия клавиш, содержимое буфера обмена с отправкой на сервер. Троян имеет возможность самоудаления, установки дополнительных вредоносных модулей, кражи цифровых сертификатов для популярных систем ДБО.

Главари организованных преступных группировок с большим интересом участвуют в таких махинациях, поскольку хакеры готовы отдавать до 50 % украденных денег.

Вступила в действие с 1 января 2014 г.

Перечень типичных банковских рисков приведен в Письме Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».

Следует отметить, что риски, возникающие на стороне различных провайдеров услуг и сотовых операторов, сотрудникам кредитных организаций весьма затруднительно (а в ряде случаев невозможно) контролировать.

В основном это связано с обучением персонала и совершенствованием методик проведения проверок специалистами риск-подразделений и служб внутреннего контроля.

Потери компаний от кибератак в мире в 2019 г. могут достигнуть $2,5 трлн. URL: https://www.kommersant.ru/doc/3957187.

Hi Tech Crime Trends 2019/2020. URL: https://www.group-ib.ru/resources/threat-research/2019-report.html.

Краткая характеристика состояния преступности в Российской Федерации за январь-октябрь 2019 г. URL: https://мвд. рф/reports/item/19007735/.

Эта парадигма уходит корнями в историю России. Так, система государственной безопасности СССР и деятельность КГБ были построены на этой модели. Четко просматривается эта парадигма и в начале 1990-х гг. XX в. Например, в Законе РФ от 05.03.1992 № 2446-I «О безопасности» безопасность определяется как состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Подтверждением этому может служить принятие ряда важнейших концептуальных документов, направленных на обеспечение разных видов безопасности Российской Федерации (в которых акценты сделаны именно на проблемах развития): Стратегии национальной безопасности Российской Федерации (2009 г.), Доктрины информационной безопасности Российской Федерации (2000 г.), Стратегии развития информационного общества в Российской Федерации (2008 г.) и др.

АРМ КБР – автоматизированное рабочее место клиента Банка России.

SWIFT – Society for Worldwide Interbank Financial Telecommunications.

Интернет вещей (англ. Internet of Things, IoT) – концепция вычислительной сети физических объектов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.

Подробнее см.: http://www.comnews.ru/node/99810#ixzz42a2YxSMK.

Атаки хакеров-одиночек – вчерашний день. Настоящие кибернетические войны теперь ведут государства. Согласно информации о взломах, наиболее развитым кибероружием обладают США, Великобритания, Россия, Китай, Индия, Иран и Северная Корея. URL: http://tadviser.ru/a/53662.

Подробнее см.: MasterCard представила решения для платежей через холодильник и фитнес-браслеты. URL: http://www.banki.ru/news/lenta/?id=8603837.

Интернет вещей, IoT, M2M мировой рынок. URL: http://www.tadviser.ru/a/302413.

Там же.

Россиянка взломала автоматические кормушки для животных. URL: https:// www.securitylab.ru/news/502052.php.

September 2019 Cyber Attacks Statistics. URL: https://www.hackmageddon.com/ 2019/11/04/september-2019-cyber-attacks-statistics/.

Пентагон уберет антивирус Касперского из всех своих информационных систем. URL: https://ria.ru/20171019/1507196875.html.

Телепередача «Вести. Дежурная часть» от 12 февраля 2016 г., сюжет «Новый вид карманных краж: в зоне риска пассажиры общественного транспорта». URL: http://www.vesti.ru/videos/show/vid/670703/cid/1741/.

Radio Frequency Identification – радиочастотная идентификация, способ автоматической идентификации объектов, когда посредством радиосигналов считываются или записываются данные. Некоторые энтузиасты тестируют применение RFID-чипов в реальной обстановке: для оплаты покупок и переводов между счетами клиента. Вдобавок вживляемый в руку биочип позволяет открывать дверные замки и запускать офисное оборудование.

Видеостена – компьютеризированная система наглядной информации, представляющая собой конструкцию из нескольких панелей (экранов) для демонстрации рекламы, установленную в общественных местах: метро, аэропортах, магазинах и т. д.

Результаты мониторинга кибербезопасности кредитной организации рекомендовано оценивать не реже, чем раз в квартал. Такая периодичность обусловлена увеличением числа кибератак на системы финансовых организаций и ростом финансовых потерь клиентов из-за хакерских программ (Письмо Банка России от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»).

Латентная киберпреступность представляет собой скрытую или незарегистрированную часть фактически совершенных преступлений. Латентная киберпреступность является серьезным криминогенным фактором, детерминирующим дальнейшее ее распространение.

Данные Банка России. URL: http://www.banki.ru/news/lenta/?id=8686505.

Официальное воровство: как Китай крадет технологии у всего мира. URL: http://inosmi.ru/fareast/20150911/230231504.html.

URL: https://wikileaks.org/wiki/WikiLeaks: Tor.

URL: http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=0.

URL: https://www.cnbc.com/2018/03/21/facebook-cambridge-analytica-scandal-everything-you-need-to-know.html.

URL: https://www.interfax.ru/business/683812.

URL: https://www.enforcementtracker.com/.

URL: https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019.

С содержанием стандартов Банка России по информационной безопасности можно познакомиться на официальном веб-сайте Банка России. URL: http:// www.cbr.ru/psystem/.

URL: http://mir-procentov.ru/banks/news/komprometatsiya-bankovskih-kart.html.

URL: https://moscow.megafon.ru/corporate/productsandsolutions/products/ mobile_id.html#description.

Как сообщается в статье ООО «Доктор Веб» «История развития преступной отрасли создания банковских троянцев», троянская программа GoldSpy предназначалась для хищения электронных денег в уже не существующей в настоящее время американской платежной системе E-Gold. URL: http://antifraud. drweb.com/bank_trojs/history/?lng=ru.

Подробнее см.: Эволюция Zeus. URL: http://habrahabr.ru/post/161707/.

Носакин Р. Ботнет великий и ужасный // Компьютерра онлайн. 07.05.2007. URL: http://old.computerra.ru/focus/317787/.

Рынок преступлений в области высоких технологий: состояние и тенденции 2013 года / ООО «Группа информационной безопасности», 2013. URL: http://www. group-ib.ru/list/1008-analytics/?view=article&id=1155.

Ошибка системы // Коммерсант-Украина. URL: http://www.kommersant.ru/doc/ 2160535.

Рынок преступлений в области высоких технологий: состояние и тенденции 2013 года. Аналитический обзор ООО «Группа информационной безопасности», 2013 г. URL: http://www.group-ib.ru/list/1008-analytics/?view=article&id= 1155.

В октябре 2013 г. разработчик связки эксплойтов Black Hole, 27-летний программист-самоучка из г. Тольятти, известный под сетевым псевдонимом Paunch, был задержан сотрудниками УЭБиПК ГУ МВД России по г. Москве и Следственного департамента МВД России.

Данная глава подготовлена на основе документа Базельского комитета по банковскому надзору «Принципы управления рисками для предоставления банковских услуг в электронной форме» (май 2001 г.).

Службы агрегации счетов позволяют клиентам получать в одном месте консолидированную информацию об их финансовых и нефинансовых счетах. Агрегатор изначально действует как агент по предоставлению клиентам консолидированной информации об их счетах в различных финансовых учреждениях. Клиенты предоставляют агрегатору защитные пароли или персональные идентификационные номера для получения доступа и консолидации информации о состоянии счетов. В основном это реализуется через так называемое «считывание экранной информации» – процесс, включающий отбор данных с веб-сайтов других учреждений, зачастую без их оповещения или через контрактные отношения по прямому обмену данными между финансовыми учреждениями.

Указанные основные принципы размещены на веб-сайте Банка международных расчетов (Bank for International Settlements): http://www.bis.org.

Документ Risk Management for Electronic Banking and Electronic Money Activities (март 1998 г.) размещен на веб-сайте Банка международных расчетов: http://www.bis.org.

Документ Electronic Banking Group Initiatives and White Papers (октябрь 2000 г.) размещен на веб-сайте Банка международных расчетов: http://www.bis.org.

В этой главе используется определение операционного риска, сформулированное Группой управления рисками БКБН, которое включает риск безопасности и правовой риск.

В данном документе БКБН считается, что структура управления состоит из совета директоров и высшего руководства. БКБН осознает, что в разных странах существуют значительные различия в законодательных и регулятивных схемах, касающихся функций совета директоров и высшего руководства банков. В некоторых странах такой совет обладает главной, если не исключительной, функцией надзора за исполнительным органом (высшим руководством, основным руководством) с точки зрения обеспечения выполнения последним своих обязанностей. По этой причине он иногда называется надзирающим советом. Напротив, в других странах компетенция такого совета шире и включает определение структуры основного руководства банков. Из-за различий такого рода сами термины «совет директоров» и «высшее руководство» используются для обозначения двух функций, связанных с принятием решений в банках, но не для определения узаконенных структур.

В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать подготовку необходимых отчетов для соответствующих надзорных органов.

Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.

Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.

Включая сотрудников, контрактников и тех, кто обладает правами доступа на основе контрагентских отношений.

Включая мониторинг сетевой активности, фиксацию попыток проникновения и получение сведений о серьезных недостатках в обеспечении безопасности.

Определение стандартов безопасности и качества, а также надежности схем сертификации может быть специфичным для отдельных учреждений или стандартизированным (т. е. в пределах национальной банковской отрасли в целях повышения уровня безопасности деятельности в рамках ЭБ). Также банки могут выбирать порядок назначения прав доступа – на централизованной или распределенной основе. Например, могут существовать единственный орган авторизации, ответственный за назначение прав доступа отдельным пользователям и группам пользователей, либо несколько органов авторизации, созданных для упорядочения работы по разным направлениям бизнеса.

Они должны включать средства защиты от неавторизованного доступа посторонних лиц, таких как посетители, контрактники или техники, которые могут иметь доступ в помещения, не будучи непосредственно вовлеченными в обслуживание, осуществляемое в рамках ЭБ.

При таком оценивании следует также учитывать степень контроля, реализуемого в отношении сторонних организаций. Основной акционер в совместном предприятии нередко может обладать более значительным контролем, чем в случае контрактных отношений с провайдером услуг. Однако из этого не следует, что акционерный контроль над совместным предприятием или товариществом всегда будет эффективным, особенно если технологии и обслуживание, необходимые для работы такой ассоциации, предоставляются акционером с малым числом акций. Подобные различения бывают полезны в основном для того, чтобы обосновать периодическое проведение оценивания.

Масштаб проверок соблюдения обязательств следует определять, исходя из финансовой значимости заказных операций и степени изменений в системах и управлении рисками с течением времени, включая любые последующие субконтрактные отношения, которыми может быть связан данный провайдер услуг.

Как и в случае с другими законными контрактами, которые заключает банк, его юрист или юридическое подразделение должны изучить все пункты и условия контрактов, определяющие соглашения по заказной обработке в рамках ЭБ.

Банкам, в которых отсутствует специализированная аудиторская служба, следует как минимум иметь сотрудников, не принимающих участия в управлении отношениями, связанными с заказной обработкой, и проверяющих эффективность контроля соблюдения таких контрагентских договоренностей.

К примеру, в тех случаях, когда СД полагается на стороннего поставщика в части обслуживания в рамках ЭБ, он должен убедиться, что данный поставщик адекватно относится к решению этих вопросов и как минимум соответствует собственным стандартам деятельности банка.

В этом разделе под аутентификацией понимаются методы! процедуры и процессы, используемые для подтверждения идентичности и авторизации ожидаемых и установленных пользователей. Под идентификацией — процедуры, методы и процессы, используемые для установления идентичности клиентов при открытии счетов. Под авторизацией — процедуры, методы и процессы, используемые для определения того, обладает ли клиент или сотрудник разрешенным доступом или полномочиями для проведения транзакций, связанных с конкретными счетами.

«Мистификация» (spoofing) – это имитация легитимного клиента за счет использования его номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты.

«Вынюхиватель» (sniffer) – это устройство, которое способно просмотреть поток данных, передаваемых по каналу связи, перехватить пароли и данные при их передаче.

В число систем включаются и собственные веб-сайты учреждений.

В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации.

Банк может выдавать цифровые сертификаты с использованием инфраструктуры открытых ключей (ИОК) для клиента, чтобы обеспечить безопасность связи с банком. Цифровые сертификаты и ИОК более полно рассмотрены в описании Принципа 5.

Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиористических характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаза, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.

Эффективные решения в части аутентификации могут также уменьшить риск отказа от операции, источником которого является то, что авторизованный пользователь через какое-то время может отрицать факт осуществления им авторизованной транзакции (см. также Принцип 5).

В некоторых случаях источниками аутентификационных данных могут быть электронные средства.

При использовании ИОК каждая сторона обладает парой ключей шифрования: личным и открытым. Личный ключ является скрытым, чтобы им мог пользоваться только один человек. Открытый ключ используется всеми участниками. С помощью личного ключа генерируется цифровая подпись к документу, а сама ключевая пара сконструирована таким образом, что сообщение, зашифрованное с личным ключом, может быть прочитано только с помощью второго ключа. Банк может сам действовать как орган сертификации (ОС) или полагаться на стороннюю доверенную организацию в части снабжения того или иного лица либо контрагента конкретным цифровым сертификатом. Однако если банк получает цифровой сертификат для обеспечения аутентичности со стороны, то он должен убедиться в том, что ОС, выдавший этот сертификат, обеспечивает тот же уровень аутентификации, который гарантировал бы сам банк при аутентификации личности. Основным недостатком системы аутентификации с ИОК является то, что ее сложнее реализовать.

Либо должны присутствовать альтернативные компенсирующие средства контроля.

Если это нереально для пользователей уровня системного администратора, следует обеспечить наличие других средств строгого внутреннего контроля и разделение обязанностей для мониторинга движения средств по счетам таких пользователей.

Банкам следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно восстановление записей, которые могли подвергнуться воздействию или порче.

Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.

В некоторых юрисдикциях законы и правила могут не обязывать банк запрашивать разрешение клиента на использование клиентских данных для собственных целей. Однако они могут обязывать банк предоставлять клиенту возможность отмены данного банку разрешения на обмен такой информацией с третьими сторонами и аффилированными организациями. В других же юрисдикциях клиент может обладать правом запретить банку использовать клиентские данные для любых внутренних или внешних целей.

Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.

Мониторинг «горячей линии» и работы службы сопровождения клиентов, а также регулярный обзор жалоб клиентов могут способствовать выявлению пробелов в информации, обнаруживаемых и регистрируемых средствами обеспечения безопасности, в сопоставлении с реальными случаями вмешательства извне.

Данная глава подготовлена по материалам специализированной брошюры в составе «Справочника контролера» Управления контролера денежного обращения США (Office of the Comptroller of the Currency, ОСС).

Одним из первых документов Банка России по тематике интернет-банкинга было Письмо от 03.02.2004 № 16-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет». В настоящее время действует обновленная версия данного документа – Письмо от 23.10.2009 № 128-Т с аналогичным названием.

Речь идет о подходе, который включает в себя стратегическое и тактическое управление.

В соответствии с требованиями, изложенными в Положении № 242-П.

Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

См. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

Речь идет о нештатных ситуациях, при которых может быть нарушена непрерывность функционирования СЭБ.

Представлены условные названия разделов документа и их содержание.

Управление ООН по наркотикам и преступности (United Nations Office on Drugs and Crime, UNODC, ЮНОДК или УНП ООН) – подразделение ООН, созданное для борьбы с незаконным оборотом наркотиков, оружия, организованной преступностью, торговлей людьми и международным терроризмом. Управление основано в 1997 г. в результате слияния Программы ООН по контролю за наркотиками и Центра по предотвращению международной преступности. ЮНОДК действует по всему миру через сеть региональных отделений.

Подробнее см. материал директора Росфинмониторинга Юрия Анатольевича Чиханчина «Международное сотрудничество в сфере борьбы с легализацией доходов, полученных преступным путем, и финансированием терроризма как фактор укрепления глобальной и региональной безопасности» (Финансовая безопасность. 2013. № 1).

Например, 44 фунта (примерно 20 кг) кокаина, стоящие $1 млн, эквивалентны 256 фунтам (примерно 116 кг) наличности суммой в $1 млн. Вес наличности почти в шесть раз превышает вес наркотиков.

Обычно такие электронные деньги привязаны к стоимости одной из мировых валют.

World Payments Report. Capgemini and The Royal Bank of Scotland plc (RBS), 2011.

Также электронные деньги могут быть более привычными для активных пользователей интернета.

Подробнее см.: Достов В.Л., Кузнецов В.А., Шуст П.М. Электронные деньги как инструмент оптимизации платежного оборота (точка зрения) // Деньги и кредит. 2013. № 12.

Подробнее см.: Овчинников Б.В. Рынок e-commerce в России: итоги 2012 г. и тренды 2013 г. URL: http://www. datainsight. ru/ecommerce2012.

Подробнее см.: Овчинников Б.В. Рынок онлайн-платежей в России: пользователи и их предпочтения. URL: http://www. datainsight. ru/onlinepayment 2012.

Обеспечение надлежащей информированности пользователей об имеющихся у них правах и обязанностях, общие условия использования, использование электронных договоров, определение коммерческого интернет-сайта, реклама и т. д.

Так называемые «кражи личности».

Например, обязательства по надлежащей проверке клиентов и обеспечению постоянного мониторинга своих отношений с деловыми партнерами.

Должна проводиться надлежащая проверка клиентов (по упрощенной/расширенной процедуре) с использованием подхода на основе оценки рисков.

Надлежащая идентификация клиента является необходимым условием не только для обнаружения подозрительных действий, осуществляемых физическим лицом/компанией, но и для эффективного расследования подозрительной операции.

Даже учитывая тот факт, что в большинстве случаев эмитенты анонимных подарочных карт кладут на них небольшие суммы.

Степень анонимности можно снизить, используя механизмы внутреннего контроля для мониторинга и надзора за выпуском подарочных карт в местных магазинах или супермаркетах, недопущения или контроля внезапного увеличения количества эмитированных подарочных карт и положенных на них сумм (анализ информации о покупках, структуры покупок и места расхода денег, IP-адреса, физический мониторинг территории). Однако полностью устранить анонимность нельзя.

Поставщик услуг интернет-платежей должен уметь снижать потенциальный риск за счет введения необходимых ограничений на использование счета.

Следует заметить, что традиционным финансовым учреждениям также трудно определить критерии мониторинга операций тех клиентов, которые осуществляют их с помощью программного обеспечения.

Если поставщики услуг интернет-платежей обеспечат надлежащий мониторинг финансовых операций своих клиентов, реагируя на отклонения от сложившейся модели поведения клиента, то недостаток личного контакта, имеющийся в начале взаимоотношений с поставщиком услуг коммерческого интернет-сайта и поставщиком услуг интернет-платежей, может перестать быть проблемой.

Стоит заметить, что само по себе пополнение счета или карты наличными не является достаточным основанием для того, чтобы подозревать клиента в ОД/ФТ. Источник происхождения наличных может быть законным. При использовании клиентом наличных поставщик услуг интернет-платежей должен использовать методы контроля или надлежащей проверки клиентов более высокого уровня (мониторинг операций, лимиты, ограничения и т. д.).

Поставщикам услуг интернет-платежей иногда бывает сложно отличить кредитную карту от предоплаченной, так как эмитенты кредитных и предоплаченных карт используют похожие номера для карт обоих типов.

Следует упомянуть, что в большинстве случаев эмитенты подарочных карт кладут на них небольшие суммы. Поэтому для обеспечения рентабельности операций по отмыванию денег преступники должны использовать несколько подарочных карт. Эмитенты подарочных карт также используют механизмы внутреннего контроля, отслеживая их выпуск в местных магазинах и супермаркетах. Это снижает степень анонимности, но не устраняет ее полностью.

Необходимо отметить, что некоторые онлайновые электронные кошельки предусматривают временные ограничения на хранение денег.

Дополнительными признаками опасности могут являться неоднократные продажи товара одним и тем же покупателем одному и тому же продавцу.

Имена преступников взяты из известной фантастической повести шотландского писателя Роберта Стивенсона «Странная история доктора Джекила и мистера Хайда» (англ. Strange Case of Dr Jekyll and Mr Hyde), которая вышла в Лондоне в 1886 г. В этой повести главный герой существует в двух разных образах: доктора Джекила и мистера Хайда.

На долю азартных игр приходится значительная часть финансовых объемов.

Например, интернет-сайт азартных игр может быть зарегистрирован в одной юрисдикции, а сервер может находиться в другой.

Операторы игорного бизнеса могут предоставлять VIP-счета игрокам, которые размещают крупные суммы на своих игровых счетах. К таким игрокам, как правило, не применяются строгие меры по надлежащей проверке клиентов.

Игроки вносят наличные деньги операторам наземного игорного бизнеса для перевода средств на виртуальный игровой счет. Таким образом они полностью избегают использования финансовой системы.

Подробнее см. доклад Азиатско-Тихоокеанской группы по борьбе с отмыванием денег и ФАТФ «Уязвимость казино и игорного сектора» (март 2009 г.).

Комитет экспертов Совета Европы по оценке мер борьбы с отмыванием денег (МАНИВЭЛ) – региональная группа по типу ФАТФ, в задачи которой входит распространение политики международных стандартов в области ПОД/ФТ на страны Европы. МАНИВЭЛ является подкомитетом Европейского комитета Совета Европы по проблемам преступности.

Подробнее см. типологический отчет «Использование азартных игр в интернете для отмывания денег и финансирования терроризма» (апрель 2013 г.).

Надзор в целях ПОД/ФТ осуществляется либо подразделениями финансовой разведки, либо другим надзорным органом в финансовом или игорном секторе соответствующей страны.

Большинство стран – членов МАНИВЭЛ, регулирующих игорный бизнес в интернете, следят за тем, чтобы операторы игорного бизнеса в интернете, которые получили лицензию в их юрисдикции, принимали платежи только от лицензированных кредитно-финансовых учреждений, подчиняющихся соответствующим требованиям в сфере ПОД/ФТ.

Операторам азартных игр в интернете важно следить за тем, чтобы игроки переводили свои средства через регулируемые учреждения, предоставляющие услуги по альтернативным способам оплаты, к которым применяются соответствующие требования в сфере ПОД/ФТ.

См. типологический отчет ФАТФ «О новых способах платежа» (23 октября 2006 г.), отчет «Об уязвимости коммерческих интернет-сайтов и платежных интернет-систем к угрозам ОД/ФТ» (18 июня 2008 г.) и отчет «Отмывание денег с использованием новых способов осуществления платежей» (октябрь 2010 г.).

Серверы могут находиться в одной юрисдикции, а управление веб-сайтами может осуществляться удаленно из других юрисдикций. В то же время игроки могут получать доступ к этим веб-сайтам из любой точки мира. Определение всех этих мест по IP-адресам представляет собой трудную задачу для правоохранительных органов, особенно в тех случаях, когда веб-сайты с азартными играми работают без лицензии.

Подробнее см. отчет «Угроза отмывания денег и финансирования терроризма через индустрию азартных игр в интернете», подготовленный компанией MHA Consulting для Ассоциации удаленного игорного бизнеса (июнь 2009 г.), и отчет Майкла Леви «Риски отмывания денег и азартные игры в интернете: обзор и оценка на примере Европы» (сентябрь 2009 г.).

Например, электронный покер.

Система Bitcoin была внедрена в 2008 г. одной загадочной личностью под псевдонимом Сатоши Накамото.

В конце октября 2013 г. в канадском Ванкувере открылся первый банкомат по обслуживанию биткоинов. Любой желающий может обменять в нем обычные деньги на кибервалюту или, наоборот, продать принадлежащие ему биткоины, обменяв их на наличные деньги.

Существенная особенность биткоинов заключается в том, что это и система электронных платежей, и деньги сами по себе. В отличие от электронных денег, которые появляются только по предоплате, биткоины не имеют предоплаченной природы.

Однако уже в январе 2014 г. Управление Министерства финансов США по борьбе с финансовыми преступлениями выпустило новые рекомендации по биткоинам. Рекомендации уточняют, что казначейство не требует отчетности от пользователей и компаний, которые создают биткоины «для личных целей».

Центробанк приравнял биткоины к финансовым пирамидам // NEWSru.com. 24 февраля 2014 г.

Fortress Investment Group в 2013 г. понесла убытки в 3,7 млн долл. из-за инвестиций в bitcoin // RBC NEWS. 1 марта 2014 г.

Термин «понимание» присутствует во многих документах ФАТФ по тематике риск-ориентированного подхода в рамках проведения мероприятий по ПОД/ФТ и в большей степени соответствует термину «значимость» (используется для того, чтобы показывать, насколько последствия проявления рисков ОД/ФТ будут влиять на экономику страны).

Например, государству, обществу, экономике и т. д.

Например, для выработки национальной политики в области ПОД/ФТ.

Например, получение информации, необходимой для выработки политики или перераспределения ресурсов между надзорными, правоохранительными и иными компетентными органами.

В связи с этим страны могут принять решение проводить оценку рисков отмывания денег и финансирования терроризма раздельно.

Спектр угроз и уязвимостей в рамках любой конкретной оценки будет различаться в зависимости от масштабов оценки (оценка на национальном уровне, на региональном уровне, на уровне отдельного сектора экономики и т. д.).

При этом на практике обмен и предоставление информации разведывательными органами или органами безопасности часто бывают невозможны.

Помимо этого, они могут оказать содействие в выявлении уязвимостей.

Например, о торговле людьми и организованной преступности.

Например, использования электронных денег при расчетах за поставку (продажу) запрещенных в свободной торговле товаров.

Например, о возможности использования упрощенной идентификации при проведении различных операций с использованием электронных денег.

Такие данные могут быть использованы для информирования экспертов-оценщиков в области ПОД/ФТ о достаточности и адекватности процесса оценки рисков в стране при условии неразглашения чувствительной информации.

Понятие «факторы риска» используется для обозначения конкретных угроз или уязвимостей, которые являются причинами, источниками или движущими силами возрастания риска ОД/ФТ.

Как правило, они отличаются для каждой отдельно взятой страны в зависимости от уровня риска ОД/ФТ (от высокого уровня до приемлемого).

Данный список должен быть составлен заранее и в дальнейшем корректироваться в соответствии с появлением новых факторов риска ОД/ФТ.

Это может быть типологический отчет по преступлениям в области ОД/ФТ.

Это могут быть данные о наличии и эффективности любых мер, направленных на ПОД/ФТ (например, ограничения на использование наличных денег при проведении определенных операций), а также данные о слабых местах в выполнении обязанностей, в том числе по причине нехватки ресурсов.

Например, известную систему Hawala (подробнее см.: Ревенков П.В., Воронин А.Н. Мошенничество в сфере международных денежных переводов // Расчеты и операционная работа в коммерческом банке. 2009. № 6. С. 83–93).

Эти факторы следует использовать с учетом особенностей каждой отдельной страны.

Например, на количество квартирных краж, степень общественной безопасности и т. д.

Для того чтобы террористы могли осуществлять свои операции, а также оказывать поддержку своим организациям, им необходимо иметь «рабочий» капитал.

Такие приоритетные направления могут помочь в разработке стратегии по снижению данного риска.

А также другой деятельности по осуществлению государственной политики и обеспечению безопасности.

Это может быть краткий обзор или информация об использованной методологии и выводах, сделанных по результатам оценки, и др.

Например, с помощью проведения специального обучения по вопросам использования интернет-сайтов и интернет-платежей в противоправных целях. Здесь могут оказать большую помощь регулирующие органы и профессиональные объединения, занимающиеся разработкой рекомендаций по ПОД/ФТ и типизацией способов ОД/ФТ.

Согласно определению договора репо, закрепленному в ст. 51.3 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг» [55], таким договором признается договор, по которому одна сторона (продавец по договору репо) обязуется в срок, установленный этим договором, передать в собственность другой стороне (покупателю по договору репо) ценные бумаги, а покупатель по договору репо обязуется принять ценные бумаги и уплатить за них определенную денежную сумму (первая часть договора репо) и по которому покупатель по договору репо обязуется в срок, установленный этим договором, передать ценные бумаги в собственность продавца по договору репо, а продавец по договору репо обязуется принять ценные бумаги и уплатить за них определенную денежную сумму (вторая часть договора репо).

Данные представлены на официальном веб-сайте Банка России. URL: http:// www.cbr.ru/content/filedocument/file/14174/list_exchange.xls.

Информация представлена на официальном веб-сайте ПАО Московская Биржа. URL: https://www.moex.com/ru/listing/securities.aspx.

Данное определение приведено в ст. 3 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»[55].

ФСФР России была образована Указом Президента РФ от 09.03.2004 № 314 «О системе и структуре федеральных органов исполнительной власти», в соответствии с которым данной службе были переданы: функции по контролю и надзору упраздненной Федеральной комиссии по рынку ценных бумаг; функции по контролю и надзору в сфере финансовых рынков упраздненного Министерства труда и социального развития Российской Федерации; функции по контролю деятельности бирж упраздненного Министерства Российской Федерации по антимонопольной политике и поддержке предпринимательства; функции по контролю и надзору в сфере формирования и инвестирования средств пенсионных накоплений Министерства финансов Российской Федерации. Четвертого марта 2011 г. к ФСФР России была присоединена Федеральная служба страхового надзора. Первого сентября 2013 г. служба упразднена и ее функции переданы в ведение Банка России в соответствии с Указом Президента РФ от 25.07.2013 № 645. Третьего марта 2014 г. Служба Банка России по финансовым рынкам (СБРФР) упразднена. Полномочия по регулированию, контролю и надзору в сфере финансовых рынков, ранее осуществляемые СБРФР, переданы созданным структурным подразделениям Банка России.

Ознакомиться с подобными предложениями можно на следующих интернет-ресурсах: http://cfudbizo5i5r6lf6.onion, http://qr5rw75na7gipe62onion, http://hyd-raruzxpnew4af.onion.

«Методические рекомендации по установлению критериев существенного отклонения объема торгов ценными бумагами» (утв. Банком России 11.03.2019 за № 7-МР).

В случае если такие действия причинили крупный ущерб гражданам, организациям или государству либо сопряжены с извлечением излишнего дохода или избежанием убытков в крупном (от 3,75 млн руб.) или особо крупном (от 15 млн руб.) размере.

URL: http://www.cbr.ru/finmarket/inside/inside_detect/.

В сертификатах на средства криптографической защиты информации (СКЗИ) это требование формулируется как аксиома («…при сохранении в тайне ключа подписи»).

Не следует ожидать, что в ближайшее время нам удастся в достаточной степени подготовить в области информационной безопасности всех наших сограждан – а именно они и являются клиентами банков. Банкиров бы подготовить…

В конце этой главы рассмотрим особенности интерактивной рефлекторной идентификации в отдельном разделе.

Статья 4 Закона № 63-ФЗ: «Принципами использования электронной подписи являются: недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе».

Часть 2 ст. 12 Закона № 63-ФЗ: «При создании электронной подписи средства электронной подписи должны: 1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; 2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи; 3) однозначно показывать, что электронная подпись создана».

Пункт 15 Требований: «Средства ЭП класса КС3 противостоят атакам, при создании способов, подготовке и проведении которых используются возможности…:…доступ к СВТ, на которых реализованы средство ЭП и СФ».

Параметры компьютера: процессор 4-ядерный, 1,6 ГГц, Cortex A9; графический процессор Mali400, 2D/3D OpenGL ES2.0/OpenVG1.1; ОЗУ 2GB DRR3; WiFi IEEE 802.11 b/g/n; Bluetooth V4.2; считыватель карт microSD (TF card) до 32GB; размер защищенного диска 8 ГБ. Параметры док-станции: порт HDMI: 2, порт USB: 8 (host) + 1 (slave), порт Ethernet, порт питания: 1 DC 4.0mm, питание: DC 5V 2A.

Если приведенных аргументов до сих пор недостаточно, можно обратиться к математическому доказательству [83, с. 46–60].

Это слово используется в разных значениях, но в рамках этого текста условимся применять только одно из них: защищенное тем или иным способом хранилище ключей в виде объектов PKCS.

Более подробно об этом можно прочитать в методическом документе: Рекомендации по стандартизации Р 1323565.1.012-2017 «Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации» [37].

Аппаратно-программный модуль доверенной загрузки.

ОКБ САПР – разработчик средств защиты информации, год создания – 1989. Подробнее на официальном веб-сайте компании: www.okbsapr.ru.

Например, голос существенно зависит от состояния мягких тканей – то есть при насморке может сильно измениться.

Например, к зависимости только от твердых тканей – добиваясь инвариантности, но уменьшая информативность (сложность).

В идеале – предоставляемое банком.

Cyber-physical (или cyberphysical) systems – это по сути всеобъемлющий термин, который используется для описания интеграции подключенных к интернету машин и производственных процессов, не основанных на человеческом труде.

Internet of Things. Впрочем, теперь с подачи Cisco набирает популярность расширенная трактовка этого термина – Internet of Everything, IoE или «всеобъемлющий интернет» (URL: https://newsroom.cisco.com/ioe). IoE объединяет людей, процессы, информацию и все, что способствует повышению значимости сетевых связей посредством превращения информации в действия.

При этом надо понимать, что датчики в каждом новом подключенном к сети автомобиле генерируют до двух петабайтов данных в год. CPS-подходы превращают сами автомобили в мобильные центры обработки данных, которые могут в реальном времени осуществлять их сортировку и индексацию и посылать предупреждения, когда необходимо принять какие-либо меры.

Platform as a service. Этот термин впервые применила базирующаяся в Лондоне компания Fotango, дочка Canon Europe, когда в 2005 г. запустила платформу для Java-разработчиков, известную как Zimki.

Machine-to-Machine. Первым M2M-проектом считают разработанную Qualcomm в 1989 г. для отслеживания космического транспорта систему OmniTRACS.

Решения IoT уже не ограничиваются внедрением Ethernet, Wi-Fi и 3G/4G и включают технологии спутниковой связи, Bluetooth LE, энергоэффективных сетей дальнего радиуса действия (LPWAN), к которым относятся LoRa, связь через ЛЭП (PLC) и различные беспроводные персональные сети (WPAN), такие как Wi-SUN и ZigBee NAN, а также многие другие.

В качестве примеров можно назвать два беспроводных стандарта для подключения датчиков к сети: Wireless HART и ISA100. Оба были разработаны на основании протоколов IEEE 802.15.4, но каждый при этом был создан отдельной экосистемой участников отрасли, в результате чего стандарты оказались несовместимы.

IEEE запустил специализированную инициативу в сфере IoT (URL: http://iot. ieee.org/). IEEE придерживается комплексного и амбициозного подхода к созданию экосистемы IoT на базе открытых стандартов, разрабатывая стандарт для архитектурного каркаса IoT (IEEE P2413) и сокращая разрыв между развитием политик и технологий (IEEE Internet Initiative).

Консорциум промышленного интернета (URL: http://www.iiconsortium.org/) ставит своей целью ускорение развития и внедрения IoT в промышленный сектор, чтобы установить взаимосвязь между машинами, бизнес-процессами, умной аналитикой и работающими на предприятии людьми.

OCF (URL: https://openconnectivity.org/) определяет требования к стандартам связи и совместимости коммуникации «устройство-устройство», «устройство-инфраструктура» и «устройство-облако», определяя спецификации и создавая открытый программный код и программу сертификации. Это необходимо для масштабируемой интеграции миллиардов устройств, датчиков и генерируемых ими данных в решения IoT.

OpenFog Consortium (URL: https://www.openfogconsortium.org/) разрабатывает вычислительную архитектуру на базе открытых туманных вычислений для распределения вычислительных сервисов и ресурсов в непосредственной близости от пользователей и конечных устройств с целью удовлетворить растущий спрос на локальные вычисления в рамках IoT. Туман не является отдельным архитектурным решением; он расширяет и масштабирует существующую облачную архитектуру до самой периферии сети, подводя ее как можно ближе к источнику данных. Цель заключается в том, чтобы обеспечить обработку и аналитику больших объемов данных в реальном времени или обработку данных «на лету», что позволяет решить целый ряд типичных проблем, таких как значительная задержка, непредсказуемые сетевые заторы и (или) потеря связи в сети, широкая географическая распределенность систем и клиентов при мобильности оконечных устройств и т. д.

OPC Foundation (URL: https://opcfoundation.org/) возглавляет работу в сфере совместимости данных, автоматизации промышленных процессов и оборудования, применяя собственную «единую архитектуру».

URL: https://www.nytimes.com/2019/06/17/world/europe/russia-us-cyberwar-grid.html.

То есть вычислительной среды (линейки компьютеров, сетевого оборудования и программного обеспечения), которой можно было бы полностью доверять с точки зрения всех видов защищенности.

В литературе используются также термины homo in nexu (лат.) и connected man.

Под AI здесь понимается не набор алгоритмов любой степени сложности, а способность ПО выполнять творческие функции, которые традиционно считаются прерогативой человека.

Гидденс Э. Социология. М.: URSS, 2005.

Эта теория Зигмунта Баумана (Zygmunt Bauman) описывает переход от сложного структурированного мира, который обременен сетью социальных обязательств и условий, к миру гибкому, текучему, свободному от границ и условий. Это состояние непрерывного перемещения, плавления, перетекания. Человек становится мобильным и не обременен длительными обязательствами.

Кэрролл Л. Алиса в Зазеркалье. М.: Росмэн, 2019.

Хотя усиление контроля за финансовым поведением (см. далее) ведет и к обратному процессу – стремлению укрыть хотя бы часть финансовых операций от мониторинга.

К чему это в итоге может привести – очень ярко описал Роберт Шекли в рассказе «Кое-что задаром».

Или даже данные верифицированные, валидированные, то есть «умные» (Smart Data).

См. пример расчета FICO Score от американской компании Fair Isaac Corporation: общая сумма набранных баллов складывается из сведений об активах клиента, уже полученных им кредитах, истории их обслуживания и т. п. и обычно варьируется в пределах от 300 до 850. Если индивидуальный рейтинг заемщика оказался ниже 650 баллов, ему будет предложен кредит на условиях хуже рыночных.

Такие данные приводятся в отчете Национального центра публичной кредитной информации (National Public Credit Information Center, NPCIC), обнародованном в феврале 2019 г.

Payment services (PSD 2) Directive (EU) 2015/2366. URL: https://ec.europa.eu/info/ law/payment-services-psd-2-directive-eu-2015-2366_en.

PFM (Personal Financial Management) – система управления личными финансами.

В 2019 г. в Госдуму внесен большой пакет изменений в Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях» [50].

Сооснователь и сопрезидент Basic Income Earth Network – организации, объединяющей сторонников внедрения безусловного базового дохода.

URL: https://www.emediator.ru/index.php/investigations/33-sotsiologicheskie-is-sledovaniya/1530-precariat-in-russia.

Интернет делает расстояние между пользователями физически несущественным, обитатель «глобальной деревни» становится «электронным человеком» (понятие введено Маклюэном еще в 1962 г.), живущим в условиях приоритета электронных коммуникаций.

Области коры головного мозга, отвечающие за высшие нервные функции: сенсорное восприятие, выполнение моторных команд, осознанное мышление и речь.

Особый вид памяти, позволяющий сохранять и воспроизводить в деталях образ (или текстовое описание) воспринятого ранее предмета или явления.

От англ. click-through rate — показатель кликабельности.

То есть как степень соответствия найденного набора данных информационным нуждам пользователя.

Simplification – отбор и рациональное ограничение номенклатуры продуктов и услуг до числа, достаточного для удовлетворения существующих в данное время потребностей, плюс максимальное сокращение числа операций, необходимых для их использования.

Commoditization – лишение продуктов и услуг специфических свойств, из-за чего конкуренция между ними сводится к преимущественно ценовой.

Gamification – процесс использования игрового мышления и динамики игр для вовлечения аудитории и решения задач, превращение бизнес-процессов в игру.

Востром Н. Искусственный интеллект: этапы, угрозы, стратегии. М.: Манн, Иванов и Фербер, 2016.

Леонгард Г. Технологии против человека. М.: АСТ, 2018.

От англ. predictive analytics. Предиктивная аналитика использует статистические методы, методы интеллектуального анализа данных, теории игр, анализирует текущие и исторические факты для составления предсказаний о будущих событиях. Прогнозные модели фиксируют связи среди многих факторов, чтобы сделать возможной оценку рисков или потенциала, связанного с конкретным набором условий.

Основы концепции были разработаны еще в 60-е годы прошлого века на базе экспериментальных наблюдений и опросов. Но сегодня, например, функциональная магнитно-резонансная томография позволяет определить, какие части мозга задействованы при принятии экономических решений. А эксперименты, имитирующие финансовые операции, могут устранить влияние отдельных когнитивных искажений на поведение человека.

Privacy policy – это заявление или юридический документ, раскрывающие некоторые или все способы сбора, использования, раскрытия и управления данными клиента.

Англ. Big Brother – персонаж романа Джорджа Оруэлла «1984», единоличный лидер государства Океания и партии «Ангсоц».

После этого – не значит вследствие этого (лат.).

Directive 95/46/EC (General Data Protection Regulation). URL: https://eur-lex. europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679.

URL: https://edps.europa.eu/.

Например, в гостиницах, согласно требованию МВД России, все вновь прибывающие должны быть поставлены на временный учет в течение суток. Администрация берет на себя функции регистрации постояльцев, делая скан или копию паспорта.

Например, российская компания NtechLab, работающая по контракту с Единым центром хранения и обработки данных Москвы, включает в карточку опознанного лица не только его паспортные данные и сведения о регистрации, но и «адреса, где подозреваемый чаще всего попадает в поле видимости городских видеокамер» (URL: https://www.kp.ru/daily/26983.4/4042482/), что является прямым нарушением конституционного права гражданина на неприкосновенность частной жизни (ч. 1 ст. 23 Конституции РФ), поскольку сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1 ст. 24 Конституции РФ).

URL: http://news.mit.edu/2018/study-finds-gender-skin-type-bias-artificial-intelli-gence-systems-0212.

В настоящее время можно говорить уже о трех разных видах искусственной реальности: виртуальной (VR), дополненной (AR) и смешанной (MR).

Леонгард Г. Технологии против человека.

Секвенирование биополимеров (белков и нуклеиновых кислот – ДНК и РНК) – определение их аминокислотной или нуклеотидной последовательности (от лат. sequentum – последовательность).

Видимо, не зря ведьмы и колдуны издревле опасались утраты своих биологических материалов, под которыми понималась практически любая частица тела объекта воздействия. Сюда относятся абсолютно все выделения, физиологические жидкости, твердые «кусочки».

Пример DeepFake-видео: https://www.youtube.com/watch?v=ttGUiwfTYvg&feat ure=youtu.be.

Компания Google еще в 2014 г. представила TensorFlow – общедоступное ПО, которое помогает в обучении GAN, способных реализовать DeepFake-видео.

Банки уже переложили на клиентов обязанность доказывать, почему они считают ту или иную операцию по карте недействительной или мошеннической, прилагая все имеющиеся документы по этой операции (чеки, счета, переписку). Ранее в отношении таких операций применялся алгоритм как для mail order and telephone order (MOTO), когда операция отменялась по заявлению клиента и банк сам проводил расследование.

URL: https://rg.ru/amp/2019/05/27/kak-cifrovaia-podpis-mozhet-ostavit-sobstven-nikov-bez-zhilia.html.

По мнению юристов, сегодня существует лишь один способ предотвратить подобное: написать в МФЦ или офисе Росреестра заявление о необходимости личного присутствия собственника при проведении любых операций с его недвижимостью.

Согласно ст. 820 Гражданского кодекса РФ, «кредитный договор должен быть заключен в письменной форме. Несоблюдение письменной формы влечет недействительность кредитного договора. Такой договор считается ничтожным». Однако возможность использовать ЭЦП при оформлении потребительских кредитов есть в целом ряде российских банков. Основанием для этого служит ст. 160 Гражданского кодекса РФ, которая указывает, что использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом или соглашением сторон. В качестве акцепта используется, как правило, либо введение кода, полученного в SMS, либо списание с карты пользователя минимальной суммы и ее последующий возврат. Правомерность подобной схемы не раз подтверждалась судами.

URL: https://securelist.com/digital-doppelgangers/90378/.

Илья Сачков, генеральный директор Group-IB. URL: https://www.group-ib.ru/ media/pmef-2019-tiaser/.

URL: http://identityfoundation/.

URL: https://w3c-ccg.github.io/did-spec/.

URL: https://github.com/decentralized-identity/identity-hub/blob/master/explai-ner.md.

URL: https://news.microsoft.com/ru-ru/decentralized-did/.

Эмпирический тест, предложенный Аланом Тьюрингом, позволяет определить, обладает ли машина интеллектом. Компьютер успешно пройдет тест Тьюринга, если человек-экспериментатор, задавший ему вопросы в письменном виде (при этом отпадает необходимость в физической имитации человека), не сможет определить, получены ли ответы от другого человека или от AI.

URL: http://www.gazeta.ru/science/2014/06/09_a_6064069.shtml.

Под глубоким (или глубинным) обучением здесь понимается совокупность методов машинного обучения, основанных на обучении представлениям (в т. ч. основанным на неочевидных критериях), а не специализированным алгоритмам для решения конкретных задач.

Цит. по: Шваб К. Четвертая промышленная революция. М.: Эксмо, 2018. Аналогичные опасения высказывал и Илон Маск. В рамках завершающей сессии MIT Aeronautics and Astronautics Centennial Symposium, который прошел 2224.10.2014 в Бостоне (США), он отметил, что исследования и разработки в области AI могут иметь глобальные непредсказуемые последствия, поэтому необходимо регулировать данную сферу уже сейчас.

В рамках концепции Talentizm: для успеха компании доступ к талантам важнее капитала.

Концепция безусловного (гарантированного) базового дохода восходит к «Утопии» Томаса Мора (XVI в.). Но перевести теорию в практику рискнула только Финляндия, запустив в 2017 г. эксперимент, в рамках которого 2 тыс. случайным образом отобранных безработных получали 560 евро в месяц без каких-либо условий. Уровень занятости от этого не изменился, но «эти люди чувствовали себя счастливее, у них снизилось ощущение постоянного стресса» (URL: https://www.bbc.com/russian/features-47179757).

Иные версии названия этой технологии – mind transfer или brain upload: создание полной цифровой копии личности и загрузка ее в компьютер.

Трансгуманизм – философская концепция, обосновывающая возможность (и этичность) использования технологических достижений для улучшения умственных и физических возможностей человека с целью устранения таких аспектов его существования, как страдания, болезни, старение и даже смерть. В РФ еще в 2005 г. было создано Российское трансгуманистическое движение (URL: http://transhuman.ru/).

Возвращение значительной части глобального производства в развитые экономики в рамках Четвертой промышленной революции и внедрения CPS.

Победитель получает все (лат.).

На фоне уже довольно многочисленных скандалов с биржевыми роботами 2019 г. ознаменовался переносом вышеупомянутых проблем AI в юридическую плоскость: китайский инвестор Саматур Ли Кин-Кан, из-за ошибки интеллектуальной системы потерявший за день более $20 млн, впервые в истории подал в суд на владельца биржевого робота – компанию Tyndaris Investments. URL: https://www.kommersant.ru/doc/3967462.

Они же GAFAM, Big Five или BigTech-компании.

Даже странно, что Apple – налогового резидента Ирландии – по-прежнему считают американской компанией. Apple была пионером налоговой схемы, которая позже получила название «двойной ирландский с голландским сэндвичем». Компания проводила прибыль через ирландские и голландские «дочки», выплачивая минимальный налог, а затем выводила ее на Карибские острова.

URL: https://habr.com/ru/post/457050/.

Он же сильный (общий, универсальный) искусственный интеллект или искусственный интеллект человеческого уровня.

Востром Н. Искусственный интеллект: этапы, угрозы, стратегии.

Технологическая сингулярность – гипотетический момент, когда технический прогресс станет настолько быстрым и сложным, что окажется практически недоступным человеческому пониманию. Сингулярность может стать результатом создания AGI и самовоспроизводящихся машин, киборгизации человека либо скачкообразного увеличения возможностей человеческого мозга за счет биотехнологий.

Шварц Е.Л. Дракон: пьесы. М.: Время, 2018.

Предполагалось, что государство перейдет от предоставления единичных «точечных» сервисов через многофункциональные центры на основе государственных (ведомственных) информационных систем и баз данных к комплексному «обслуживанию» жизненных ситуаций человека на основе единого массива данных и алгоритмов работы с ними.

Петров М., Буров В., Шклярук М., Шаров А. Государство как платформа. (Ки-бер)государство для цифровой экономики. Цифровая трансформация. М.: ЦСР, 2018.

Шваб К. Четвертая промышленная революция.

Пентагон уже финансирует разработку «этичного» ПО, закладывающего основу для расширения сферы самостоятельного принятия техникой решений об открытии огня.

URL: https://habr.com/ru/post/105964/.

Из недавнего – информация из The New York Times об атаке на российскую энергетическую инфраструктуру (URL: https://www.nytimes.com/2019/06/17/ world/europe/russia-us-cyberwar-grid.html). Однако пресс-служба Минэнерго заявила, что в ведомство информация о таких атаках от энергетических компаний не поступала.

Американские власти запретили использование оборудования Huawei на своей территории и уговаривают союзников отказаться от сотрудничества с китайским ИТ-гигантом под предлогом угрозы кибершпионажа в пользу КНР. URL: https://www.rbc.ru/opinions/business/24/05/2019/5ce6a8a09a79471c2317044a.

А собственные «правовые акты» в США в принципе не считают ограниченными национальной юрисдикцией.

См., напр.: Rogers М. Capabilities, competition and communication. Why the West needs a strategy for technology The Australian Strategic Policy Institute (ASPI) International Cyber Policy Centre. Issues Paper. Report No. 19/2019.

URL: https://www.rbc.ru/technology_and_media/27/06/2019/5d139b1e9a7947640a 1ca807.

URL: http://ineum.ru/ineum-razrabotal-pervyj-superkompyuter-na-baze-processo-rov-elbrus.

URL: https://module.ru/catalog/cifrovaya_obrabotka/neural_networks/.

URL: https://tass.ru/ekonomika/4851708.

URL: https://habr.com/ru/post/435560/.

Согласно принятому в Банке России определению, под RegTech (Regulatory Technology) понимаются технологии, используемые для упрощения выполнения финансовыми организациями регуляторных требований. В соответствии с международным опытом наиболее распространенными сферами применения RegTech являются: проверка соответствия требованиям регулятора или комплаенс-контроль; идентификация клиентов; мониторинг транзакций; защита информации, аудит систем; управление рисками; предоставление отчетности.

Под SupTech (Supervision Technology) в Банке России понимаются технологии, используемые регуляторами для повышения эффективности регулирования и надзора за деятельностью участников финансового рынка.

Business intelligence – совокупность компьютерных методов и инструментов, обеспечивающих перевод транзакционной деловой информации в форму, пригодную для бизнес-анализа, а также средства для массовой работы с такой обработанной информацией.

XBRL (eXtensible Business Reporting Language – расширяемый язык деловой отчетности) – широко используемый в мире открытый стандарт обмена деловой информацией, который позволяет выражать с помощью семантических средств общие для участников финансового рынка и регулирующих органов требования к представлению бизнес-отчетности. XBRL является средством коммуникации и обмена бизнес-информацией между системами. Эта коммуникация основана на наборах метаданных (данных о данных), которые содержат описание как отдельных показателей отчетности, так и взаимосвязей между ними и прочими семантическими элементами таксономий. URL: https://www.cbr.ru/finmarket/projects_xbrl1/.

URL: https://www.ecb.europa.eu/pub/pdf/other/europeanreportingframeworkke yfactsandinformation062015.en.pdf?b4ed01289c0db8bca94c05535774e358.