1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;

2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от web-отношений.

В части web-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLA, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время web-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов. Из-за этого нередко качество контрактов, заключаемых с ними кредитными организациями, не выдерживает критики с позиций защиты интересов их клиентов, равно как и содержания договоров с клиентами на ДБО, которые плохо представляют себе структуру ИКБД, через которую взаимодействуют с кредитной организацией. Отсюда следует целесообразность непосредственной связи положений договорных документов кредитной организации с клиентами и содержанием ее контрактов с провайдерами. Задач, не имеющих решения, здесь практически не существует, конечно если руководство кредитной организации учитывает характер и специфику зависимости надежности банковской деятельности от построения отношений с провайдерами. К сожалению, как свидетельствует опыт изучения содержания упомянутых документов, такие связи пока еще не стали повсеместным явлением.

Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях web-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS — атаки, принятие мер по нейтрализации DDOS-атак и т. п.)…» [184]

В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее web-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети [185] . До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации web-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» web-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты» [186] , «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.

По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (web-серверов, почтовых серверов, маршрутизаторов, сетевых экранов) и т. п. Следствием принятия этого подхода может стать удорожание применения кредитной организацией технологий электронного банкинга, но вместе с тем будет повышена его надежность. В современных условиях повышение затрат на обеспечение надежности ДБО (в широком смысле) безусловно оправдано и обосновано, и чтобы оно не сказалось негативно на тарифах, кредитным организациям целесообразно в ходе адаптации своих внутрибанковских процессов позаботиться об их оптимизации, т. е. о компенсации увеличения затрат на повышение эффективности процесса УБР.

В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.

В упоминавшихся выше рекомендациях органов банковского регулирования и надзора США [187] отмечается, что предоставляемые через web-сайты, используемые кредитными организациями, функции и возможности должны быть очевидны для посетителей, равно как и источники предлагаемой информации, независимо от того, предоставляются ли они самими организациями или другими сторонами, входящими в ИКБД. Это действительно важно, поскольку практически каждый web-сайт содержит так называемые «web-связи» [188] . Под такой связью понимается некий объект на web-странице (слово, выражение или изображение), связанный с кодовой комбинацией, которая при «щелчке» по нему мышью воспроизводит на дисплее компьютера пользователя («закачивает») другой, в общем случае, программно-информационный компонент web-сайта или обращается с запросом на другой web-сайт. Web-связи представляют собой удобное и общепринятое средство в конструкции web-сайта, однако их использование может оказаться связано с отдельными компонентами банковских рисков.

Web-связи сайтов, используемых кредитными организациями, нередко ведут на web-сайты, которые этими организациями непосредственно не контролируются. Именно «неподконтрольность» web-связей может привести к возникновению упомянутых компонентов, тем более если какие-то «последствия» таких связей возникают неожиданно для кредитной организации как следствие злого умысла (к примеру воздействия-атаки хакера). Поэтому руководству кредитных организаций и специалистам прикладного уровня целесообразно иметь представление о таких факторах и источниках компонентов банковских рисков и предпринимать необходимые меры для контроля над контентом web-сайтов, которые используются в банковской деятельности.

Считается также, что наиболее значительными дополнительными компонентами характеризуются репутационный и правовой риски. Компоненты репутационного риска могут возникать, если имеют место, например:

неуверенность клиента в том, кто предоставляет продукты или услуги: конкретная кредитная организация либо связанная третья сторона;

недовольство клиента качеством продуктов или услуг, фактически получаемых от третьей стороны;

непонимание клиентом возможностей применения конкретных установленных мер защиты в отношении продуктов или услуг третьей стороны.