Безопасность системы "Интернет-банк"

Мобильные технологии обслуживания в банке привлекают большое коли-чество новых клиентов. Это связано с появлением доверия к банкам, предла-гающим большой спектр услуг, в том числе дистанционного управления счетом. Кроме давно используемого "Клиент-Банк", на рынке банковских услуг появи-лись такие продукты, как обслуживание клиента посредством телефона (в том числе и мобильного) и глобальной сети Интернет. Это, во-первых, связано с развитием технологий в сфере телекоммуникаций, а, следовательно, и торговли в сети интернет (e-trading). Во-вторых, каждый банк в настоящее время хочет привлечь как можно больше новых клиентов, предоставляя все больше и боль-ше услуг на финансовом рынке. В-третьих, новые технологии обеспечивают удешевление банковской транзакции на порядок! И, наконец, в-четвертых, ос-вобождают банковских работников от ручного набора документов, а клиента от визита в банк.

Теперь давайте поразмыслим о том, какие риски имеют место в банковском бизнесе, как они связаны с новой технологией доступа к банковским счетам через глобальную сеть Интернет и какой степенью защиты должны обладать системы такого уровня, чтобы свести эти риски к нулю.
Понимание различных типов "Интернет — банка" поможет банковским специалистам оценить существующие риски, связанные с этой технологией. В настоящее время существует три базовых уровня системы "Интернет-банк", которые используются на рынке:
1. Информационный — это базовый уровень системы "Интернет-банк". Достаточно распространен вариант, когда банк имеет маркетинговую информацию о банковских продуктах и услугах на выделенном сервере. Риск является относительно небольшим, так как банковская внутренняя сеть и этот сервер не связаны. Этот уровень может быть обеспечен самим банком или поручен внешней фирме. Хотя для банка риск и невелик, сервер или Web-сайт могут подвергаться внешнему воздействию, поэтому должна быть внедрена процедура контроля для предотвращения неавторизованных изменений содержимого банковского сервера или Web-сайта.
2. Коммуникационный уровень системы "Интернет-банк" позволяет осуществлять взаимодействие между банковской системой и клиентом. Это взаимодействие может ограничиваться электронной почтой, запросом о состоянии счета, заявкой на кредит или обновлением статических данных (изменение имени или адреса). Поскольку эти серверы могут иметь доступ к внутренней сети банка, риск в этой конфигурации выше, чем на информационном уровне, поэтому необходим соответствующий контроль для предотвращения, отслеживания и предупреждения руководства о любой неавторизованной попытке получить доступ к внутренним компьютерным системам и сетям банка.
3. Транзакционный уровень системы "Интернет-банк" позволяет клиентам выполнять транзакции. Поскольку, как правило, между сервером и внутренней сетью банка есть связь, эта архитектура является наиболее рискованной и поэтому должна тщательно контролироваться технической службой банка. Транзакции клиентов могут включать доступ к счетам, оплату счетов, перевод средств и т.п.

Банковские риски

С точки зрения банка, риск — это потенциальное действие, которое в случае его совершения (было ли оно ожидаемым или неожиданным) может иметь негативное влияние на банковскую прибыль или капитал. В банковском бизнесе, как и в любом другом, существует множество рисков, но мы рассмотрим только некоторые из них: риск кредитный, транзакционный, стратегический и риск репутации.

Кредитный риск
Кредитный риск — это риск для прибыли или капитала, возникающий из неспособности должника выполнять условия любого контракта с банком или прочих причин, по которым он действует не так, как было согласовано. Кредитный риск присутствует в любой деятельности, где успех зависит от контрагента, надлежащих действий организации, выдающей кредит, или заемщика. Он возникает в тех случаях, когда фонды банка расширяются, отягощаются обязательствами, инвестируются или любым другим образом становятся зависимыми от явных или неявных контрактных обязательств.
При работе с клиентом через Интернет отсутствие личного контакта вносит дополнительные сложности для банка, поскольку труднее определить "качество" клиента, что является важным элементом принятия надежных кредитных решений. Проверка дополнительного обеспечения кредита и создание совершенного кредитного договора также представляет трудность для клиента, находящегося вне пределов физической досягаемости.

Транзакционный риск
Транзакционный риск — это возможный риск для прибыли или капитала, вытекающий из обмана, ошибки и невозможности предоставить продукт или услугу. Высокий уровень транзакционного риска может существовать и для продуктов "Интернет-банк", особенно если они должным образом не внедрены или не контролируются.
Банки, которые уже сейчас предлагают финансовые продукты и услуги через Интернет, должны быть в состоянии удовлетворить ожидания клиентов, т.к. клиенты, совершающие сделки через Интернет, не терпят ошибок или недочетов со стороны финансовых институтов.
Атаки или попытки проникновения в банковские компьютеры и сети яв-ляются главной опасностью. Опыт  показывает, что банковские системы больше подвержены внутренним атакам, чем внешним, поскольку  внутренние пользователи обладают знаниями о доступе к системе. Банки должны надежно предотвращать такие попытки для защиты своих сетей от внутреннего либо внешнего воздействия.

Стратегический риск
Стратегический риск — это имеющееся или возможное влияние на прибыль или капитал, вытекающее из неверных деловых решений, плохого внедрения решений или отсутствия реакции на изменения внешних факторов рынка. Перед тем, как предложить клиентам продукт "Интернет-банк", руководство должно рассмотреть, является ли продукт или технология совместимым с деловыми целями банковского стратегического плана. Процесс планирования и принятия решений должен концентрироваться на том, как удовлетворить конкретную деловую потребность клиента путем продукта "Интернет-банк", а не на самом продукте, как самостоятельной ценности.

Риск репутации
Риск репутации — это имеющееся или возможное влияние на прибыль или капитал, вытекающее из отрицательного общественного мнения. Риск репутации присутствует в банковском бизнеса ВСЕГДА. Этот риск подвергает банк опасности судебных дел, финансовых потерь (и) или уменьшения его клиентской базы. Репутация банка может пострадать, если он не способен предоставить то, что обещано маркетингом, или делает это не точно или не в срок.
В связи с этим, менеджеры банков должны обратить внимание на то, как на их Web-сайтах представлены ссылки на третьи стороны (сайты разработчиков программного обеспечения, поставщиков оборудования и др.). Для предоставления клиенту доступа к третьей стороне часто используются гипертекстовые ссылки, которые могут рассматриваться клиентом как ответственность за продукты и услуги третьих фирм. Когда клиент посещает Web-сайт банка, ему должно быть ясно, кто является поставщиком конкретного предлагаемого продукта или услуги, и какие стандарты безопасности или защиты применяются.

Защита информации

Для электронных услуг, предлагаемых в сети Интернет, вопрос обеспечения безопасности связи является первоочередным. Современные криптографические технологии позволяют свести связанные с этим риски практически до нуля. Криптография — это наука (родственная математике), изучающая методы шифрования сообщений, данных и т.д. Первоначально ее достижения использовались, прежде всего, в военной области, но благодаря развитию криптографии в последнее время ей стали находить иные применения. Так, например, сейчас стало возможно применение криптографии в защите таких систем, как "Интернет — банк". С помощью криптографии возможно следующее:
· обеспечить гарантированную шифрацию сообщений,
· обеспечить однозначную идентификацию отправителя сообщений,
· обеспечить сохранность сообщений.
Как же выглядит на практике система защиты?
Клиент, используя обычный браузер (например, Microsoft® Internet Explorer), входит на сервер банка с системой "Интернет-банк". Сервер проверяет наличие у клиента файла с электронной подписью (обычно он хранится на дискете), далее клиент вводит PIN-код (который знает лишь только он) и эти данные передаются в банк, где они сравниваются с данными, хранящимися в базе данных системы. После успешного прохождения этого этапа и обеспечения безопасности канала связи, загружается страница для регистрации — для ввода идентификатора и пароля. После шифрации пароль также передается в банк и там сравнивается с паролем, хранящимся в базе данных. В случае троекратного ввода неверных данных (идентификатор или пароль) доступ к системе блокируется и требуется личный контакт с соответствующим филиалом банка для того, чтобы снять блокировку. Если данные верны, то клиент получает доступ к информации о своих счетах в банке. Во время связи вся передаваемая и получаемая информация кодируется специальным алгоритмом, а каждая транзакция подписывается  электронной подписью (ключом), хранящейся, как правило, на дискете у клиента.
Исходя из вышесказанного, можно с уверенностью сказать, что защита систем такого класса очень надежна и "взломать" ее не представляется возможным. Однако при внедрении этой системы в банке необходимо ограничить доступ к секретной информации (пароли, ключи, цифровая подпись) сотрудников банка, прописать в их должностных инструкциях права и обязанности по управлению системой и т.д. При грамотном внедрении и эксплуатации системы "Интернет — банк" все вышеназванные риски будут минимальны и экономический эффект будет виден уже в первом квартальном отчете банка!