Л. В. Лямин

Применение технологий электронного банкинга: риск-ориентированный подход


Скачать книгу

давно с российской кредитной организацией, в свое время являвшейся одним из лидеров ДБО: после того как в какой-то момент времени к ее системам электронного банкинга одновременно подключились около тысячи клиентов, направляемые ими ордера вызвали перегрузку производственных мощностей и организация была вынуждена остановить ДБО. Следствием этого, также непредвиденным, стало массовое обращение клиентов в ее сервис-центр, который не был рассчитан на такую нагрузку, так что получить объяснения относительно прерываний в обслуживании большинству клиентов оказалось невозможно. Этой кредитной организации пришлось в авральном порядке несколько дней заниматься техническим перевооружением, чтобы избежать реализации правового и репутационного рисков, но компоненты стратегического риска уже реализовались в незапланированных расходах на осуществление технической реорганизации. Всего этого можно было бы избежать, если бы в организации были бы заблаговременно приняты организационно-технические меры по оперативному (или, если не в режиме реального времени, то регламентному) контролю производительности банковских автоматизированных систем и приведению ее в соответствие с потребностями клиентов ДБО.

      Аналогичная ситуация, но связанная уже с компонентами правового риска, возможна, если функциональные характеристики СЭБ и поддерживающей ее БАС недостаточны для гарантированного обеспечения информационной безопасности. При этом просчеты нередки не только из-за того, что имеются неконтролируемые информационные сечения между теми или иными системами и подсистемами в кредитной организации или в ИКБД, но часто из-за того, что не прогнозировались ошибки, допускаемые клиентами.

      Руководству кредитной организации, принимая решение о переходе к ДБО через открытые системы (в том числе – через Интернет), целесообразно, по сути, провести некоторые специализированные исследования, в том числе в части оценки зависимости этой организации от «третьих лиц», присутствующих в ИКБД, прежде всего от провайдеров разного рода. Организация отношений с ними также может относиться к стратегическим решениям, так как известно, скажем, немало примеров сетевых атак, ориентированных на финансовые учреждения, но осуществлявшихся через компьютерные системы других компаний. Такая атака типа «распределенный отказ в обслуживании»[49] имела место и в отношении уже упоминавшейся кредитной организации, причем обращение ее специалистов к провайдерам с просьбой помочь парировать ложный трафик нашли отклик далеко не у всех таких компаний. Те, кто отказался помочь, ссылались на контрактные обязательства, которые касались только обеспечения конкретных каналов (линий) связи, их пропускной способности, поддержки серверов и т.п., но не содействия в организации сетевой защиты и участия в ней. В итоге этой кредитной организации пришлось пересматривать, а точнее, строить заново свою «политику отношений» с провайдерами. Кстати, это до настоящего времени