Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов

Ознакомительная версия. Доступно 15 страниц из 74

Дополнительным стимулом для быстрого расширения комбинированных атак через виртуальное пространство на клиентов ДБО кредитных организаций за последние два года стало повсеместное распространение смартфонов и компьютерных планшетов, оснащенных мобильными клиентскими компонентами ДБО. Открытость таких операционных систем, как Android, наряду со встроенными возможностями управления информационной безопасностью непосредственно клиентами-пользователями, сформировали дополнительную почву для компьютерных сетевых мошенничеств. Приемы здесь используются те же самые, что и в отношении клиентов интернет-банкинга, тем не менее клиенты охотно покупаются на обещания выигрышей или подарков, расставаясь с данными своей персональной идентификации, «впускают» в свои портативные устройства программы-трояны [73] и другое SpyWare, вынуждая банки проводить все новые расследования и в ряде случаев компенсировать потери. Однако везет таким образом далеко не всем клиентам, так что суммарный счет потерь, связанных с этой частью киберпространства, тоже идет уже на сотни миллионов долларов (по данным СМИ).

Наблюдаемый в современном мире массовый характер мошенничеств такого рода должен был бы, по идее, подталкивать руководство банков к активизации разъяснительно-предупредительной работы с клиентами ДБО, что, естественно, затруднительно при массовом обслуживании, когда счет числа клиентов идет на сотни тысяч и миллионы. Тем не менее это представляется в любом случае желательным, если банки не намерены наращивать свои затраты на судебные издержки, компенсационные выплаты и вообще расходовать свои ресурсы на разбор конфликтных ситуаций с клиентами и контрагентами. В итоге данная проблематика оказывается тесно связанной с недостатками в организации и осуществлении договорной работы с клиентами ДБО и оформлении контрактов с провайдерами, от которых оказывается зависимой надежность банковской деятельности.

Впрочем, самих клиентов ДБО это беспокоит нечасто, потому что интерес к содержанию договорных документов на ДБО проявляет не более 25 % клиентов банков, о чем свидетельствуют опросы населения. В этом проявляется невысокая правовая культура и сохранившиеся до сих пор у значительной части населения надежды на «государство, которое всегда защитит», и эту ситуацию банкам следовало бы учитывать, детально разъясняя клиентам ДБО содержание подписываемых ими договорных документов и те гарантии, которые им предоставляются (или не предоставляются). Причем желательно также убеждаться в том, что клиент правильно понял содержание договора, особенно если в нем активно используется специальная терминология из математического аппарата теории кодирования.

Банк России давно уже обратил внимание на рассматриваемые проблемы и инициировал разработку целого ряда рекомендаций для кредитных организаций (законодательные ограничения не позволяют, к сожалению, разрабатывать нормативные правовые документы, ориентированные на повышение эффективности и надежности применения ИТ и организации ДБО), имея в виду в том числе их работу с клиентурой. В качестве некоторых примеров таких документов [74] можно упомянуть следующие письма Банка России:

— от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;

— от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» (далее — 36-Т);

— от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;

— от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”»;

— от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания»;

— от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов» и т. п.

Все эти документы ориентированы на защиту интересов клиентов кредитных организаций и самих этих организаций от ППД в киберпространстве. К сожалению, не всеми этими организациями в должной мере уделяется внимание тем документам Банка России, которые не могут по своему статусу считаться нормативными. Да и «массовость» ДБО не позволяет в ряде случаев реализовать полноценный индивидуальный подход даже тем банкам, которые располагают крупными колл-центрами и большим количеством персонала в своих офисах. Впрочем, ситуация постепенно меняется в лучшую сторону, поскольку Банк России в последние годы проводит активную работу по повышению «финансовой грамотности» населения страны.

3.3. Организация противодействия противоправной деятельности в условиях применения технологий электронного банкинга

Изложенное выше теоретически должно было бы подталкивать руководство кредитных организаций к тому, чтобы при принятии решения о внедрении какой-либо системы ДБО предварительно изучать особенности конкретной ТЭБ и информационно-телекоммуникационных систем, которые ее реализуют (то есть формируемого ИКБД и его состава), с позиций определения возможностей адекватного сопровождения ордеров клиентов на выполнение транзакций, самих транзакций, их результатов (включая выявление сомнительных операций, мошенничеств, хищений конфиденциальной информации и определение выгодоприобретателей, а также попыток взлома компьютерных систем). К этому примыкает и анализ систем ДБО на уязвимость к тем или иным видам ППД со стороны его клиентов.

В связи с этим в упоминавшейся выше работе БКБН о консолидированном управлении рисками, связанными с невыполнением принципа ЗСК, дополнительный акцент сделан на контроле над транзакциями клиентов, которые могут иметь связанный характер. Пропагандируемый «групповой подход» имеет важное значение потому, что клиенты-злоумышленники могут действовать через разные каналы доступа к информационно-процессинговым ресурсам банка — разные СЭБ, филиалы, дополнительные офисы, а также объединяться в рамках хозяйственно-экономической деятельности (о чем говорится и в материалах ФАТФ). Поэтому в современных условиях целесообразно отслеживать также такие возможности, как дробление сумм переводимых финансовых средств (например, до неконтролируемых в связи с установленным пределом в 15 000 рублей), использование разных каналов ДБО (на основе комплексного анализа СИ и маршрутной информации в ее составе [75]), сомнительные операции между счетами юридических и группы физических лиц, близкие по времени двунаправленные крупномасштабные переводы, которые могут свидетельствовать об откатах или использовании клиентов ДБО и их счетов в качестве так называемых мулов (то есть о задействовании их счетов в качестве транзитных для сокрытия целевых противоправных финансовых транзакций), работе межрегиональных преступных группировок и т. п.

Кроме того, кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться ненадежной именно с точки зрения своих клиентов или незаметно для себя вовлеченной в ППД (особенно в случаях массового ДБО) и при необходимости выявления в соответствии с законодательством операций, подлежащих обязательному контролю, как говорится, «на проходе» (то и другое связано с репутационным, правовым и даже стратегическим рисками), если ее руководство недостаточно осознает необходимость обеспечения соответствия деятельности «своей» организации теперь уже трем основным принципам:

1. Знай своего клиента.

2. Знай своего работника.

3. Знай свои технологии.

В последнее время на федеральном уровне усиливается акцент на борьбе с противоправной деятельностью в рамках ПОД/ФТ, что необходимо учитывать высокотехнологичным банкам, чтобы не оказаться незаметно для себя в числе нарушителей Закона № 115-ФЗ. Надежная политика и процедуры для реализации принципа ЗСК не только содействуют, как пропагандирует БКБН, общей безопасности и надежности банков, но также защищают целостность банковской системы за счет снижения вероятности превращения банков в транспорт для отмывания денег, финансирования терроризма и другой ППД.