Предоплаченные инструменты розничных платежей - от дорожного чека до электронных денег
Шрифт:
В стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» под риском информационной безопасности понимается сочетание вероятности нанесения ущерба и тяжести этого ущерба. Специфические типы рисков, возникающие перед эмитентами ЭД, могут быть сгруппированы согласно категориям, содержащимся в документе «Управление рисками в банковских операциях в электронном виде и применение электронных денег», подготовленным Базельским комитетом по банковскому надзору [57] , в котором, также наиболее полно освещены проблемы управления рисками в системах электронных денег.
С большой уверенностью можно утверждать, что риски, рассматриваемые в указанном документе, подпадают под те же общие категории, что и те, которые присущи существующим традиционным розничным платежным механизмам, расчеты в которых осуществляются посредством чеков, платежных карт: операционный риск, риск потери репутации, правовой риск и стратегический риск. Проанализируем эти виды рисков.
Операционный
Базельский комитет по банковскому надзору принял общее для банковского сектора определение операционного риска, а именно: «…риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами». Аналогичное определение принял и Банк России. Согласно Рекомендациям Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» под операционным риском понимается риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Определение базируется на лежащих в основе причинах операционного риска (человеческий фактор, ошибка в процессе обработки, отказ системы и внешние факторы) и предусматривает их выявление. Такое определение, основанное на «причинной модели», позволяет выработать общие подходы к управлению операционным риском в рамках финансовых организаций, деятельность которых, в том числе, связана с эмиссией «электронных денег».
Следует отметить, что в системах ЭД операционный риск проистекает из возможности понести убытки из-за значительных недостатков в их надежности и безопасности, которые в большинстве случаев связаны с человеческим фактором.
Под термином «надежность» системы ЭД понимается свойство системы ЭД сохранять во времени в установленных пределах все параметры, обеспечивающие выполнение требуемых функций в заданных условиях эксплуатации. Отечественная специализированная литература по теории надежности посвящена надежности машин и механизмов и не рассматривает данное понятие (свойство) применительно к платежным системам, представляющим собой набор инструментов, банковских процедур, технических и институциональных структур, осуществляющих безналичные переводы денежных средств между субъектами финансово-хозяйственной деятельности (кредитными организациями и их клиентами – юридическими и физическими лицами). Вместе с тем, учитывая, что системы ЭД базируются на информационных технологиях, важным элементом которых, как уже отмечалось выше, являются компьютерные системы, представляющие собой сложный комплекс разнообразного оборудования и программного обеспечения, то такие параметры надежности как безотказность функционирования и исправность, применимы к данным системам. Проблема надежности в банковском деле имеет особое значение: так как неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и к утрате доверия к банку.
Под термином «безопасность» системы ЭД понимается такое состояние системы, при котором с требуемой вероятностью обеспечивается ее устойчивость к случайным или преднамеренным воздействиям, которые приводят к материальному (моральному) ущербу потребителя электронных денег или их эмитента.
Нарушения системы безопасности ЭД могут возникнуть на уровне потребителя (держателя ЭД), предприятия торговли (услуг) или эмитента и проявиться в попытке кражи ЭД как в процессе платежа, так и непосредственно с устройства держателя.
Важно отметить, что нарушение безопасности может также привести к мошенничеству, создающему дополнительную ответственность эмитента. В связи с этим вопросы, связанные с мошенничеством в системах ЭД, являются приоритетными при проектировании данных систем. Типичные примеры мошенничества в системах ЭД:
♦ несанкционированное изменение данных (суммы, валюты) при осуществлении платежа ЭД (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);
♦ отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента ЭД адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать
сделки, санкционированные ими ранее, чем нанесут эмитенту финансовые убытки;♦ совершение операций с ЭД под именем другого держателя. В данном случае, при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;
♦ использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя ЭД), может привести к «ложной» эмиссии ЭД, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск «подделки» ЭД возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию «подделок». Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.
Существуют различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви») или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.
Следует отметить, что одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника – оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например SATAN (Security Administrator Tool for Analyzing Networks) и COPS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее «вскрыть».
Другой вид операционного риска возникает в случае, если организация предполагает осуществлять эмиссию ЭД и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы ЭД, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы ЭД с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов – держателей ЭД определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством ЭД. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Internet (система E-cash, система PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Internet, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Internet) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи «форс-мажора», уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую гибкость в части приспособления предлагаемых услуг к клиентам.
Быстрый темп изменений, характерный для указанных информационных технологий, вызывает необходимость их модернизации, что, в свою очередь, повышает требования эмитентов ЭД к адаптационным способностям своего персонала и увеличивает опасность возникновения трудностей при переходе к более сложным интегрированным электронным решениям. Довольно часто внедрение более производительной технологии оборачивается для сотрудников эмитентов ЭД и их потребителей если не хаосом, то значительными операционным проблемами. К указанному типу операционного риска можно отнести и ошибки, возникающие во время технического обслуживания системы или при использовании специальных программ, применяемых для исправления ранее допущенных ошибок. Причиной их зачастую являются некорректные операции персонала, ошибки же вследствие неполадок в компонентах оборудования относительно редки. Еще одним источником возникновения ошибок являются исправления, вносимые в стандартные пакеты программного обеспечения (например, в «электронный кошелек») с целью удовлетворения потребностей конкретного пользователя.