Информационная трансформация банков заставляет обратить на себя внимание киберпреступников и конечно порождает огромное количество рисков. Пока вы ждете увеличение прибыли от вашего нового цифрового канала, злоумышленники ищут брешь в ваших системах. О том, как не допустить оплошность и насколько важно оценивать риски редакции ICTNEWS.UZ рассказал Алексей Коняев, руководитель практики аналитических решений для противодействия мошенничеству, SAS Россия /СНГ.
Наиболее часто встречающиеся виды мошенничества в банке — это карточные мошенничества, мошенничества в эмиссии, эквайринге и интернет-банкинге. Все то, что сопровождает активно развивающийся бизнес. Все используют удаленные каналы и это в свою очередь порождает новые риски мошенничества и киберпреступления. Если раньше злоумышленникам для того, чтобы поживиться деньгами нужно было ограбить отделение банка, то сейчас им достаточно обзавестись определенными навыками в программировании или купить вредоносное программное обеспечение на черном рынке и использовать его для того, чтобы завладеть средствами. Проблема в том, что сейчас риски постепенно меняют курс с клиентских на банковские. Если раньше злоумышленники воровали деньги сначала со счетов физических лиц, затем юридических, то сейчас они стали ориентироваться на счета банков. Это новая проблема, с которой не все знают как бороться, потому что она глобальнее. Но все идет к тому, что эти риски будут усугубляться.
Существуют и риски внутреннего мошенничества. Как только образовались первые взаимоотношения между сотрудником и организацией, в первый же день, появляются риски внутреннего мошенничества. Они будут существовать всегда. Внутренний фрод— это не только совершение сотрудниками противоправных действий по отношению к банку или счетам его клиентов, чтобы завладеть средствами. Это еще и слив информации киберпреступникам, чтобы они могли осуществить свои планы — попасть в структуру банка. Это проблема приобретает глобальный масштаб. В результате унификации обязанностей, когда сотрудник выполняет сразу несколько функций, у одного сотрудника появляется не только больше обязанностей, но и больше возможностей для совершения преступления. За этим необходимо следить.
Еще один вид мошенничества – кредитный фрод. Определить здесь мошенника не так-то просто, ведь зачастую клиенты, не выплачивающие кредиты, просто не рассчитали свои возможности. Именно поэтому уже на этапе подачи заявки на кредит ,важно оценить не толькокредитные риски, но и определить потенциальные намерения не платить совсем. Не всегда это легко определить, но мы, используя накопленный годами опыт и определенные аналитические методы, это делаем успешно и при этом помогаем банкам прогнозировать эти риски.
В отдельный блок стоит выделить риски внедрение в структуру банка не только чтобы завладеть средствами, но и навредить бизнесу, вызывая саботаж. Это новое направление. Конкуренты заказывают DdoS-атаки друг на друга, чтобы сделать недоступными их сайты и услуги. Это касается не только банков, но и любых других организаций. Например, во время Олимпиады в Пхенчане злоумышленники взломали Wi-Fiв результате чего попадали тысячи дронов. Это новая угроза и степень применимости этих рисков к тому или иному рынку и банку зависит от того, насколько он развит и готов предложить те или иные услуги в цифровом виде. Уникальность стран СНГ заключается в том, что мы, проведя много лет в стагнации, на текущий моментмы развиваемся стремительными шагами и зачастую имеем более современные технологии, которые еще не пришли в Европу и США. Это связано с тем, что мы начинаем строительство наших цифровых процессов с нуля, сразу используя все самое современное, а для Европейских стран такой переход является более болезненным, т.к. для них это означает перестраивание уже годами устоявшихся процессов и систем. В этой связи, многие риски, которые были применимы для европейских стран, нам не подходят. А те риски, которые мы испытываем в России, только со временем придут в Европу.
На что обратить внимание?
Зачастую при запуске новых продуктов в банке не учитываются потенциальные последствия от запуска того или иного сервиса. Если не продумывать изначально все эти моменты, то они они могут рано или поздно оказать критичный эффект на бизнес банка вплоть до его закрытия. Например, если мы решим перевести какой-то сервис исключительно в цифровой формат не предусмотрев вопросы обеспечения информационной безопасности, отказоустойчивости инепрерывности бизнеса, то это может привести к тому, чтокомпрометация такого продукта может сделать его недоступным для всех клиентов банка. Это приведет не только к потере денег, но и оттоку клиентов, падении репутации и в итоге банк просто может разориться. Такие риски нужно учитывать на самой ранней стадии запуска продукта.Как правило, за это должна отвечать служба,которая будет контролировать операционные риски. К сожалению, бизнес зачастую рассматривает такой контроль в негативном свете, как ограничения, которые будут тормозить развитие. Но необходимо найти баланс между рисками и бизнесом. В противном случае пострадают все.
Бизнес зачатую халатно относиться к оценке рисков той или иной услуги. Бизнес аргументирует это тем, что везде это отлично работает. Но они видят лишь то, что лежит на поверхности и не видят то, как работают бизнес-процессыв той или иной организации. Даже если взять два банка в одной стране, с примерно равной клиентской базой, с одинаковыми продуктами, в которых примерно одинаковые сегменты клиентов, то процессы внутри банка будут все равно очень сильно отличаться. И надо помнить, что в каждом банке есть своя брешь, которую можно прорвать: где-то есть уязвимости с точки зрения доступа сотрудников к счетам, где-то слабо выстроена IT-защита, где-то неправильно построены бизнес-процессы, отсутствует контроль. Поэтому необходимо вовлекать службы по оценке операционных и информационныхрисков в каждый проект.. Если на ранних этапах не уделять должное внимание оценке рисков, то в результате нам придется иметь дело с негативными последствиями, которые обойдутся значительно дороже.
Кроме того, должна быть выстроена претензионная работа и работа по реагированию на инциденты фрода или информационной безопасности в случае их возникновения. Не должно произойти так, что кража средств или внедрение в инфраструктуру банка стала для кого-то новостью и он не знает, что нужно делать в этом случае. Это как с пожарной сигнализацией. Мы регулярно проводим учения для того, чтобы знать, что делать в случае пожара, которого может никогда и не случиться. Для этого на стенах развешиваются план эвакуации, проводятся мероприятия по повышению осведомленности персонала о том, что делать в критичной ситуации и т.д.. Здесь тоже самое. Должен существовать как план реагирования, так и люди, ответственные за это. Также должны быть разработаны и долгосрочные шаги по изменению бизнес-процессов и систем в случае выявления в них критичных уязвимостей. Внутри организации должно существовать не только подразделение, , которое сможет инициировать эти изменения и отследить их внедрение, но и регламентные процедуры, четко их описывающие, а реализация таких мер должна быть на контроле у Правления банка. Это практика, без которой не может существовать ни один современный банк. Вопрос только в том, насколько хорошо проработаны эти процессы внутри. В России и, например, в Казахстане эти процессы активно развиваются. В ближайшее время такие же процессы ожидаются и в Узбекистане.
Вопрос управления рисками — это вопрос коллаборации различных подразделений: бизнес, риски, информационная безопасность и IT. И они должны работать вместе как часы.