Обзор подготовлен При поддержке
CNewsAnalytics Radware

Риски финансовых структур: как избежать краха?

Операционные риски представляют серьезную проблему для финансовых организаций во всем мире. Утечка информации, фальсификация данных, вирусные эпидемии чреваты для банков серьезным ущербом. Могут пострадать как их финансовые показатели, так и имидж. При этом далеко не всегда угрозу следует ждать извне.

По определению, данному в Базельском соглашении о достаточности капитала (т.н. Базель II), операционным считается риск нанесения ущерба в результате неадекватных или ошибочных внутренних процессов, действий персонала и технических систем, а также внешних событий. Необходимо заметить, что само соглашение не описывает операционные риски и не поясняет, как с ними бороться — оно предназначено для вычисления размера покрытия этих рисков капиталом банка. Также Базель II предполагает внедрение в организации эффективной системы управления операционными рисками. Учитывая, что Базельское соглашение, утвержденное летом 2004 года, планируется активно применять и в России, именно исходя из данного в нем определения, мы рассмотрим основные операционные риски современных банков и других типов финансовых структур.

Надо отметить очень интересное и важное требование, прописанное в соглашении. Совет директоров и менеджмент банка должны осуществлять надзор за механизмом управления операционными рисками. В том числе, им должна регулярно предоставляться отчетность о текущих рисках и суммах ущерба. Это требование вступает в разрез с отечественной практикой, согласно которой, руководители предприятию не желают заниматься вопросами сбоев в информационных системах, низкой квалификацией персонала и другими «мелкими» проблемами, приводящими к большим потерям. Остается надеяться, что активное внедрение Базель II в России позволит изменить мнение многих руководителей в лучшую сторону.

Типичные риски для финансов

Операционные риски в свою очередь можно условно разделить на несколько подвидов. Во-первых, риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.

Во-вторых, риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами данного риска являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.

В-третьих, риск отсутствия у руководства финансовой организации объективной и актуальной информации. Это особенно ярко проявляется в атаках «отказ в обслуживании» (Denial of Service), которые приводят к отказу и простою отдельных компонентов АБС.

В-четвертых, риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно и заведение уголовного дела по статье 273 УК РФ.

Разумеется, данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например, подмена главной страницы Web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).

«Узкие места»

К главным причинам возникновения операционных рисков можно отнести несколько. Например, недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основой бедой российского бизнеса, т.к. большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ». Второе - непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности, «спустя рукава». Третье - отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному, а зачастую и вообще отсутствию решения возникшей ситуации. Также стоит отметить отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одно «слабое звено» в системе управления рисками, и он сможет причинить ущерб банку, страховой компании или иному финансовому институту. Наконец, наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».

Тяжелые последствия

Последствия в результате перечисленных выше операционных рисков могут быть самыми разными. Внутреннее и внешнее мошенничество, умышленные, либо случайные (ввиду низкой квалификации) ошибки персонала, сбои банковских систем, нарушение процессов обработки и хранения данных и т.д. Все эти последствия приводят к прямому финансовому или косвенному ущербу.

Последние примеры (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема ущербов финансовых структур давно вышла за пределы детективов и голливудских боевиков, став реальностью наших дней. Несмотря на «молодость» многих операционных рисков, они причиняют уже не только головную боль сотрудникам служб безопасности, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions» (The World Bank, Thomas Glaessner, Tom Kellermann, Valerie McNevin, June 2002) приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур: брокерская компания — 6,5 млн. долл. в час, процессинговый центр — 2,6 млн. долл. в час, банкомат — 14,5 тыс. долл. в час, онлайн-аукцион — 70 тыс. долл. в час.

Отойдя от сухой статистики, можно вспомнить и некоторые курьезные случаи. Начиная с 1997 года и до начала 2002 года, один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около 600 миллионов долларов. Другой пример—логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 миллиардов файлов. Это произошло в марте 2002 года и повлекло за собой 3-хмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезным оказалось снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.

Собственно, помимо прямых финансовых потерь, всегда надо помнить и о косвенном ущербе. Он может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), искам со стороны пострадавших клиентов и т.п.

Внутренняя угроза

Формально источники операционных рисков могут быть как внутренними, так и внешними. Однако сегодня основную угрозу видят исходящей именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги-Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет обнаружил ряд очень интересных фактов. Так, например, большинство инцидентов совершается людьми с очень низкой технической квалификацией. Как правило, они используют не технические уязвимости, а пробелы в политике организации ИБ.

В 87% случаев злоумышленники использовали разрешенные команды и программы. В 70%—слабости в приложениях, а в 61%—дыры в сетевом оборудовании, системном ПО или аппаратуре. В 78% случаях нарушители имели учетные записи в атакуемой системе, а в 43% случаев даже действовали открыто — под своими именами. Только в 26% инцидентов была зафиксирована маскировка под других пользователей. Только 23% обнаруженных нарушителей находились на технических должностях, 17% из них имели права администратора. 39% не подозревали о реализуемых в организации мерах по информационной безопасности.

Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.). Основной мотив совершения преступления — жажда наживы (81%). 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности. В 23% случаев основным мотивом была месть, в 15%—недовольство руководством и порядками в компании. Помимо финансовой выгоды, были и другие цели. 27% хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.

Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них — женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч). 54% злоумышленников не женаты/не замужем.

В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.). И также в 61% случаев обнаружение было неавтоматизированным. Процедуры аудита и мониторинга помогли в 22%. Журналы регистрации помогли идентифицировать источник преступления в 74% случаев.

Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от 168 долларов США до 691 миллиона. 83% всех инцидентов происходили изнутри атакованной организации и в 70%—в рабочее время. В 30% случаев доступ осуществлялся из дома нарушителя. Число атак никак не зависело от размера организации. Например, число преступлений в банках с 100 и с 10000 сотрудниками было одинаковым.

Что делать?

Не касаясь подробно темы снижения операционных рисков, хотелось бы перечислить некоторые основные механизмы. Во-первых, планирование процедур управления этими рисками и в частности, управления информационной безопасностью. Во-вторых, необходим регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе, аудит безопасности). В-третьих, нужно регистрировать все осуществляемые в информационных системах действия. И наконец, обеспечивая непрерывность бизнес-процессов, необходимо гарантировать обеспечение банковской тайны. Правда, принятие новых законов в последнее время серьезно усложнило эту задачу.

Алексей Лукацкий


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS