Применение технологий электронного банкинга: риск-ориентированный подход - [26]

Независимо от того, что именно является причиной нарушения штатного функционирования банковских автоматизированных систем кредитной организации и ее систем электронного банкинга, результатом этого всегда будет являться невыполнение ею тех или иных взятых на себя перед клиентами ДБО обязательств, т. е. снижение ее надежности по причине невыполнения положений соответствующих договоров. Базовых обязательств такого рода пять — они относятся к следующим понятиям:

— доступность обслуживания (непрерывности функционирования);

— состав функций («полнофункциональность»);

— финансовые операции (денежные обязательства);

— временные характеристики (своевременность обслуживания);

— конфиденциальность информации (информационная безопасность).

Только выполнение всех перечисленных обязательств без каких-либо отклонений от установленных договорами уровней обслуживания (в отношении клиентов) при дистанционном предоставлении банковских услуг свидетельствует о надежности как банковской деятельности, осуществляемой кредитной организацией, так и ее самой (впрочем, как показывает практика, в текстах таких договоров подобное перечисление можно встретить крайне редко). Речь здесь идет, естественно, о технологической и технической стороне понятия надежности[48].

Вследствие этого наличие или отсутствие разнообразных источников компонентов операционного риска зависит и от того, как кредитная организация решает «типовые» вопросы обеспечения надежности функционирования компьютерного оборудования, и от решения ею специфических для ДБО вопросов. В различных источниках, отечественных и зарубежных, приводятся статистические данные относительно влияния угроз штатному функционированию компьютерных систем на этот показатель банковской деятельности: в среднем можно считать, что 60 % случаев прерываний бизнеса обусловлено сбоями в работе автоматизированных систем организаций. При этом наиболее частой общей причиной сбоев в их работе считаются внедрение или изменение информационных технологий и (или) программных приложений, которые не были:

— правильно спланированы (включая «откат» в исходное штатное состояние);

— полностью протестированы (включая модели и сценарии развития угроз).

Прерывания функционирования автоматизированных систем в целом обусловлены различными ошибками/сбоями в соотношении:

— технологические сбои — 20 %;

— ошибки процессов — 40 %;

— ошибки персонала — 40 %.

Все перечисленное здесь наглядно характеризует степень зависимости результатов современной банковской деятельности от надежности компьютерных систем кредитной организации, что должно полностью осознаваться ее руководством и адекватно учитываться при распределении ресурсов. Для многих средних и небольших организаций выделение достаточных ресурсов на обеспечение надежности внедряемых банковских информационных технологий становится непростой задачей, если такие технологии, как ДБО, внедрялись недостаточно обоснованно, или в силу недостаточного осознания значимости указанных технологий и реализующих их автоматизированных систем финансирование осуществляется по «остаточному принципу».

Ошибки при выполнении банковских операций — явление уже относительно редкое, в этом случае имеются в виду преимущественно неточности, связанные с информационными сечениями ИКБД, в которых происходит какой-то перенос данных из одной среды хранения в другую (ошибки операционистов кредитной организации или клиентов при заполнении интерфейсных полей, преобразование форматов, переписывание из одной базы данных в другую и пр.). Тем не менее если СЭБ и БАС совместно с ней не подвергаются тщательным испытаниям (включая результаты неправильных действий пользователей), то все непроверенные варианты будут «проверены» уже в реальной эксплуатации этих систем[49], что приведет к неизбежным дополнительным затратам на поиск пропавшего контента ордеров клиентов, отладку программно-информационного обеспечения этих систем, лишней претензионной работе и т. д. Во многих российских кредитных организациях подобные ситуации не редкость, особенно когда речь заходит о противоправной деятельности, связанной с искажениями в полях записей баз данных кредитной организации или хищением средств со счетов клиентов, что обычно происходит из-за недостатков в обеспечении информационной безопасности.

Последнее может иметь место в тех случаях, когда в СЭБ и (или) БАС остаются «лазейки», позволяющие осуществлять несанкционированный доступ (НСД) к массивам данных и банковскому программному обеспечению. В ряде практических случаев такого рода операторы, находящиеся в информационных сечениях между СЭБ и БАС, располагают возможностями, к примеру, подмены реквизитов платежных документов клиентов ДБО или имитации поступления от них соответствующих ордеров[50] и т. п. Кстати, даже такой НСД к информационно-процессинговым ресурсам кредитной организации, который не приводит к чьим-либо финансовым потерям, вполне может обернуться утечкой конфиденциальной информации, а прямым следствием этого станут опять-таки хищения денежных средств, возникновение возможностей для шантажа клиентов или более серьезные последствия для них, поскольку в условиях криминализованной экономики сведения о банковских операциях «и других сделках» могут оказаться более значимыми, чем суммы денег, фигурировавшие в скомпрометированных транзакциях.