УПРАВЛЕНИЕ ФИНАНСОВО-ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТЬЮ СОВРЕМЕННОГО БАНКА: РИСКИ ДИСТАНЦИОННОГО ОБСЛУЖИВАНИЯ
Аннотация и ключевые слова
Аннотация (русский):
В работе подчеркивается, что многообразие продуктов, предлагаемых современным банком в режиме дистанционного доступа, их перманентное обновление, интеграция сервисов усиливают риски снижения финансово-экономической безопасности кредитной организации. Риски авторы связывают с кибератаками как главным инструментом удаленного финансового мошенничества, что подтверждено достоверными статистическими материалами. Проанализированы виды, инструментарий, инициаторы атак, доказана их двойственная природа, связанная с нацеленностью равно как на инфраструктуру кредитной организации, так и на ее клиентскую базу. В продолжение исследована частная практика противодействия киберпреступлениям. Сделан вывод о значимости прямого и косвенного участия государственного института в обеспечении финансовой устойчивости банковской системы как основы ее экономической безопасности. Повышенное внимание уделено описанию перспектив деятельности созданного Главного управления безопасности и защиты информации Банка России, а также механизму повышения финансовой грамотности населения с целью минимизации рисков мошенничества со стороны недобросовестных участников рынка

Ключевые слова:
экономическая безопасность банка, финансовая устойчивость банка, дистанционное банковское обслуживание, кибератака, финансовое мошенничество, фишинг, финансовая грамотность.
Текст

В настоящее время развитие банковского сектора невозможно без использования инновационных технологий дистанционного банковского обслуживания (ДБО). Действительно, внедрение новых банковских продуктов и услуг, а также взаимодействие с клиентами напрямую связано с системами ДБО, которым присущи доступность, простота, комплексность, новое качество удовлетворения растущих потребностей клиентов. Кредитная организация проводит платежи, совершает другие действия со средствами клиента на основании дистанционных распоряжений, передаваемых клиентом в банк по различным каналам доступа (телефон, Интернет и др.) при помощи различных средств (телефонный аппарат, компьютер). On-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMSbanking, GSM-banking, TV-banking – множество пересекающихся по содержанию банковских инноваций в области ДБО, популярных в настоящее время. Спрос на омниканальность, т.е. интеграцию различных сервисов ДБО, определяет дальнейшее развитие удаленного взаимодействия клиентов и банков. В октябре 2016г. на II Межбанковском форуме по развитию электронных каналов продаж «E-Channel Banking Forum 2016» актуализированы преимущества использования голосовых технологий в цифровой борьбе за клиента. Речь идет о построении новых клиентских банковских сервисов на базе голосовых технологий – подтверждения личности по голосу (биометрическая верификация), распознавания свободной речи (ASR), понимания её смысла (NLP).

По данным Markswebb Rank & Report, количество интернет-потребителей банковских услуг в России составляет 35,3 млн человек (64,5% всех российских интернет-пользователей). Мобильным банком (приложениями для смартфонов и планшетов) пользуются 18 млн человек. Проникновение сервиса мобильного банкинга в клиентскую базу в среднем составляет 10–25% от общего числа клиентов банка, имеющих доступ в Интернет [14].

На принципиально новый уровень выходит состояние корпоративных систем ДБО, которое традиционно заметно отставало от удаленных сервисов для частных вкладчиков, включая  не только традиционные банковские услуги, но и сервисы, ранее не свойственные кредитным организациям. Пакет корпоративного ДБО может быть представлен следующими позициями: регистрация юридического лица, заказ электронной подписи, формирование и отправка электронной отчетности, проверка контрагентов, доступ к электронным торгам, встроенная покупка билетов, заказ гостиниц. Одним из первых развитие корпоративного ДБО инициировал Сбербанк России, предложив сервис E-invoicing. Предлагаемая лидером банковского рынка услуга электронного документооборота предоставила клиентам возможность обмениваться между собой юридически значимыми первичными документами, возникающими при осуществлении договорных отношений (счета, счета-фактуры, товарные накладные), и направлять отчетность в государственные органы (Федеральную налоговую службу) в электронном виде без последующего оформления на бумажном носителе.

Развитие продуктов ДБО значимо как для клиента, так и для банка с позиций обеспечения его эффективности и повышения конкурентоспособности. При правильном подходе ДБО станет мощным инструментом сокращения операционных издержек, затрат на обслуживание клиентов, снижения количества точек присутствия и штата сотрудников.

Однако развитие данного направления банковского маркетинга усиливает уровень рисков мошенничества, что опосредовано финансовым характером услуги, а также  быстрым развитием технической платформы для реализации мошеннических схем. Объективная причина стремительного роста интернет-мошенничества – недостаточная осведомленность и низкая финансовая грамотность населения (особенно людей зрелого и старшего возраста) в части правильного пользования новыми продуктами [10. С. 393].

До недавнего времени наиболее известными причинами нарушения экономической безопасности банка считались коррупция банковских служащих, преступления руководителей или владельцев банков, а также операции со связанными сторонами, когда банки кредитовали собственников. Речь шла, прежде всего, о злоупотреблении служебным положением со стороны руководителей и служащих кредитных организаций, создающих условия для мошенничества, хищений, вывода денежных средств из легального оборота и за рубеж. В качестве меры  минимизации такого рода риска стала разработка многими кредитными организациями соответствующей антикоррупционной политики. Так, лидер российского банковского сектора разработал в 2014 г. «Политику ОАО Сбербанк России по противодействию коррупции», как часть системы управления комплаенс-риском, устанавливающую управленческие и организационные основы предупреждения коррупционных действий и ликвидации последствий коррупционных правонарушений.

В  2016 г. продолжена практика борьбы с банковским мошенничеством сотрудников. В 19 банках выявлено 3,2 тыс. случаев искусственного формирования вкладов путем внесения в документы записей о зачислении средств на счета физических лиц с целью неправомерного получения ими страхового возмещения на общую сумму 2,8 млрд руб. Также выявлялись случаи мошенничества с использованием двойной бухгалтерии, при которой в официальном бухгалтерском учете не отражалась информация об открытых счетах граждан. Такие случаи мошенничества, направленные на хищение работниками банков денежных средств 10,6 тыс. вкладчиков на общую сумму около 8,9 млрд руб., были выявлены в четырех банках. За первое полугодие 2016 г. в Агентство по страхованию вкладов (АСВ) поступило более 26 тыс. претензий о несогласии с размером страхового возмещения, а также  1,1 тыс. обращений граждан с заявлениями о признании фиктивности операций, совершенных ими в период неплатежеспособности банков [11].

Вместе с тем основная угроза финансового мошенничества исходит из внешней среды и охватывает сферу использования пластиковых карт, безналичных расчетов, депозитные и кредитные операции, корреспондентские отношения банка с другими финансовыми организациями. Поэтому банки вынуждены уделять внимание, наряду с корректировкой сложившейся организационной структуры, техническому устройству собственных систем безопасности.

В 2015 г. крупнейший банк страны ПАО «Сбербанк России» отразил 55 кибератак, в I квартале 2016 г. – 42,  потратив на информационную безопасность около 1,5 млрд руб., что составляет  порядка 1% его чистой прибыли по МСФО [5. С. 44]. У группы ВТБ в 2016 г. киберпреступники похитили 35 млн руб.  Банк продолжает реализацию программы комплексной защиты клиентских операций с применением искусственного интеллекта – самообучающейся модели оценки рисков, которая работает в режиме онлайн. Самообучение данной модели, предполагающее выявление отклонений от типичных действий, - одна из  значимых частей системы противодействия мошенничеству.

Кибератаки – незаконные действия, которые осуществляются людьми, использующими информационные технологии для преступных целей [7]. По оценке специалистов Сбербанка, ежегодные суммарные потери российской экономики от киберпреступников составляют 600 млрд руб.   Мировые потери от киберпреступности в 2015 г. составили 500 млрд долл. и к 2018 г.  возрастут в четыре раза [8].

Корни проблемы следует искать не только в несовершенстве внутренней технической платформы банка, но и в невозможности обеспечить должный уровень безопасности на рабочих станциях клиентов, количество которых в разных банках колеблется от нескольких десятков до сотен тысяч. Поскольку в процессе оказания услуг ДБО принимают участие банк и клиент,  атакам мошенников подвергаются обе стороны. Клиент может быть физическим или юридическим лицом. Если клиентом является юридическое лицо, то уровень защиты может быть выше, так как организации, ответственность которых перед обществом шире, осознают значимость обеспечения экономической безопасности для собственного бизнеса и используют соответствующие средства защиты информации.

В 2015 г. в Банк России было сообщено о 32,5 тыс. попыток осуществления несанкционированных операций посредством систем ДБО на общую сумму 5,13 млрд руб. (против 4,89 тыс. попыток на сумму 1,64 млрд руб. в 2014 г.). Динамика несанкционированных операций с использованием российских систем ДБО отражена на рис. 1.

Рис. 1 Количество и объем несанкционированных операций, совершенных с использованием систем ДБО в России  в 2014–2015 гг.

Источник: Здесь и далее, если не указано иное,составлено авторами.

При этом только 48%  указанного объема остановлено полностью или частично. На долю операций со счетами юридических лиц  приходится менее 5% количества, но 74% объема денежных средств,  списанных незаконно. Подавляющее большинство несанкционированных операций со счетов физических лиц (91%) выявляется клиентами самостоятельно и возникает вследствие применения к клиентам методов социальной инженерии (ссылки в SMS-сообщениях, реклама на сайтах). Однако информация о таких операциях в кредитную организацию поступает после несанкционированного списания денежных средств со счета клиента. Наибольшее количество несанкционированных операций в системах ДБО со счетов физических лиц отмечается в сегменте от 10 до 50 тыс. руб., а со счетов юридических лиц – в сегменте от 1 млн до 5 млн руб. (табл. 1). В качестве факторов роста  отмечено увеличение  числа клиентов, использующих ДБО, применение банками различных лимитов и дополнительного подтверждения операций на крупные суммы [3].

Атака на клиента подразумевает попытку перенаправить финансовые средсства со счета клиента на счет злоумышленников путем захвата персональных данных клиента. Среди самых распространенных атак на клиентов, зафиксированных специально созданным в 2015 г. при Банке России Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России (FinCERT), следует обозначить:

  • целенаправленные атаки, связанные с подменой входных данных для автоматизированного рабочего места клиента Банка России (АРМ КБР);
  • рассылки электронных сообщений, содержащих вредоносное программное обеспечение (ПО);
  • атаки, направленные на устройства самообслуживания (банкоматы, POS-терминалы);
  • DDoS-атаки;
  • Reversal-атаки [4].

В качестве наиболее опасного риска собственно для клиента банковское сообщество рассматривает фишинг. Фишинг  – особый вид интернет-мошенничества, заключающийся в создании поддельного веб-сайта банка. Существует официальное определение фишинга Банком России:  «Вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным, путем маскировки электронного письма или сайта под доверенный аналог» [4]. В результате пользователь, переходя на фальшивую страницу, вводит свои конфиденциальные данные (например, номера банковских счетов или  кредитных карт), которые отправляются злоумышленнику. После успешного хищения средств со счета злоумышленники устраивают DDos-атаку на банковский сервер. Их цель – сделать невозможным для клиента проверку состояния своего счета, чтобы исключить обнаружение хищения. В результате DDos-атаки сервер банка становится недоступным для  его остальных клиентов. За второе полугодие 2015 г. и первое полугодие 2016  г. было зафиксировано 25 DDoS-атак на российские финансовые организации. Примером наиболее масштабной DDoS-атаки в 2016 г.  атака группировки Armada Collective, участники которой предварительно присылали письмо-требование выкупа для предотвращения/прекращения DDoS-атаки [14]. При этом большинство такого рода действий  мультивекторные, т.е. используется одновременно несколько способов воздействия на целевую систему, а значит, возрастает сложность воспроизводства эффективной защиты.

За период с октября 2015 г. по март 2016 г. FinCERT зафиксировал 21 атаку на инфраструктуру кредитных организаций. Злоумышленниками были совершены попытки хищения денежных средств на общую сумму  2,87 млрд руб. При этом предотвращено хищение порядка 1,6 млрд руб. (55,4%) [4].

Атаки на банк признаются более технологически совершенными, по сравнению с атаками на клиентов. Если несложную вредоносную программу может написать большинство IT-специалистов, то для атаки на банк нужно обладать более высоким уровнем подготовки.

Характеризуя рассылку электронных сообщений с вредоносным ПО, можно отметить следующие методы социальной инженерии, использованные злоумышленниками:

  • рассылка фишинговых писем от имени Банка России;
  • рассылка фишинговых писем от имени клуба «Антидроп» (некоммерческое объединение специалистов по информационной безопасности в финансовой сфере);
  • рассылка «FakeCERT», при которой под видом бюллетеня FinCERT с домена fincert.net были разосланы фишинговые письма, содержащие тот же загрузчик.

 В официальном отчете компании Group-IB, занимающейся расследованием современных киберпреступлений, отмечены противоправные действия группировки хакеров Buhtrap, которая  совершила 13 успешных атак на Банк России с августа 2015 по февраль 2016 г. и  похитила 1,8 млрд руб.  со счетов российских банков. В 2016 г. средняя сумма хищения составила 43 млн руб., а среднее отношение суммы успешного хищения к уставному капиталу банка – 62%.

История Buhtrap – яркий пример эволюции киберпреступной группы, перешедшей от атак на клиентов банков к целевым атакам на сами банки. Хакеры Buhtrap рассылали финансовым организациям фишинговые письма от имени Банка России или его представителей. Первая рассылка была зафиксирована 22 октября 2015 г. – многие российские банки получили письмо  с темой «Информация для банковских работников». Внутри письма был документ MS Office, при открытии которого запускалась программа, проверяющая историю браузеров на наличие ссылок, связанных с интернет-банками и банковским ПО. Если такие ссылки находились, то программа загружала из интернета вредоносное ПО, которое большинство антивирусов не определяет как вирус. После успешного подключения злоумышленники создавали мошеннические платежные поручения и отправляли их на исполнение. В феврале 2016 г. исходный код вредоносной программы Buhtrap был опубликован в открытом доступе, что может привести к распространению её новых модификаций и увеличению числа аналогичных инцидентов [12].

Наибольшая доля рассылок вредоносного ПО в настоящем приходится на Trojan Downloader (44%). В преобладающем количестве случаев (более 80%) данный тип вредоносного ПО применялся для загрузки вирусов-шифровальщиков. Серьезные проблемы создают также вирусы Trojan.Encoder (доля в  рассылках – 18%), а также Backdoor (10%). Опасность Trojan.Encoder  заключается в том, что программное ПО шифрует файлы на жестком диске компьютера (*.doc, *.docx, *.pdf, *.jpg, *.rar), а также требует  денежных средств за их расшифровку. Backdoor представляет собой вредоносное ПО, предназначенное для скрытого от пользователя удаленного управления злоумышленником компьютером жертвы.

В июне 2016 г. ФСБ сообщила об аресте группы из 50 хакеров, похитившей порядка 1,7 млрд руб. у банков с помощью вредоносного ПО. При этом были заблокированы фиктивные платежные поручения на сумму 2,273 млрд руб. в 15 регионах России [8].

К марту 2016 г. FinCERT зафиксировано 17 случаев несанкционированного доступа к ПО банкомата с целью хищения денежных средств на общую сумму свыше 100 млн руб. При этом атаки реализованы тремя распространенными способами:

  • атака, направленная на подмену хоста (цель – вызвать «джекпоттинг» – перевод устройства в состояние, при котором банкомат выдает все имеющиеся денежные средства атакующему);
  • атака, направленная на получение контроля над банкоматом с помощью дополнительного устройства (на базе Android, Arduino / Raspberry), и возможности удаленного доступа к банкомату;
  •  «прямой диспенс» с дальнейшей отправкой команды на опустошение кассет банкомата.

Сохраняется тенденция работы злоумышленников совместно с работниками предприятий сферы обслуживания, которые имеют практически бесконтрольный доступ к POS-терминалу и в части случаев – к платежной карте клиента. Наконец, мошенники используют программное обеспечение для рассылки подложных сообщений в банки об отмене платежных операций. Речь в данном случае идет о Reversal-атаках.

Осознание размера экономических угроз при дальнейшем развитии ДБО для банков, их клиентов, финансовой системы государства в целом опосредует со стороны Банка России разработку комплекса задач, направлений, рекомендаций для кредитных организаций в области минимизации рисков удаленного доступа. Предлагаются следующие меры:

  • контроль доступа к объектам лиц, осуществляющих их эксплуатацию и обслуживание, а также предоставление прав доступа к объектам исключительно для выполнения должностных обязанностей;
  • анализ схемы локальной вычислительной системы (ЛВС) кредитной организации, в том числе размещение объектов в ее выделенных сегментах;
  •  контроль сетевой активности, в том числе обращения к прокси-серверу, контроль конфигурации межсетевых экранов, а также в случае наличия технических средств обнаружения и предотвращения вторжений;
  • мониторинг появления признаков нештатного функционирования платежной инфраструктуры;
  • контроль функционирования и регулярного обновления программного обеспечения, предназначенного для защиты информации, в том числе средств защиты от воздействия вредоносного кода;
  • контроль соблюдения порядка формирования, удостоверения, передачи электронных сообщений, в том числе содержащих распоряжения о переводе денежных средств или сведения об увеличении лимитов на совершение операций [3].

Актуализируются прямые функции Банка России в части:

  • законодательного закрепления основ деятельности по реализации системы противодействия хищению денежных средств;
  • пересмотра технологических требований, связанных с осуществлением перевода денежных средств, внедрение безопасных технологий;
  • пересмотра технологии контроля со стороны Банка России за соблюдением участниками платежной системы требований к обеспечению информационной безопасности;
  • реализации системы надзорных мер, учитывающей результаты контроля информационной безопасности в рамках системы подтверждения соответствия национальным стандартам.

Примерами реализации нормотворческой деятельности Банка России в части разработки специализированных документов по информационной защите выступают стандарт Банка России СТО БР ИББС и Положение Банка России №382-П [9. С. 53]. Кроме того, в 2013–2014 гг. Президентом издан Указ  о создании и утверждена Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). ГосСОПКА строится в виде территориально распределенных центров. Главный и региональный центры создаются силами ФСБ России, ведомственные центры создаются заинтересованными органами государственной власти. Корпоративные центры могут создаваться государственными корпорациями, операторами связи и другими организациями, имеющими лицензии в области защиты информации.

Основу обеспечения экономической безопасности современного коммерческого банка составляет его финансовая устойчивость, являющаяся следствием действия системы институционально-управленческих, организационно-технических и информационных мер, направленных на обеспечение воспроизводства устойчивого режима функционирования банка, защиту его прав и интересов, рост уставного капитала, повышение ликвидности активов, сохранность финансовых и материальных ценностей, а также на обеспечение возвратности кредитов [5. С. 56]. В условиях отмеченного выше расширения спектра банковских операций, их усложнения, в части наполнения и регулирования, подчеркиваем важность формирования единого информационного сообщества, позволяющего на условиях сотрудничества и совместных действий выработать единую политику экономической безопасности [1. С. 2013]. Особая роль отводится FinCERT, в информационном обмене которого уже участвуют 275 кредитных организаций и филиалов (рис. 2), 9 небанковских кредитных организаций, 6 иностранных кредитных организаций, 6 разработчиков ПО, 6 органов государственной власти, 5 платежных систем, 3 оператора связи и 7 иных организаций. Кроме того, FinCERT осуществляет информационный обмен с правоохранительными органами (МВД РФ, ФСБ РФ, включая информационный обмен с ГосСОПКА) [4].

Рис. 2.  Количество кредитных организаций, участвующих в информационном обмене с FinCERT

Наряду с укреплением позиций государственного института в лице FinCERT важно расширять привлечение компаний, специализирующихся на развитии и поставке передовых технологий обеспечения конфиденциальности, целостности и достоверности информационных ресурсов банков [2. С. 69]. Имеются в виду сотрудничество и новые продукты ООО «Бэнкс Софт Системс» (Компания BSS), компаний «Бифит», RSA, Actimize, Group-ib и др.

Рост финансовой грамотности населения приводит к снижению рисков излишней личной задолженности граждан по кредитным продуктам, а также к  сокращению рисков мошенничества со стороны недобросовестных участников рынка. Разработка и внедрение программ по повышению финансовой грамотности населения составляют важное направление государственной политики во многих  странах. Меры по формированию финансовой грамотности в России нашли отражение в ряде документов Президента и Правительства РФ. Речь, в частности, идет о Концепции долгосрочного социально-экономического развития РФ на период до 2020 г., Стратегии развития финансового рынка РФ на период до 2020 г. Формирование у российских граждан разумного финансового поведения, обоснованных решений и ответственного отношения к личным финансам объявлены в качестве целевых приоритетов в реализуемом  долгосрочном проекте Министерства финансов РФ и Всемирного банка «Содействие повышению уровня финансовой грамотности населения и развитию финансового образования в РФ» (общая стоимость проекта  - 113 млн долл.) [6]. На государственном уровне осознанно подчеркнута важность формирования кадрового, технологического, инфраструктурного и информационного потенциала, способного эффективно реализовывать задачи повышения финансовой грамотности населения в регионах. Так, Волгоградская область вошла в число пилотных регионов, на территории которых был реализован отмеченный выше Проект; принята долгосрочная целевая программа «Повышение уровня финансовой грамотности населения и развитие финансового образования в Волгоградской области на 2011-2015 годы». Во многих странах деятельность государства в основном сфокусирована на поддержке усилий по расширению доступности финансовых услуг для населения. Россия выбрала вектор комплексного подхода, интегрирующего повышение финансовой грамотности и защиту прав потребителей финансовых услуг и продуктов.

Список литературы

1. Езангина И.А. Консолидация корпоративного капитала как важнейший фактор роста конкурентоспособности национальной и мировой экономики //Фундаментальные исследования. 2013. № 10-9. С. 2010-2014.

2. Езангина И.А. Проблемы и тенденции развития инфраструктуры кредитных рынков в России // Экономическая безопасность России и стратегии развития ее регионов в современных условиях. Сборник научных трудов Международной научно-практической конференции/Министерство образования и науки Российской Федерации, Волгоградский государственный технический университет, Российский фонд фундаментальных исследований, 2015. С. 67-70.

3. Обзор Банка России о несанкционированных переводах денежных средств 2015 год. http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf

4. Отчет Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России. http://www.cbr.ru/credit/Gubzi_docs/FinCERT_survey.pdf

5. Сазонов, С.П., Езангина И.А., Евсеев Р.С. Экономическая безопасность кредитной организации: факторы, угрозы, направления укрепления // Финансовая аналитика: проблемы и решения. 2016. № 31 (313). C. 42-56.

6. Содействие повышению уровня финансовой грамотности населения и развитию финансового образования в Российской Федерации. http://minfin.ru/ru/om/fingram/about/targets/index.php

7. У группы ВТБ в 2016 году киберпреступники похитили 35 млн. рублей. http://www.interfax.ru/business/511700

8. Хакеры похитили у банков более 1 млрд. руб. за полгода. http://www.rbc.ru/finances/19/07/2016/578e222d9a794700144a8d80

9. Шумилина О.В., Езангина И.А. Проблемы использования инновационных систем дистанционного банковского обслуживания в российских банках// Управление. Бизнес. Власть. 2015. № 3 (8). С. 51-55.

10. Шумилина О. В., Езангина И.А. Финансовая безопасность банка: риски ДБО // Научный альманах. 2016. № 2-1 (16). С. 392-396.

11. АСВ посчитало мошенничества со вкладами. http://sia.ru/?section=484&action=show_news&id=330294

12. Buhtrap: эволюция целенаправленных атак на банки: отчет о деятельности преступной группы Buhtrap, атакующей банки России и Украины. http://www.group-ib.ru/buhtrap-report.html

13. FinCERT: за атаками на российские банки стоит международная хакерская группировка. http://www.banki.ru/news/lenta/?id=9082074

14. Markswebb Rank & Report: аналитическое агентство. http://markswebb.ru/about/smi/


Войти или Создать
* Забыли пароль?