Роль и место современных Интернет-технологий в развитии банковских услуг

Безопасность системы «Интернет-Банк» гарантирована как аппаратным обеспечением, так и на программном уровне. Все пересылаемые данные шифруются: как информации, пересылаемая клиентом в банк, так и пересылаемая банком клиенту. Для установки связи используется технология несимметричной криптографии. Безопасность соединения, в свою очередь, обеспечивается технологией симметричной криптографии - используется уникальный для каждой сессии ключ. Сертификат является электронным аналогом удостоверения личности - паспорта, военного билета и т. д. Сертификат позволяет идентифицировать пользователей Интернета. С другой стороны, пользователи, подключившиеся к сертифицированному серверу, могут быть уверены, что попали именно в искомую организацию. Услуги "Интернет-банка" доступны только тем клиентам, которым банк выдал соответствующие сертификаты. Клиенты распознаются на основании идентификатора и пароля, а также информации, содержащейся в сертификате. Каждая транзакция подписывается электронной подписью, генерируемой с помощью ключа, содержащегося в сертификате клиента. Несмотря на то, что сам сертификат клиента является открытым, его нельзя использовать без закрытого ключа клиента, соответствующего содержащемуся в сертификате открытому ключу. Дополнительной степенью защиты закрытого ключа клиента является PIN-код. Для защиты от перехвата данных в сети обычно используется такое стандартное средство, как протокол SSL (Secure Socket Layer), являющийся обязательным атрибутом любого современного браузера.

Кроме того, чтобы усилить безопасность и повысить юридическую значимость трансакций, предусмотрено использование клиентом электронно-цифровой подписи (ЭЦП). По этой подписи система аутентифицирует пользователя и разрешает совершить необходимую операцию.

На практике работа системы безопасности выглядит следующим образом. Клиент, используя обычный браузер, входит на сервер банка с системой «Интернет-Банк». Сервер проверяет наличие у клиента электронного сертификата, выданного банком. Клиент выбирает из списка сертификат, которым он должен воспользоваться (у него может быть несколько сертификатов, выданных разными организациями), и вводит PIN-код. Данные электронного сертификата передаются в банк, где они проверяются. После успешного прохождения аутентификации и обеспечения безопасности канала связи загружается страница регистрации для ввода идентификатора и пароля. После шифрования пароль передается в банк и там сравнивается с паролем, хранящимся в базе данных. После успешной верификации пароля клиент получает доступ к информации и операциями со своими счетами. Каждая трансакция подписывается электронно-цифровой подписью. Наглядный пример реализации подобной схемы представлен в Подразделе 3 Главы 2 данной работы, где описаны принципы функционирования системы безопасности InterPro, используемой в ЗАО «Внешторгбанк - Розничные услуги».

В системах Интернет-банкинга фиксируются каждая попытка входа и все совершаемые действия пользователей. В ряде банков предусмотрена услуга мониторинга счетов. Как только на счетах клиента начинается движение, система автоматически посылает сообщение на пейджер, мобильный телефон или электронный почтовый ящик - по выбору клиента. Клиент решает, считать ли эту операцию подозрительной, и в случае несанкционированного доступа к его счету может сообщить об этом службе безопасности банка. После решения вопросов аутентификации и авторизации клиент получает возможность создавать, редактировать, распечатывать, подписывать и отправлять в банк исходящие документы.

Исходя из вышесказанного, можно с уверенностью утверждать, что защита системы такого класса довольно надежна и «взломать» ее крайне сложно. Реальный взлом в современном банке с квалифицированными администраторами и защищенной инфраструктурой с контролируемыми публичными шлюзами возможен лишь при содействии изнутри, причем квалифицированном. Здесь главная задача банка - выстроить грамотную политику и архитектуру безопасности, проводить непрерывный мониторинг сетевых атак и регулярно тестировать инфраструктуры безопасности.

Что касается клиентов, то им, как правило, достаточно соблюдать определенный набор простых предосторожностей при работе со своим Онлайн-счетом:

1) Предпочтительно работать со своим счетом только с домашнего ПК или другого персонального устройства. Даже рабочий терминал - потенциальный источник утечки данных. 2) Клиент не обязан сообщать свои имя и пароль для входа в систему Интернет-банкинга никому, включая сотрудников банка. 3) Работа в системе требует определенных настроек безопасности компьютера, в том числе антивирусных и «антишпионских» программ. 4) На каждый платежный документ, подготавливаемый в системе, обязательно должны быть наложены две электронные подписи. Если электронные подписи бухгалтера и директора (это не более чем названия) разные, это повышает степень защищенности ваших счетов. 5) Проведенный платеж должен отражаться системой Интернет-банкинга с задержкой не более часа. В противном случае стоит звонить в банк.

На данный момент в России существуют, как минимум, три направления разработок программного обеспечения для Интернет-банкинга:

1. Предоставление доступа к счетам посредством специализированного программного обеспечения, использующего Интернет как канал доставки шифрованных сообщений.

2. Предоставление доступа к счетам с помощью стандартных web-броузеров (Microsoft IE, Netscape Navigator) и использования технологии Java для обеспечения безопасности системы.

3. Предоставление доступа к счетам с помощью стандартных web-броузеров и использования специализированного программного обеспечения, призванного обеспечить безопасность системы.

Популярность указанных на российском рынке можно оценить по данным опроса, представленным на Рисунке 1.

Все эти направления имеют право на жизнь, но первые два имеют ряд отрицательных свойств. Наиболее существенный недостаток первого направления - использование программного обеспечения, настроенного под конкретный компьютер. Особенностью второго направления является, напротив, отсутствие на компьютере клиента соответствующего программного обеспечения, т. к. оно устанавливается на сервере банка, а необходимые программы, обеспечивающие защиту системы, загружаются в виде Java-аплетов при каждом сеансе. Однако такой подход делает клиента банка, выбравшего эту технологию, незащищенным от случайных финансовых потерь, т. к. на его компьютере не ведутся записи о произведенных финансовых действиях.

Рисунок 1. Опрос представителей отделов IT-разработок российских банков.

Наиболее оптимальным и разумным видится третий подход, при котором клиент не ограничен работой с конкретным компьютером и в то же время максимально защищен от потерь и рисков. При выборе системы "Интернет-Банк" ответственные лица банка во избежание юридических проблем обязательно должны узнать у разработчика и проверить: во-первых, соответствуют ли алгоритмы шифрования ГОСТу, во-вторых, сертифицирована ли Криптографической службой ФСБ (до апреля 2003 года- ФАПСИ) внедряемая система защиты? Если оба условия выполнены, можно перейти к рассмотрению конкретной реализации технологии защиты системы "Интернет-Банк", а именно: сертификата, симметричной и несимметричной криптографии, протокола SSL, устройства и работы системы безопасности.

Фактически, при условии ответственного подхода банков к вопросам IT, технические проблемы в Интернет-банкинге существуют скорее в газетных публикациях, чем в реальной жизни. Чаще всего разговоры о трудностях пользования Интернет-банкингом возникают из-за недостаточного информирования клиентов об этой услуге, а также из-за восприятия Интернета как агрессивной среды. На самом деле, современные технологии позволяют предупредить проблемы, отказы оборудования или программ. При этом банку зачастую целесообразно не создавать систему дистанционного обслуживания самостоятельно, а воспользоваться готовым техническим решением от зарекомендовавшей себя на рынке компании-разработчика банковского программного обеспечения (именно так поступает большинство зарубежных банков). Основными системами такого рода, установленными в большинстве российских банков, стали InterBank (R-Style Softlab), «ДБО BS-Client» (Bank's Soft Systems), iBank 2 (БИФИТ), Банк-Клиент/Интернет (ИНИСТ) и «Телебанк» (СТЕП АП). С подробной сводной таблицей, в которой приведены данные по предоставляемым в настоящее время российскими коммерческими банками услугам Интернет-банкинга и соответствующим им используемым программным решениям, можно ознакомиться в Приложении 1 данной работы.

Глава 2. Место и значение Интернет-банкинга в современном банковском бизнесе

2.1 Влияние Интернет-банкинга на структуру банковских рисков: особенности и принципы управления

Развитие новых технологий, а именно - переход к электронному способу ведения бизнеса, ведет к кардинальному изменению соотношения между различными видами риска, с которым сталкиваются банки. Эта проблема привлекла к себе пристальное внимание международных финансовых организаций, центральных банков развитых стран и крупнейших рейтинговых агентств.

Первое фундаментальное исследование провел Базельский комитет по банковскому надзору при Банке международных расчетов (БМР). В ноябре 1999г. была создана рабочая группа по электронным банковским услугам. На основе выводов этой группы Базельский комитет совместно с БМР приняли в мае 2001г. важный рекомендательный документ. В нем были определены ключевые категории рисков и зафиксированы основные принципы управления этими рисками, которых следует придерживаться банкам, развивающим бизнес в новой сфере.

Различным аспектам данной проблематики уделено значительное внимание и в исследованиях других влиятельных межгосударственных организаций - Международного валютного фонда и Группы десяти. Центральные банки и банковские ассоциации развитых стран также изучают эти вопросы - к примеру, весьма обстоятельные доклады были подготовлены Федеральным союзом германских банков и Федеральным банком Германии. Естественно, не остались в стороне от проблемы рисков и рейтинговые агентства - Fitch IBCA и Standard & Poor's.

Обобщив основные положения указанных документов, можно выделить новые тенденции, развивающиеся в сфере рисков в результате цифровизации банковского дела, а также определить важнейшие подходы к анализу рисков в сфере электронных банковских услуг.

Как известно, в документах Базельского комитета выделяются следующие категории риска, свойственного банковскому бизнесу: системный, стратегический, кредитный, страновой, рыночный, процентный, риск ликвидности, валютный, операционный, правовой, репутационный. Развитие электронного доступа к услугам банков не приводит к появлению каких-либо новых рисков, происходят лишь сдвиги в конфигурации банковского риска, т.е. в его внутренней структуре.

Исходя из отмеченных в первой главе данной работы особенностей Интернет-банкинга, можно указать на следующие направления изменений в сфере банковского риска:

· сильная зависимость от прогресса информационных и коммуникационных технологий приводит к резкому усилению стратегического и операционного рисков;

· динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения, как финансовых инструментов, так и банковских технологий), обуславливает повышения значения стратегического риска;

· рост ориентированности на потребности клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами) ведет к увеличению правового и репутационного рисков;

· обострение конкуренции в банковском бизнесе влечет за собой повышение общего уровня системного риска;

· выход за пределы отдельных национальных рынков и за пределы финансового сектора в целом означает усиления акцента на межстрановом и межсекторном аспектах банковского риска.

Поскольку новых видов риска не возникает, нет необходимости и во введении в управление рисками каких-либо дополнительных элементов помимо тех трех, что уже имеются в распоряжении банков (оценка, контроль и мониторинг рисков). По мнению Базельского комитета, банки должны усилить внимание к проблемам, возникающим в связи с повышением уровня определенных видов риска, а регулирующие органы - выработать принципы банковского надзора, учитывающие специфику электронных банковских услуг.

В настоящее время эксперты единодушно уделяют главное внимание стратегическому риску. Он возникает в связи с возможностью принятия ошибочных управленческих решений в отношении опоры на то или иное информационно-технологическое направление (такие решения относятся к стратегическим, поскольку их результаты оказывают непосредственное влияние на рыночную стоимость бизнеса). Банк, взявший на вооружение формирующую стратегию и играющий роль IT-лидера, получает наибольшие прибыли в случае верного выбора, поскольку «снимает сливки» в быстрорастущем сегменте финансового рынка, но терпит максимальные убытки, если проигрывает сделанные им «высокие ставки» - крупные стратегические инвестиции в ту или иную технологию. Избрав адаптивную стратегию, т.е. взяв на себя роль ведомого, банк уменьшает свой стратегический риск с точки зрения капитальных расходов, однако увеличивает его с точки зрения доходов: в результате наступления агрессивного лидера доля ведомого на рынке может сильно снизиться, а отсрочка в применении передовых технологий не позволит получить сколько-нибудь значительную выгоду от роста рынка, т.к. он будет уже близок к насыщению.

В настоящее время та сфера информационных технологий, которая связана с банками, характеризуется достаточно высокой неопределенностью. В частности, это касается технологической основы всех основных направлений банковской деятельности в Интернете:

* управления отношениями с клиентами в целях укрепления их лояльности. Требуется обеспечить клиентам возможность использования различных электронных средств взаимодействия с банком - мобильных телефонов, интерактивных телевизионных устройств, электронных органайзеров и пр. - окончательные перспективы применения которых остаются неясными;

* работы с электронными финансовыми инструментам и платежными/расчетными системами. Их развитие, по сути, только начинается, и определение скрытого в них потенциала является настоящим искусством.

Поэтому ответственность банковских топ-менеджеров за правильную оценку стратегического риска, контроль за его уровнем и мониторинг связанных с ним изменений весьма велика.

Следующая категория риска, привлекающая пристальное внимание специалистов, - операционный риск, т.е. вероятность образования убытков/недополучения прибылей вследствие сбоев в выполнении каждодневных рутинных банковских операций. Применительно к Интернет-банкингу выделяют три главные «зоны» операционного риска - функционирование системы безопасности, привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг) и освоение новых технологий сотрудниками банка.

В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации - искажение, уничтожение, перехват данных или злоупотреблениями в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов. Кроме того, не исключены отказы в функционировании банковских информационных систем - возникновение перегрузок из-за недостаточной мощности компьютерно-программных комплексов и целенаправленных атак на Web-серверы в форме лавин фальшивых запросов.

Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление IT-интенсивных банковских услуг через специализированные фирмы (в первую очередь банки сотрудничают с компаниями, разрабатывающими прикладные программы) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки становятся в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко не связанных между собой компаний, сотрудники которых могут и не обладать достаточным пониманием специфики банковского дела. Сложность положения усугубляется тем, что привлеченные к оказанию услуг фирмы могут передать выполнение каких-либо функций на субподряд, в том числе за границу. Кроме того, узость круга контрагентов, имеющих достойный уровень квалификации, повышает степень концентрации риска.

Наконец, ускорения процесса модернизации информационных систем обусловливает повышение требований к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков если не хаосом, то значительными проблемами.

Немалое значение в новых условиях приобретает правовой риск, возникающий вследствие нарушения законов и директив регулирующих органов, а также недостаточно четкого определения прав и обязанностей контрагентов. Юридические реалии оформляются медленнее, чем экономические, и это расхождение особенно заметно в такой динамической сфере, как Интернет-бизнес. Можно отметить следующие специфические для электронного банковского сервиса аспекты правового риска Ащин Е. Правовое регулирование электронного бизнеса // Закон и Право. - 2002. - №10.:

- не во всех странах приняты законы об электронной подписи и о действительности договоров, заключаемых электронным способом;

- в разных государствах не одинаково трактуется вопрос о подлежащей лицензированию банковской деятельности (например, надзорные органы могут потребовать получения лицензии от Web-сайта, рекламирующего услуги банка на том языке, который используется в данной стране, причем даже в том случае, когда до реальных операций дело еще не дошло);

- возникают особые требования к соблюдению принципа «знай своего клиента», законодательно внедряемого в банковский бизнес в рамках борьбы с легализацией преступных доходов и терроризмом;

- банкам становится труднее обеспечивать предписываемый законом уровень защиты персональной клиентской информации (особенно если сайт банка связан с сайтом-агрегатором электронного финансового супермаркета);

- банки, организовавшие удостоверяющие центры по выпуску сертификатов и подтверждению подлинности цифровой подписи, могут быть привлечены к юридической ответственности, если при использовании данных сертификатов участвующие в сделке стороны понесут убытки.

Более подробно вопросы правового регулирования электронной банковской деятельности будут рассмотрены во втором подразделе Главы 2 данной работы.

В эпоху быстрого развития электронного сервиса репутационный риск, реализующийся в сокращении клиентуры, оттоке вкладов, сбросе банковских акций вследствие формирования устойчивого негативного общественного мнения о деятельности банка, связан, прежде всего, с теми нарушениями в обслуживании клиентов, которые входят в указанные выше «зоны» операционного риска. Особенность нового способа предоставления услуг состоит в том, что в условиях непосредственного Web-взаимодействия с клиентами сведения о возникновении сбоев в электронных операциях становятся известны практически сразу и распространяются гораздо быстрее, чем раньше. Репутационный риск может существенно увеличиться, если информация о наличии таких проблем, предоставляемая публике, окажется недостаточной и/или несвоевременной, а также, если плохо организован диалог с вкладчиками и заемщиками по электронной почте. В период привыкания к новым технологиям клиентура проявляет особую нервозность по отношению к любым событиям. Не исключено, что репутационный риск у того или иного банка станет весьма заметным просто потому, что хакеры взломали сайт другого банка, предоставляющего те же или сходные онлайновые услуги.

Конечно, с появлением Интернет-банкинга изменяются и другие категории риска - кредитный, процентный, валютный и т.д. Так, использование «мягких» процедур дистанционной оценки кредитоспособности потенциальных заемщиков или приобретение электронных денег у недостаточно надежного эмитента могут привести к повышению кредитного риска. Риск ликвидности и валютный риск становятся весьма актуальными для банков, осуществляющих серьезные операции с цифровой наличностью, а рыночный риск требует особого внимания у тех банков, которые развивают программы секьюритизации ссуд через Интернет. Однако такого рода перемены не являются кардинальными и уступают по своему значению вышеописанным сдвигам в сферах стратегического, операционного, правового и репутационного рисков. Именно на этих направлениях и должно концентрироваться управление рисками в современных коммерческих банках.

Что же касается центральных банков или других надзорных органов, то их внимание сосредотачивается на таких последствиях цифровизации банковского дела, как повышение системного риска и усиление глобализации. В связи с развитием первой тенденции активизируется теоретические исследования в целях разработки механизмов компенсации увеличившегося риска не только в самой банковской сфере, но и в системе взаимоотношений «финансы - промышленность».

В свою очередь, вторая тенденция стимулирует совершенствование сотрудничества национальных учреждений банковского надзора с надзорными органами не только зарубежных стран, но и других отраслей экономики. При этом необходимо, с одной стороны, обеспечивать упреждающее воздействие государственного регулирования и его нейтральность по отношению к конкурирующим технологиям и финансовым институтам, а с другой, избегать ненужного сдерживания технологического прогресса и содействовать формирования грамотной в электронном смысле банковской клиентуры.

Базельский комитет по банковскому надзору сформулировал 14 принципов управления рисками в сфере электронных банковских услуг Грачева М.В. Банковская система в развитых странах: некоторые проблемы цифровых технологий. - М.: Ось-89, 2003. - стр. 49-56.. Свод этих правил не является обязательной для исполнения директивой, однако де-факто все солидные банки развитых стран соблюдают данные требования. Принципы управления рисками сгруппированы в 3 крупные категории.

А. Надзор со стороны высшего руководства банка.

1) Создание эффективной системы наблюдения за операциями, совершаемыми электронным способом.

2) Внедрение всесторонней процедуры контроля над поддержанием необходимого уровня информационно-технологической безопасности.

3) Организация тщательного отслеживания взаимодействия с партнерами, привлекаемыми к предоставлению отдельных видов электронных банковских услуг.

Б. Обеспечение безопасности в сфере информационных технологий.

4) Аутентификация клиентов, пользующихся электронными каналами обслуживания.

5) Недопущение отказа от обязательств по онлайновым трансакциям и строгая ответственность за их проведение.

6) Разграничение функций банковских служащих при работе в системах е-банкинга, использовании баз данных и приложений.

7) Эффективный контроль над процедурами авторизации и получения доступа к системам е-банкинга, базам данных и прикладным программам.

8) Обеспечение целостности данных по операциям и записям в сфере онлайновых услуг.

9) Точный учет трансакций, совершаемых электронным способом.

10) Сохранение конфиденциальности ключевой банковской информации.

В. Управление правовым и репутационным рисками.

11) Предоставление необходимой информации об электронном банковском сервисе на Web-сайте банка.

12) Предотвращение несанкционированного доступа к клиентской информации.

13) Содержание систем е-банкинга в постоянной эксплуатационной готовности.

14) Создание эффективного механизма реагирования на неожиданные внешние и внутренние атаки на системы е-банкинга.

Страницы: 1, 2, 3, 4, 5