Организация и перспективы дистанционного банковского обслуживания юридических лиц (на примере российского банка)
Глава 1. Современные информационные технологии в сфере дистанционного банковского обслуживания
1.1 Понятие, сущность и основные характеристики дистанционного банковского обслуживания
1.2 Нормативная база и основные риски дистанционного банковского обслуживания
1.3 Анализ тенденций развития банковских услуг по дистанционному обслуживанию в России
Глава 2. Современные системы дистанционного банковского обслуживания юридических лиц
2.1 Особенности использования системы "Банк-Клиент"
2.3 Преимущества и недостатки системы "Телефон-Банк"
3.1 Автоматизированная система "Интернет-Банк"
3.2 Перспективы развития дистанционного банковского обслуживания на примере ТУСАРБАНК ЗАО
Заключение
ВведениеВ начале 21 века российские банки показывают стабильный рост доходов, клиентуры, конкуренции и разнообразия оказываемых услуг. Это связано с ростом экономики России в целом - в основном по причине интенсивных экспортных операций.
Повышенная конкуренция и потенциально высокие доходы - это достаточные причины для дальнейшего распространения в регионы в виде создания множества филиалов и отделений. С развитием технических достижений и технологий конкуренция в банковской среде приобретает специфический оттенок: создаются новые рыночные ниши и новые способы воздействия на целевую аудиторию; те банки, которые смогут первыми занять эти ниши или создать новые, имеют большие шансы на успех.
Целью исследования в дипломной работе является выявление особенностей и перспектив дистанционного обслуживания юридических лиц, разработка предложений по развитию и совершенствованию каналов удаленного доступа к банковским услугам в российских условиях.
Достижению поставленных целей способствует решение следующих задач:
· исследовать современное понятие и сущность дистанционного банковского обслуживания юридических лиц;
· обобщить и систематизировать опыт оказания удаленных услуг организациям за рубежом и в России;
· раскрыть существующие каналы удаленного доступа к банковским услугам и их особенности;
· выявить особенности правового регулирования данного сегмента банковской деятельности;
· проанализировать преимущества, выявить тенденции и особенности, оценить перспективы развития дистанционного банковского обслуживания в современной России.
Предметом исследования дипломной работы являются различные формы дистанционного банковского обслуживания, предлагаемые банками клиентам - юридическим лицам.
Объектом исследования выступают российские и иные банковские кредитные организации, которые предоставляют организациям дистанционное управление их собственными счетами в режиме реального времени.
Дипломная работа выполнена при исследовании теоретических и практических разработок отечественных экономистов, изучении законодательных актов Российской Федерации и программ дистанционного обслуживания российских банков.
Глава 1. Современные информационные технологии в сфере дистанционного банковского обслуживания1.1 Понятие, сущность и основные характеристики дистанционного банковского обслуживания
В условиях обострения конкуренции между крупнейшими участниками рынка корпоративных финансовых услуг необходимо применять новые способы формирования конкурентных преимуществ и повышения эффективности деятельности банка.
Одним из важных факторов успеха российских банков в стратегическом периоде является их способность управлять издержками и возможность снижать их за счет внедрения новых технологий и методов обслуживания клиентов. Наиболее эффективными технологиями, которыми могут воспользоваться банки в конкурентной борьбе, являются внедрение различных форм дистанционного обслуживания юридических лиц (ДБО).
ДБО позволяет кредитным организациям, используя различные каналы взаимодействия с клиентами, предоставлять им не только традиционные банковские услуги, реализуемые в любом отделении банка, но и новые продукты, которые дают возможность на совершенно ином уровне качества удовлетворять потребности клиентов.
Понятие "дистанционное банковское обслуживание" несколько шире и включает в себя обслуживание как населения, так и юридических лиц, причем не только "на дому", но и в любом удаленном от банковского офиса месте, где имеется соответствующий канал связи.
В основе ДБО лежит принцип обмена информацией между банком и клиентом с обеспечением должного уровня безопасности и конфиденциальности. Клиентам предоставляется возможность получать информацию о состоянии своих счетов и управлять ими, не прибегая к традиционным визитам в банк, а используя имеющиеся у них под рукой средства телекоммуникации. В наш век бурного развития информационных технологий, глобализации рынков и повышенной тяги потребителей к комфорту предоставление банком своим клиентам таких услуг становится непременным условием сохранения конкурентоспособности банка.
С понятием "дистанционное банковское обслуживание" тесно связаны также термины "е-bank" (электронный банк) и "виртуальный банк". Под электронным, или виртуальным, банком обычно понимают банк, не имеющий традиционного офиса, а обслуживающий клиентов посредством телефона, Интернета и, при необходимости, почты. Если услуги по дистанционному совершению определенных банковских операций может предоставлять любой банк наряду с традиционным обслуживанием клиентов в своих офисах, то виртуальный банк, как правило, специализируется именно на обслуживании удаленных клиентов, не тратя деньги на строительство и содержание клиентских помещений.
При этом виртуальный банк предоставляет своим клиентам практически полный набор услуг, оказываемых обычными универсальными банками. Единственный вид услуг, которые не могут самостоятельно оказываться виртуальным банком - это кассовое обслуживание. Для выдачи наличных своим клиентам виртуальные банки используют сеть банкоматов и терминалов, принадлежащих другим банкам или, например, банковскому консорциуму, в который входит данный виртуальный банк. В услугах по сдаче наличных клиенты виртуальных банков обычно не нуждаются, а при необходимости используют для зачисления наличных на свои банковские счета другие банки, имеющие широкую сеть отделений.
Широкое внедрение систем ДБО началось за рубежом уже с начала 80-х годов, а в отдельных банках и еще ранее. Эволюция систем ДБО основывалась на развитии средств телекоммуникации и банковских компьютерных технологий. Вначале возникли системы предоставления банковских услуг по телефону и по модему, а в настоящее время наблюдается бум в развитии систем банковского обслуживания через Интернет. К модификациям ДБО можно отнести предоставление банковских услуг с использованием телефаксов, пейджеров, сотовых телефонов и видеотелефонов. За рубежом уже имеются системы банковского обслуживания посредством интерактивного телевидения. А корпорацией "Citi Corp" разработан домашний банковский терминал, оказывающий широкий спектр банковских услуг, в том числе выдачу кредитов. Он напоминает большой телефонный аппарат с экраном и клавиатурой и способен заменить персональный компьютер.
Первые дистанционные банки появились в Великобритании. В 1989 г. Midland Bank учредил First Direct, который начал осуществлять текущие банковские операции в режиме дистанционного банка. В настоящее время First Direct является бесспорным лидером на рынке дистанционных банковских услуг в Европе, обслуживая свыше 500 тыс. клиентов.
Во всех западных странах универсальные банки развивают дистанционные системы обслуживания. Так, во Франции первым дистанционным банком стал созданный в 1987 г. банк Cortal. В 1994 г. группа Paribas учредила дистанционный банк Banque Directe по образцу First Direct. Позднее появилось еще несколько дистанционных банков - Credit du Nord, Cetelem, UCB, Cardif и др. Но все же во Франции система дистанционных банков менее развита, чем в Великобритании. Так, ведущий французский дистанционный банк Cortal имеет всего 25 тыс. клиентов.
В США в настоящее время зарегистрировано около 100 Интернет-банков, занимающихся исключительно дистанционным обслуживанием. Большинство виртуальных банков довольно мелкие и уступают крупным банкам по масштабам как обычного, так и электронного банковского бизнеса. Основной движущей силой развития виртуальных банков является значительное снижение себестоимости банковских услуг. По оценкам экспертов, в США себестоимость операции по обработке одного чека снижается с 2 долл. при приеме через кассу банка до 0,7 долл. при передаче данных по закрытой сети, до 0,2 долл. при использовании телефона и до 0,05 долл. при осуществлении данной операции через Интернет.
В нашей стране настоящих виртуальных банков пока нет, хотя такие проекты существуют. Среди систем ДБО наибольшее распространение в России получили системы с использованием компьютера, модема и телефонной линии, известные как системы "клиент - банк". Подобный сервис предоставляют своим клиентам - юридическим лицам практически все российские коммерческие банки, за исключением ряда мелких провинциальных банков.
В последние годы ведущие столичные и наиболее крупные региональные банки внедряют также системы телефонного банкинга, Интернет-банкинга и пейджер-банкинга, начинают внедряться системы home banking для населения. Далее рассмотрим подробнее различные формы дистанционного банковского обслуживания, применяемые российскими банками.
Дистанционное банковское обслуживание (ДБО) - общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей. Для описания технологий ДБО используются различные в ряде случаев пересекающиеся по значению термины: Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронный банк, Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, GSM-banking, TV-banking.
Рассмотрим понятия Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронный банк, Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, GSM-banking, TV-banking с точки зрения общепринятого понимания:
"Банк-клиент" - общее название программного обеспечения, организующего удалённое банковское обслуживание и автоматизирующее документооборот между банками и их клиентами. Иначе говоря, банк-клиент обеспечивает клиенту удалённое управление (без личного визита в банк) своим расчётным счетом, например, включает в себя возможность отправления платежей и просмотр выписок по счету. К этому определению обычно относят также direct banking, home banking, Электронный банк. На самом деле это понятие несколько сложнее, далее оно будет изложено в более грамотной трактовке, которая используется специалистами, задействованными в процессе создания, установки и настройки систем дистанционного банковского обслуживания.
"Интернет-Клиент для юридических лиц" - это система, которая позволяет клиентам банка дистанционно осуществлять все виды платежных операций по своему счету, а также оперативно получать информацию, необходимую для взаимодействия с банком. Работать с системой можно из любой точки мира - достаточно иметь лишь доступ в Интернет. Очень часто понятия "Банк-Клиент", "Клиент-банк" и "Интернет-Клиент" воспринимаются населением как идентичные, содержащие одну и ту же смысловую нагрузку.
"Телефонный банкинг" - банковский сервис, основанный на использовании возможностей телефонов с тональным набором номера для получения интересующей информации и осуществления желаемых операций.
Далее рассмотрим эти понятия с точки зрения специалистов, занимающихся настройкой и сопровождением систем дистанционного банковского обслуживания.
Системы "Клиент-Банк" (PC-banking, remote banking, direct banking, home banking) - системы, доступ к которым осуществляется через персональный компьютер. Банк при этом предоставляет клиенту техническую и методическую поддержку при установке системы, начальное обучение персонала клиента, обновление программного обеспечения и сопровождение клиента в процессе дальнейшей работы. Системы "Клиент-Банк" обеспечивают полноценное расчетное и депозитарное обслуживание и ведение рублёвых и валютных счетов с удалённого рабочего места.
Системы "Клиент-Банк" позволяют создавать и отправлять в банк платёжные документы любых типов, а также получать из банка выписки по счетам (информацию о движениях на счёте). В целях безопасности в системах "Клиент-Банк" используются различные системы шифрования. Использование систем "Клиент-Банк" для обслуживания юридических лиц до сих пор является одной из наиболее популярных технологий ДБО в России. Системы "Клиент-Банк" принципиально подразделяются на 2 типа (толстый клиент и тонкий клиент):
Системы "Банк-клиент" ("толстый клиент",PC-banking, remote banking, direct banking, home banking) - классический тип системы Банк-Клиент. На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется Dial-Up соединение через модем или прямое соединение с Интернетом.
Интернет-Клиент (тонкий клиент) (On-line banking, Интернет-банкинг (Internet banking), WEB-banking) - пользователь входит в систему через Интернет браузер. Система Интернет-Клиент размещается на сайте банка. Все данные пользователя (платёжные документы и выписки по счетам) хранятся на сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств - PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций (Выписка On-Line).
На основе сравнения вышеизложенных определений можно сделать выводы о том, что техническая грамотность населения по вопросам дистанционного банковского обслуживания еще не достигла приемлемой величины и есть смысл её повысить. С другой стороны, для этого необходимо задействовать дополнительные ресурсы как со стороны банков (дополнительный персонал, время и деньги на обучение), так и со стороны клиентов (дополнительное время, которое в конечном итоге также отражается на финансовом благополучии), тогда как очевидной выгоды эти знания не принесут.
Руководствуясь этими соображениями, большинство решает не тратить на изучение этого вопроса лишнего времени и оперировать терминами, почерпнутыми из неспециализированных источников, увеличивая при этом риск возможного недопонимания и, как следствие, ошибок при использовании систем ДБО, что приводит к дополнительным затратам по времени на распознавание и выяснение причин неполадок как со стороны клиента, так и со стороны банка.
В этих случаях возможно также появление технических рисков (неправильно установленное программное обеспечение может стать источником ошибок при заполнении и передаче платежных документов и др.), а также рисков безопасности (при неполной/некорректной установке система ДБО может быть использована злоумышленниками).
1.2 Нормативная база и основные риски дистанционного банковского обслуживанияУслуги по ДБО регулируются следующими положениями Банка России:
· Положение от 26.03.2007 г. № 302-П "О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ"
· Положение от 03.10.2002 г. № 2-П "О безналичных расчетах в РФ".
· Положения от 24.04.2008 г. № 318-П "О порядке ведения кассовых операций в кредитных организациях на территории РФ" (п.2.8 "Организация работы с денежной наличностью при использовании банкоматов, электронных кассиров, автоматических сейфов и других программно-технических комплексов");
· Положения от 23.06.1998 г. № 36-П "О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России";
· Положения от 12.03.1998 г. № 20-П "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России".
· Временное положение от 10.02.1998 г. № 17-П "О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями"
Кроме того, необходимо учитывать требования:
· Федерального закона от 10.01.2002 г. № 1-ФЗ "Об электронной цифровой подписи";
· Стандарта Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации;
· Письма Банка России от 03.04.2004 № 16-Т "О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет"
· Письма Банка России от 07.12.2007 № 197-Т "О рисках при дистанционном банковском обслуживании"
· Письма Банка России от 31.03.2008 № 36-Т "О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга"
· Письма Банка России от 30.01.2009 № 11-Т "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга"
В законодательстве прописываются следующие понятия:
владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Электронная цифровая подпись (ЭЦП) - вид аналога собственноручной подписи, являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов (далее - ЭД). ЭЦП позволяет подтвердить ее принадлежность зарегистрированному владельцу. ЭЦП является неотъемлемой частью ЭД (пакета ЭД).
Также ЭЦП можно определить как реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
Владелец ЭЦП - УБР, ВЦ, кредитная организация (филиал) или другой клиент Банка России, ЭЦП которого зарегистрирована в порядке, установленном договором между Банком России и его клиентом.
Электронный платежный документ (ЭПД) - документ, являющийся основанием для совершения операций по счетам кредитных организаций (филиалов) и других клиентов Банка России, открытым в учреждениях Банка России, подписанный (защищенный) ЭЦП и имеющий равную юридическую силу с расчетными документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати.
Электронный служебно-информационный документ (ЭСИД) - документ, подписанный (защищенный) ЭЦП и обеспечивающий обмен информацией при совершении расчетов и проведении операций по счетам, открытым в учреждениях Банка России (запросы, отчеты, выписки из счетов, документы, связанные с предоставлением кредитов Банка России, и т.п.).
Пакет электронных документов - один или более ЭПД и / или ЭСИД, подписанных ЭЦП, при этом каждый ЭПД и / или ЭСИД в составе пакета не подписывается ЭЦП.
дистанционное банковское обслуживание россия
Подлинность ЭД (пакета ЭД) - положительный результат проверки ЭЦП зарегистрированного владельца, позволяющий установить факт неизменности содержания ЭД (пакета ЭД), включая все его реквизиты.
Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Центр сертификации - это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:
· серийный номер сертификата;
· объектный идентификатор алгоритма электронной подписи;
· имя удостоверяющего центра;
· срок годности;
· имя владельца сертификата (имя пользователя, которому принадлежит сертификат;
· открытые ключи владельца сертификата (ключей может быть несколько);
· объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
· электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Таким образом, корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом аккредитованный центр получает "техническое право" работы и наследует "доверие" от организации выполнившей аккредитацию.
Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией проводящей аккредитацию в своих интересах и в соответствии со своими правилами.
Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации выполняющей аккредитацию.
Центр сертификации ключей имеет право:
· предоставлять услуги по удостоверению сертификатов электронной цифровой подписи;
· обслуживать сертификаты открытых ключей;
· получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.
В настоящее время существует большое количество российских удостоверяющих центров, вот некоторые из них:
· Удостоверяющий Центр ФГУП НИИ "Восход"
· Удостоверяющий Центр ЗАО "ПФ "СКБ Контур"
· Удостоверяющий Центр ЗАО "Орбита" (Краснодар)
· Удостоверяющий Центр DIP
· ООО Межрегиональный Удостоверяющий Центр
· НП "Национальный Удостоверяющий центр"
· ООО ПНК
· ЗАО Удостоверяющий Центр Ekey.ru (Москва)
· ЗАО Удостоверяющий Центр (Санкт-Петербург)
· Удостоверяющий центр Информационно-аналитического центра Санкт-Петербурга (Санкт-Петербург)
За рубежом также существует масса таких учреждений, ниже перечислены самые популярные и имеющие рейтинг "4 stars" и более
· DigiCert,
· SwissSign,
· StartCom,
· Entrust,
· Trustwave.
В соответствии с письмом от 30.08.2006 №115-Т "Об исполнении ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая Интернет-банкинг)" Банк России обязал финансовые институты при оказании таких услуг идентифицировать не только владельца счета, но и других лиц, которые будут пользоваться этим счетом.
При этом ответственность банка по данным вопросам регламентирована крайне жестко. Нарушение требований закона может повлечь применение к Банку ответственности, предусмотренной ФЗ от 10.07.2002 года №86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (рекомендуемые меры воздействия предусмотрены Письмом Банка России от 13.07.2005 года №98-Т "О методических рекомендациях по применению Инструкции Банка России от 31.03.1997 № 59 "О применении к кредитным организациям мер воздействия при нарушениях кредитными организациями нормативных правовых актов в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма").
В условиях кризиса обостряется битва за клиента в любой сфере бизнеса. И кредитно-финансовые организации здесь не исключение. Жесткая конкуренция приводит к необходимости улучшать обслуживание клиентов путём ввода новых видов услуг. Одним из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание, осуществляемое через сеть Интернет. Возможность полного управления своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало и будет привлекать клиентов.
Однако наряду с удобствами, которые получает клиент, осуществление ДБО через Интернет становится причиной возникновения угроз нового типа. С одной стороны это связано с тем, что существенно возрастает доля рисков (угроз), контролировать которые силами финансовой организации практически невозможно, с другой стороны не меньшую долю рисков (угроз) приносят вопросы организации ДБО.
Основными направлениями распределения рисков в области безопасности для систем ДБО являются:
вопросы организации эксплуатации систем ДБО;
клиенты, обслуживаемые через Интернет;
каналы связи, используемые для транзакций;
глобальная сеть Интернет.
Внедрение систем ДБО подразумевает вовлечение в процесс специалистов различных областей знаний финансовых специалистов, специалистов информатизации, информационной безопасности, юристов и др. Отсутствие четко организованного и регламентированного взаимодействия между различными подразделениями кредитной организации может привести к возникновению уязвимостей, которыми не преминут воспользоваться нарушители. Практика показывает, что реализация угроз с использованием имеющихся "слабых мест" в системах ДБО приводит к весьма существенным финансовым потерям и (или) ослаблению конкурентных преимуществ со стороны кредитной организации.
Анализ инцидентов, происходящих в системах ДБО, позволяет разделить потенциальных нарушителей на внешних по отношению к системе ДБО - то есть клиентов (как авторизованных, так и нет, то есть хакеров или преступников) и внутренних - из числа сотрудников банка.
Важно понимать, что информация, циркулирующая внутри систем ДБО, фактически эквивалента реальным деньгам, а значит создать условия, при которых угроза несанкционированного использования этой информации будет полностью исключена невозможно. Иными словами, всегда найдётся тот, кто захочет завладеть этой информацией. А значит, её нужно защищать.
Правила работы в системах ДБО не являются конфиденциальной информацией и любой желающий может получить к ним доступ. Единственной защитой клиента от злонамеренных действий является его идентификационная информация (логин, пароли, криптоключи). Именно за этой информацией идёт охота. В большинстве случаев нарушителю достаточно украсть идентификационную информацию клиента системы, чтобы получить полный доступ к его счёту. Возможностей совершить такую кражу более чем достаточно. Например, с помощью "хакерских" инструментов, свободно распространяемых в Интернет.
На сегодняшний день, в сети предлагается широкий ассортимент всевозможных программ для перехвата пароля с помощью троянов, keylogger’ов (программ, считывающих вводимую с клавиатуры информацию) - "шпионов", которые незаметно для клиента "подсаживаются" на его компьютер и "ждут" указаний от своего создателя (или мастер - машины) для выполнения какой-либо "полезной нагрузки". Причем хозяин компьютера может в течение весьма длительного срока не подозревать о наличии вредоносного кода на своём ПК ведь даже "активация" такого "шпиона" не всегда приводит к его обнаружению. Это связано с тем, что вместе со "шпионом" "в комплекте" идёт также руткит-технология, позволяющая скрыть следы активности вредоносного кода на ПК жертвы.
Бороться с вредоносными программами и "шпионами" на их нынешнем уровне развития с помощью устаревших технологий сигнатурного анализа, используя для этого мощности компьютера конечного пользователя (что, естественно, связано с замедлением его работы), весьма неэффективно, да и уже практически невозможно. Объясняется это тем, что код "шпионов" и им подобных, как правило, вовсе не является вредоносным для операционной системы компьютера, а их быстрая мутация ставит под сомнение возможность сигнатурного анализа. Наиболее адекватным решением на сегодняшний день видится совместное использование технологий контентной фильтрации и сигнатурного анализа при помощи комплексного шлюзового решения, установленного "на входе" в корпоративную сеть или же, что еще более правильно, используемого в сети провайдера, предоставляющего доступ в Интернет. Такое решение позволяет блокировать любой неразрешенный трафик, генерируемый "шпионом" с персональных компьютеров сети организации, предоставляет средства антивирусной защиты, web-фильтрации и защиты от спама, предотвращает утечку конфиденциальных сведений, и, наконец, позволяет регулировать время пребывания пользователей в сети Интернет и блокировать их доступ к неразрешенным ресурсам.
Сегодня кража паролей и криптоключей с незащищённых носителей являются обыденным явлением. Но, к сожалению, столь же обыденным можно назвать стремление некоторых банков экономить на системах безопасности. А ведь такая экономия зачастую приводит к многомиллионным потерям и далеко не всегда это потери исключительно клиента. Применение устаревших технологий, таких как организация доступа по "логину" и паролю, использование ключевых носителей не способных защитить от кражи хранящуюся на них информацию, рост "фишинговых" атак в значительной степени повышают риск несанкционированного доступа к системам ДБО.
С другой стороны, часто используемые механизмы защиты не могут обеспечить юридическую значимость совершаемых клиентом действий в системе. А этот вопрос в последнее время приобретает всё более важное значение. Как показывает судебная практика, доказать факт кражи у клиента его идентификационной информации не всегда представляется возможным, а вот то, что пароль был известен сотрудникам банка, доказывается легко. Суды зачастую встают на сторону клиента, даже если в договорных обязательствах предъявляются очень высокие требования по обеспечению ими сохранности своей идентификационной информации. Объясняется это весьма просто, клиент мог не обладать необходимыми знаниями или условиями, указанными в договоре, а вот банк должен был предусмотреть адекватные меры защиты.
Этот факт уже взят на вооружение злоумышленниками. Маскируясь под добросовестных клиентов, они всё чаще начинают пользоваться недоработками кредитных организаций в технологических и юридических вопросах связанных с эксплуатацией систем ДБО для отстаивания своей "правоты" в судах. И надо отметить, что, при квалифицированном подходе, попытки эти бывают весь