Книга Мошенничество в платежной сфере. Бизнес-энциклопедия - читать онлайн бесплатно, автор Коллектив авторов. Cтраница 4
bannerbanner
Вы не авторизовались
Войти
Зарегистрироваться
Мошенничество в платежной сфере. Бизнес-энциклопедия
Мошенничество в платежной сфере. Бизнес-энциклопедия
Добавить В библиотекуАвторизуйтесь, чтобы добавить
Оценить:

Рейтинг: 0

Добавить отзывДобавить цитату

Мошенничество в платежной сфере. Бизнес-энциклопедия

Безусловно, банки всегда подвергались рискам, связанным с ошибками или мошенничеством, однако вместе с внедрением современных компьютерных технологий уровень таких рисков и масштаб их влияния существенно выросли ввиду того, что количество причин и состав возможностей реализации угроз, лежащих в основе новых компонентов рисков такого рода, значительно увеличились. Подтверждением этому является постоянный рост числа финансовых преступлений разного рода как против юридических и физических лиц, пользующихся банковскими услугами, так и против самих банков, анализу которых посвящен настоящий раздел книги. При этом акцент делается на существенно более широкой по сравнению с традиционной (ограниченной рамками Федерального закона от 07.08.2001 № ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма») интерпретацией понятия и содержания процесса финансового мониторинга (ФМ). В связи с указанной позицией можно отметить также, что расширенная трактовка понятия ФМ стала встречаться и в мировой практике анализа противоправной финансовой деятельности и организации противодействия ей. Например, в материалах таких организаций, деятельность которых направлена против отмывания денег (ОД) и финансирования терроризма (ФТ), как ФАТФ и FinCEN[35], встречаются указания на то, что финансовым организациям необходимо усилить борьбу с компьютерными мошенничествами, поскольку успехи в борьбе международного сообщества с ФТ и перекрытие различных каналов, используемых для этого, привели к тому, что для финансирования деятельности таких чрезвычайно опасных организаций стали широко задействоваться команды хакеров и применяться способы осуществления крупномасштабных финансовых мошенничеств. Из этого делается вывод о том, что собственно осуществление противодействия совершению компьютерных мошенничеств в отношении этих организаций и их клиентов следует рассматривать в том числе и как непосредственно связанное с борьбой с международным терроризмом.

Ввиду этого в современных банках неизбежно внедрение специальных процедур для адекватного реагирования на возможную противоправную деятельность (ППД), осуществляемую с помощью ТЭБ. Поэтому и необходим анализ и практический учет новых потенциальных угроз, связанных с этими технологиями, а также сценариев их возможной реализации с оценкой последствий. Следует отметить, что в силу неразвитости отечественного законодательства в области так называемых электронных финансов[36] последующее изложение ведется с позиций организации противодействия на основе риск-ориентированного подхода.

Начать такой анализ уместно с рассмотрения общей картины усложнения структуры типичных банковских рисков[37].

3.1. Новые факторы риска для кредитных организаций и их клиентов в условиях применения технологий электронного банкинга

Не подлежит сомнению тот факт, что применение кредитными организациями (далее для краткости называемыми банками) технологий ДБО или, иначе, «электронного банкинга» радикально изменяет способы и условия осуществления банковской деятельности. Эти изменения необходимо учитывать в организации и содержании целого ряда внутрибанковских процессов, что будет детально описано в предпоследнем подразделе настоящего раздела. В цитировавшейся выше книге описывалось принципиально новое явление в сфере банковской деятельности, «вызванное к жизни» применением самих ТЭБ, а именно так называемый информационный контур банковской деятельности (ИКБД), приводилась его обобщенная схема, а также рассматривались три основных, «системных» фактора риска, обусловливающие возникновение новых источников компонентов банковских рисков[38]. До наступления эры ДБО данное явление отсутствовало как таковое, хотя, строго говоря, элементы этого контура стали появляться в банках вместе с внедрением первых же структур локальных вычислительных сетей (изначально строившихся на основе сетевых систем типа «клиент – сервер» по простым схемам типа «звезда», которую составляли центральный универсальный компьютер и рабочие станции, используемые операционным банковским персоналом). Для того чтобы обеспечить ясность последующего анализа усложнившейся структуры банковских рисков, упомянутая схема в несколько измененном вариант приводится и здесь (рис. 3.1).


Рис. 3.1. Информационный контур банковской деятельности, формирующийся при дистанционном банковском обслуживании


На приведенной схеме условно показаны два входящих в ИКБД банка (Банк-1 и Банк-2), укрупненная структура их локальных вычислительных сетей (ЛВС) и банковских автоматизированных систем (БАС)[39] с функциями управления, обработки и хранения данных (обозначенных как СУБД – система управления базой данных), элементы сетевой защиты, представленные (только для примера) брандмауэрами (сетевыми экранами), виртуальное пространство, образованное системами, каналами и линиями связи провайдеров банков и клиентов, собственно варианты клиентской части ДБО и два неприятных типа: хакер (хронически занятый попытками несанкционированного доступа (НСД) к банковским информационным ресурсам) и крэкер (ориентированный на нанесение ущерба организациям любым доступным через сетевое пространство способом за счет «взлома» и уничтожения их программно-информационного обеспечения). Как отмечалось, в условиях ИКБД возникают три основных новых фактора риска, о которых необходимо знать руководству банков и на которые следует правильно реагировать посредством адекватной модернизации процесса управления банковскими рисками (УБР):

1) возникновение клиента нового типа, который во многих случаях, не приходя в банк, сам «играет роль» операциониста, при этом, как следствие, для банка и клиента возникает взаимная анонимность, на эффектах которой основаны все схемы организации финансовых преступлений и так называемого фишинга при ДБО;

2) возникновение зависимости надежности банковской деятельности от сторонних организаций – провайдеров разного рода, автоматизированные системы и каналы связи которых могут использоваться для реализации противоправной деятельности в отношении банков и их клиентов с нанесением ущерба их интересам;

3) возникновение разнообразных возможностей для НСД к сетевым структурам и БАС банков за счет особенностей функционирования так называемых открытых систем со стороны как внешних преступных элементов, так и инсайдеров в самих банках, обладающих специальными знаниями в части организации и функционирования БАС.


В случае действия первого из приведенных факторов могут иметь место два главных негативных эффекта. Первый из них заключается в том, что банк не всегда может быть уверен в том, что к нему обращается легитимный, официально зарегистрированный, то есть априори известный ему клиент. Это происходит из-за так называемого хищения личности (identity theft), то есть имитации злоумышленником действий упомянутого клиента за счет использования данных его удаленной идентификации. Поэтому персоналу банков следует информировать клиентов ДБО о приемах, с помощью которых может быть совершена подмена такого рода, и о тех мерах, которые им следует оперативно принимать в случаях противоправных попыток имитации их действий, а также о новых способах и попытках компрометации схем подтверждения идентичности удаленных клиентов. Кроме того, в договорах с клиентами целесообразно указывать, какие способы банк будет использовать для связи с клиентами и на какие «подвохи» клиент обязан не реагировать. Второй эффект связан с тем, что клиент не всегда может быть уверен в том, что взаимодействует со «своим» банком из-за «успешных» действий фишеров, которым он невольно выдает данные своей персональной удаленной идентификации. Это происходит преимущественно за счет применения методов так называемой социальной инженерии и хакерских приемов. Данные вопросы будут рассмотрены в одном из последующих подразделов.

Действие второго фактора (в части противоправной деятельности, технические проблемы здесь не рассматриваются) может проявляться в том, что атаки на банки (и, как следствие, на их клиентов) осуществляются через системы провайдеров, включая предоставляемые ими общедоступные каналы (линии) связи. При такого рода намерениях разрабатываются и применяются специальные программные средства, которые должны нарушать работу аппаратно-программного обеспечения взаимодействующих при ДБО сторон (то есть переводить его в нештатные режимы работы (в широком смысле, включая создание возможностей для НСД) или выводить из строя). При этом сами системы провайдеров могут превращаться в источники угроз для банков, если входящие в них вычислительные сети заражаются вредоносным кодом (в том числе программами-вирусами), с помощью чего формируются, в частности, так называемые бот-неты («роботизированные» вычислительные сети), используемые для нарушения функционирования вычислительных сетей и серверов организаций, которые оказываются объектами сетевых атак[40]. Под прикрытием таких атак стали все чаще совершаться финансовые преступления против банков и их клиентов, в том числе с проникновением и «усилением» атак через посредство автоматизированных систем провайдеров кредитных организаций.

Третий фактор может реализоваться в форме различных угроз: специально организуемые или случайно возникающие схемы для осуществления НСД (в том числе через информационные сечения, образуемые при стыковке различных автоматизированных систем или подсистем), сетевые, вирусные, хакерские атаки и т. п. В этих случаях речь идет, как правило, о нелегитимном завладении теми или иными информационными активами (учитывая, что современная банковская деятельность превратилась преимущественно в информационную дисциплину) или о прикрытии таких действий. Вследствие того что при ДБО формируются новые информационные потоки, число которых при массовом обслуживании может исчисляться десятками, сотнями тысяч и миллионами и которые выходят далеко за пределы офисов банка, а это – неотъемлемое свойство любого ИКБД, существенно изменяются характеристики так называемого периметра безопасности банка. Следствием же этого становится необходимость внедрения таких средств защиты архитектур вычислительных сетей (основными из которых являются маршрутизаторы и брандмауэры или их аппаратно-программные комбинации, а также прокси-сервера, – хотя это не единственные средства сетевой защиты), которые позволяют изолировать чувствительные к НСД информационные сечения в таких архитектурах[41]. Ключевым фактором надежности функционирования любого банка при этом становится осведомленность его высшего руководства о новых потенциальных угрозах при ДБО.

Необходимо отметить, что в условиях ДБО проблематика точной локализации сечений указанного рода реально «выходит на передний план», поскольку в таких местах возможно прежде всего несанкционированное вмешательство в информационные потоки, в особенности при нелегитимном использовании прав и полномочий доступа к ним и к аппаратно-программному обеспечению (АПО) банков и провайдеров, через которое они проходят. Как показывают исследования, наиболее серьезные угрозы при этом могут возникать со стороны инсайдеров кредитных организаций. Информационные сечения, через которые возможно какое-либо вмешательство в информационные потоки, генерируемые, поддерживаемые и обрабатываемые банками, следует, по возможности, исключать из ИКБД, а если это оказывается невозможным, то их необходимо наиболее строго контролировать в соответствии с так называемым принципом четырех глаз[42]. Предотвращение возникновения подобных сечений в любом ИКБД или, в случае их неизбежного появления, обеспечение возможностей их полноценного контроля руководству банков целесообразно предусматривать, начиная еще с этапа принятия решения о внедрении той или иной ТЭБ и проектирования/разработки реализующей ее СЭБ. Очевидно, что для этого требуется наличие в банке соответствующих распорядительных документов и осуществление «проактивного» анализа сопутствующих внедрению ТЭБ изменений в структуре банковских рисков.

При реализации любого из упомянутых выше факторов или какой-либо одной связанной с ними угрозы денежные средства, хранящиеся в банке в форме записей об их суммах в его базах данных, могут быть нелегитимно и оперативно переведены на сторонние счета в электронной форме, что обычно и происходит в процессе совершении мошенничеств. При этом современные возможности использования сетевых технологий, а также зонального и даже глобального сетевого информационного взаимодействия позволяют осуществлять подобные трансферы на счета, расположенные практически в любой юрисдикции (городе, регионе, стране). Поэтому, в частности, руководству банков следует помнить о необходимости четкого и полного определения состава так называемой сеансовой информации (СИ), о чем будет сказано в последнем подразделе, накапливаемой и сохраняемой в течение каждого отдельного сеанса информационного взаимодействия удаленного клиента с банком, и обеспечения гарантий ее сохранения в течение установленных сроков (которые следует указывать также и в правоустанавливающих документах на пользование ДБО). При этом необходимо гарантировать и возможность оперативного доступа к ней как минимум при инициации претензионной работы. В основу такого определения целесообразно закладывать механизмы моделирования угроз надежности банковской деятельности в части противодействия возможной ППД, сценарии их возможного развития, состав угрожаемых активов банка, возможные последствия реализации таких сценариев и тому подобные соображения, относящиеся к процессу УБР[43].

Эта информация может впоследствии составить основу для принятия решений при разрешении конфликтных (спорных) ситуаций, возникающих в процессе осуществления ДБО между банком и клиентами, или при проведении расследований случаев ППД. Таким образом, речь идет, по сути, о постоянном формировании и поддержании доказательной базы ДБО и обеспечении ее юридической силы – в этом заключаются две главные задачи, которые подлежат решению при организации и реализации с помощью информационных технологий (ИТ) в составе ФМ как внутрибанковского процесса и определения видов и содержания составляющих его процедур. При этом, как отмечалось выше, ФМ целесообразно организовывать как внутрибанковский процесс с заведомо более широким содержанием, нежели обычно принято определять, которое заведомо не ограничивалось бы требованиями традиционного противодействия ОД и ФТ (ПОД/ФТ), но охватывало бы всю возможную ППД, с которой в перспективе могут столкнуться банки и их клиенты ДБО. Тем самым можно будет устранить и неоднородности в распределении соответствующих функциональных ролей между такими структурными подразделениями банков, как службы ИТ, внутреннего контроля (ВК), ФМ, безопасности (информационной или экономической), подразделениями, ответственными за работу с клиентами и т. д.

Со времени первой публикации по рассматриваемой тематике банковских рисков, связанных с ДБО[44], прошло уже немало времени, и количество публикаций по данной тематике постоянно увеличивается (что свидетельствует одновременно о «разрастании» рассматриваемой проблемной области). Однако угроз надежности банковской деятельности не только не стало меньше, но они стали, так сказать, еще более изощренными, а их реализация даже только в плане ППД в киберпространстве ИКБД по-прежнему обусловливается прежде всего такими факторами, как:

– новизна технологических и технических достижений в области ДБО (которые могут оказаться связаны с новыми компонентами таких банковских рисков, как операционный, правовой, репутационный[45], ликвидности (неплатежеспособности), стратегический, а в некоторых случаях и страновой);

– сложность анализа связанных с разновидностями ДБО потенциальных угроз, преобразующихся в компоненты банковских рисков (в том числе комплексного анализа, охватывающего все «виртуальные ворота», которые неизбежно «открывает» банк, переходящий к ДБО);

– недостаточная компьютерная (как, впрочем, и финансовая, и правовая) грамотность подавляющего количества клиентов, которые охотно переходят от традиционного банковского обслуживания на ТЭБ и пользуются соответствующими СЭБ, которые реализуют такие технологии.


Эти и другие, менее очевидные, причины для существенного расширения возможностей осуществления в банках противодействия возможной ППД в условиях применения ТЭБ будут более детально рассмотрены ниже.

Можно отметить также, что на фоне все большего усложнения компьютерных технологий, ориентированных на внеофисное обслуживание клиентов банков, и, соответственно, необходимого для этого банковского АПО, то же самое происходит и с криминальной деятельностью, поскольку преступные сообщества охотно и быстро «осваивают» новые электронные банковские технологии и используют их для создания новых вариантов ППД в киберпространстве. Одним из наиболее типичных примеров в последние годы стало использование в противоправных целях вариантов мобильного банкинга, которые приходят на смену традиционному «телефонному» банковскому обслуживанию. Вследствие этого вместе с новыми достижениями в направлениях применения этих технологий развивается и существенно усложняется сопутствующая рассматриваемой проблематике область расследования компьютерных преступлений (о чем еще будет говориться в подразделе 3.3). В современном мире эти факты целесообразно учитывать руководству высокотехнологичных банков в рамках организации противодействия возможной ППД, а теперь, в первую очередь, при внедрении и развитии ДБО.

Основной акцент при этом целесообразно делать на тех новых специализированных процедурах, которые позволяли бы эффективно учитывать во внутрибанковских процессах управления и контроля, во-первых, факт удаленности клиентов при ДБО, во-вторых, специфику виртуального пространства, через которое оно осуществляется, в-третьих, особенности функционирования так называемых открытых систем. Здесь, прежде всего, целесообразно рассмотреть организацию ПОД/ФТ, осуществляемого в связи с реализацией процессов ВК и ФМ, поскольку эти задачи имеют достаточно проработанную правовую основу (имея в виду такие основополагающие акты, как Федеральные законы «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – 115-ФЗ) и «О Центральном банке Российской Федерации (Банке России)») и сопутствующие подзаконные акты[46].

Как свидетельствуют материалы финансовых разведок, в том числе России, различных международных организаций, в частности ФАТФ, практически все финансовые преступления совершаются посредством проведения операций в платежных системах, в том числе трансграничных. При этом чем лучше их параметры (скорость, надежность функционирования), тем выше, при недостаточных мерах противодействия ППД, их уязвимость с точки зрения возможностей ОД и ФТ. В связи со сказанным из числа известных 40 рекомендаций ФАТФ две непосредственно связаны с использованием технологических нововведений (таких как ТЭБ), а именно Рекомендации 15 и 16[47]:

15. Новые технологии

Странам и финансовым учреждениям необходимо определять и оценивать риски отмывания денег или финансирования терроризма, которые могут возникнуть в связи с а) разработкой новых продуктов и новой деловой практики, включая механизмы передачи, и б) использованием новых или развивающихся технологий как для новых, так и для уже существующих продуктов. В случае финансовых учреждений такая оценка риска должна проводиться до запуска новых продуктов, деловой практики или использования новых или развивающихся технологий. Им также следует принимать соответствующие меры для контроля и снижения этих рисков.


16. Электронные переводы средств

Странам необходимо обеспечить включение финансовыми учреждениями требуемой и точной информации об отправителе и требуемой информации о получателе в электронный перевод и сопровождающие сообщения и то, чтобы эта информация сопровождала электронный перевод или передаваемое сообщение по всей цепочке платежа.

Странам необходимо обеспечить, чтобы финансовые учреждения осуществляли мониторинг электронных переводов в целях выявления тех из них, по которым отсутствует требуемая информация об отправителе и (или) получателе, и принимали соответствующие меры.

Странам необходимо обеспечить, чтобы при обработке электронных переводов финансовые учреждения предпринимали действия по замораживанию. Они должны также запрещать проведение операций с установленными лицами и организациями в соответствии с обязательствами, которые определены в соответствующих резолюциях Совета безопасности ООН…

При этом ФАТФ акцентирует внимание на том, что при осуществлении ФМ и реализации процедур ПОД/ФТ следует переходить от анализа отдельных финансовых операций клиентов банков к анализу их хозяйственно-экономической деятельности. Однако, это, конечно, гораздо проще сказать, чем сделать.

Аналогичной позиции придерживается и Базельский комитет по банковскому надзору (БКБН), который в одной из своих публикаций, посвященных так называемому электронному трансферу денежных средств в части «скрытых» или «прикрытых» платежей[48], отмечает:

При выполнении трансграничных банковских операций помимо банка источника ордера (originator) и банка бенефициара в процесс передачи и обработки банковских данных могут вовлекаться другие банки, выполняющие функции посредников…

…Кредитным организациям, играющим роль таких посредников, независимо от их юрисдикции, следует соблюдать требования, предъявляемые к основным участникам трансграничных банковских операций (источнику и бенефициару), включая определения, содержащиеся в «Специальных Рекомендациях VII» ФАТФ (SR VII), особенно в условиях, снижающих прозрачность (transparency) выполняемых операций (например, через S. W. I. F. Т.)».

Также подчеркивается:

Недостаток информации об источниках и бенефициарах переводов денежных средств может препятствовать банку-посреднику точно оценить риски, ассоциируемые с корреспондентскими и клиринговыми операциями. Такой банк не сможет сопоставить данные с признаками, требующими блокировать или задержать операции либо «заморозить» активы ее участников. <…>

…Повышение прозрачности платежных операций зависит не только от стандартов передачи данных, но и от рабочих процедур банков, вовлекаемых в их обработку, от чего зависит надежность и качество функционирования платежной системы.

Одной из наиболее неприятных для банков особенностью реализации двух связанных с ДБО эффектов взаимной анонимности является то, что банки могут оказаться незаметно для себя вовлечены в ту или иную ППД, что может негативно сказаться на их отношениях и с государством, и со своими клиентами (тем самым повышаются уровни правового и репутационного рисков). Руководству этих учреждений целесообразно помнить о последствиях такого рода, поскольку, как будет показано далее, развитие ситуации при проведении расследований ППД может негативно сказаться на их имидже, а если банки действительно окажутся обоснованно обвиненными в незаконной деятельности, то это может повлечь за собой отзыв лицензии на осуществление банковских операций (что, к сожалению, давно уже не редкость).

При совершении трансферов денежных средств в электронной форме виртуальное пространство позволяет скрывать как их инициаторов, так и бенефициаров уже при самом незначительном числе агентов сетевого «финансово-информационного» взаимодействия. При типовых трехэтапных схемах ОД («размещение – расслоение – интеграция») с участием множества промежуточных (подставных) агентов, «перекачивающих» денежные средства между своими банковскими счетами, для выявления этого взаимодействия требуется наличие достаточно сложных аналитических алгоритмов, как и для обнаружения любых сомнительных операций. А поскольку схемы ОД модернизируются, то и алгоритмы ФМ должны становиться все более сложными, точно так же, как и его информационная основа и критериальная база.

В простейшем и типичном варианте на первом этапе ОД денежные средства, полученные нелегитимным путем, «вбрасываются» в финансовую систему, как правило, через специально создаваемые подставные фирмы, которые характеризуются как минимальным капиталом, так и тем, что существуют весьма непродолжительное время, после чего выполняется совокупность проводок, «не имеющих явного экономического смысла». Это переводы со счетов юридических лиц крупных денежных сумм, «распыляемых» по карточным счетам физических лиц (так называемых дропперов), с оперативным их получением или снятием через банкоматы. От банков, не желающих подпасть под подозрение в соучастии или в организации преступных финансовых схем, при этом требуется возможно более тщательное следование принципу, постоянно пропагандируемому БКБН, – «знай своего клиента» (ЗСК, за рубежом: КУС – Know Your Client). В то же время при использовании современных схем ОД и массовом ДБО это становится затруднительно, а поэтому безоглядное стремление какого-либо банка захватить значительную часть рынка ДБО вполне может оказаться необоснованным с точки зрения достаточности ресурсной базы такого банка в плане реализации необходимых (довольно сложных) процедур в составе процесса ФМ и контроля над хозяйственно-экономической деятельностью большого числа клиентов в целом (что специально отмечалось ФАТФ).