Последний отзыв
Книга довольно хорошо написана в виде рассказов старого человека молодому парню, основанных на событиях его реальной жизни, охватывающей период с нача...
Далее
По всем вопросам обращайтесь на: info@litportal.ru
(©) 2003-2024.
✖
Мошенничество в платежной сфере. Бизнес-энциклопедия
Автор
Год написания книги
2016
Настройки чтения
Размер шрифта
Высота строк
Поля
Как отмечает в своей оригинальной книге один известный в прошлом в США мошенник: «Важно помнить: если для людей невольно создаются условия, чтобы они воровали, они будут это делать!», вследствие чего постулируется, что «Доверие – хорошо, но контроль – лучше!»[55 - Абигнейл Ф.У. Поймай его, если сможешь, или он поймает тебя. – М.: Поколение, 2007.]. Данный автор знает, что говорит, когда заявляет в этой книге, что «Абсолютной надежности не существует» и что «Обман не прекращается никогда», – проведя за решеткой несколько лет за махинации с чеками, банкоматные мошенничества и прочую противоправную деятельность, он по освобождении открыл консультационную фирму по организации противодействию корпоративным и другим мошенничествам и написал упомянутую в ссылке книгу. В ней, помимо прочего, он приводит такие данные социологического опроса, которым были охвачены сотрудники нескольких сотен североамериканских компаний, которым задавались вопросы об их отношении к воровству:
Результаты исследований показали, что 10 % работников воровали бы все время, еще 10 % никогда не украли бы, а 80 % воровали бы, если бы у них была для этого причина. Это свидетельствует о том, что руководство компаний должно проявлять обеспокоенность о 90 % своего персонала…
По данным указанного автора:
Банки теряют в пять раз больше денег от хищения денежных средств, чем от вооруженных ограблений. Кража на рабочем месте может быть настолько пагубной для компании, ставшей ее жертвой, что почти одна треть всех банкротств приписываются присвоению чужих средств.
Остается надеяться, что столь безрадостная картина является типичной только для США…
Ситуация усугубляется тем, что в виртуальном пространстве мошенничества совершаются мгновенно и практически незаметно. При виртуальном мошенничестве обычно неизвестно наверняка, кем является злоумышленник. Его нельзя увидеть, потому что это – аноним, скрытый технологиями и автоматизированными системами. Кроме того, как отмечает тот же автор, «Для подавляющего большинства клиентов банков электронные банковские операции все еще остаются загадочными». Практика изучения жалоб клиентов российских банков подтверждает этот неутешительный вывод, поэтому помимо широко обсуждаемой потребности в повышении финансовой грамотности населения логично было бы говорить и о повышении его «технологической грамотности». Сказанное относится и к качеству соглашений о ДБО в том смысле, что в соответствующих договорах, как правило, не оговариваются упоминавшиеся выше его доказательная база и ее юридическая сила.
В настоящее время специфика условий функционирования российского банковского сектора предполагает, как отмечалось, возникновение новых источников компонентов только для следующих банковских рисков: стратегического, операционного, правового, репутационного (потери деловой репутации), ликвидности (неплатежеспособности) и, в некоторых специфических случаях, странового[56 - В зарубежной практике риск-ориентированного банковского надзора в области ДБО рассматриваются все банковские риски (хотя их полный состав варьируется в зависимости от идеологии надзора, принятой конкретным федеральным ведомством), поскольку в некоторых странах допускается более «демократичный» подход к регламентации банковской деятельности, обеспечивающей организационно-финансовые потребности бизнеса: в ряде случаев можно дистанционно открывать банковские счета, оформлять кредиты и т. п.]. Чтобы правильно определить состав источников компонентов рисков, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, в соответствии с принятой в том или ином банке методологией УБР, можно сгруппировать отдельные факторы или источники компонентов рисков по их возможному проявлению в тех или иных типичных банковских рисках, которые описываются, как правило, во внутрибанковских документах типа «Положения об управлении банковскими рискам». Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше, при переходе к применению ТЭБ.
Ниже проводится краткий анализ структуры этих банковских рисков[57 - В данном случае используется нетипичная терминология, обусловленная акцентом на возникновении новых угроз надежности банковской деятельности, проявляющихся в уровнях и профилях типичных банковских рисков.] в части свойственных применению ТЭБ и реализующих их СЭБ причинно-следственных связей их компонентов наряду с теми угрозами надежности банковской деятельности, которые привносит ДБО само по себе. Если говорить конкретно о ППД, то, трактуя понятие указанной надежности с точки зрения выполнения кредитными организациями (в широком смысле) своих обязательств перед клиентами и контролирующими органами, можно определить те компоненты типичных банковских рисков, которые непосредственно связаны с опасностью осуществления ППД[58 - В последующих определениях используется понятие «кредитная организация» более широкое, чем «банк», поскольку они касаются и небанковских организаций.]:
• для операционного риска – это потенциальные финансовые потери, обусловленные мошенническими действиями в отношении кредитной организации и (или) ее клиентов за счет перевода автоматизированных систем, применяемых ею для осуществления банковской деятельности, в нештатные (в широком смысле) режимы функционирования, из-за чего могут осуществляться противоправные действия, включая проведение несанкционированных транзакций или прямые хищения финансовых средств в электронной форме либо конфиденциальной («чувствительной») информации и пр., происходить нарушения доступности автоматизированных систем и (или) непрерывности их функционирования (включая как причины «удачные» сетевые и хакерские атаки, отказы и сбои аппаратно-программного обеспечения для прикрытия мошенничеств как самой кредитной организации, так и ее провайдеров), следствием чего окажется невыполнение кредитной организацией обязательств перед клиентами;
• для правового риска – это потенциальные финансовые потери, обусловленные невыполнением кредитной организацией требований нормативных правовых актов, регулирующих банковскую деятельность, и (или) законодательной неопределенностью дистанционного предоставления банковских услуг, а также судебными издержками/санкциями из-за невыполнения обязательств перед клиентами (включая потерю значимых данных и утечку «чувствительной» информации, нарушение банковской тайны, противоправную деятельность, которая оказывается возможной из-за недостатков аппаратно-программного или программно-информационного обеспечения банковской деятельности как самой кредитной организации, так и ее провайдеров, хищения денежных средств клиентов и т. д.), включая ситуации, в которых клиенты оказываются не способны выполнять свои обязательства перед третьими сторонами по вине кредитной организации и (или) ее провайдеров;
• для риска ликвидности (неплатежеспособности)[59 - В данном случае имеется в виду то, что традиционное понятие «ликвидность» обретает новое смысловое содержание с точки зрения выполнения банками своих финансовых обязательств.] – это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);
• для репутационного риска – это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);
• для стратегического риска – это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними – и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях – это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков – нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?
Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода[60 - Так называемого в общем случае класса вредоносного кода malicious ware или, сокращенно, malware.], с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей» [61 - Virtual Private Network – VPN.], позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).
Общая «беда», сопутствующая внедрению и применению в банках новых информационных технологий, состоит в том, что нередко такие немаловажные внутрибанковские процессы, какУБР, информатизация банковской деятельности, ОИБ, ВК, ФМ и работа других, как считается, «не зарабатывающих» подразделений кредитной организации, вообще финансируются по «остаточному принципу». При этом наблюдаются и такие нежелательные варианты «экономии» на дорогостоящих специалистах, что, как отмечалось, ведет к образованию чрезмерной концентрации полномочий в руках отдельных должностных лиц или к невозможности надежного выполнения довольно «тонких» функций в части ОИБ, таких как настройка брандмауэров, прокси-серверов и т. п. в том смысле, что специалисты, обладающие необходимой для этого достаточно узкой специализацией и высокой квалификацией, во-первых, становятся «штучным товаром», во-вторых, их действия оказывается некому контролировать. Кроме этого, средства сетевой защиты стоят, как правило, недешево, а не в каждом банке руководство имеет полное представление о тех мерах и средствах защиты, которые необходимо приобретать, внедрять, настраивать и сопровождать в связи с каждым новым ИКБД, формируемым той или иной новой ТЭБ. Вследствие этого надежно защитить все «виртуальные ворота» такого рода окажется весьма проблематично, то есть опять-таки может формироваться почва для использования служебных полномочий в личных целях (на исполнительском уровне) с последующим нанесением крупного финансового ущерба банку и его клиентам – это тот же проблемный вопрос о контролируемости информационных сечений, возникающих в ИКБД, между БАС и СЭБ и т. п.
Известно, что «рыба ищет, где глубже, а человек – где лучше», и такого рода поиски неудовлетворенных своим положением специалистов с высокой и достаточной специфичной узкой квалификацией могут приводить к тому, что отдельные банки будут терять определенных специалистов уровня, например, системных администраторов и других, которые при уходе в другую организацию будут уносить с собой всю информацию о составе и архитектуре БАС и СЭБ покидаемого ими банка, порядках, правилах, правах и полномочиях доступа к чувствительным программно-информационным ресурсам ит.п., то есть представлять в итоге совершенно конкретные угрозы для этого банка. Такие угрозы, будучи «сдобрены» плохими взаимоотношениями с прежними работодателями (причины которых – в недостаточной по мнению того или иного лица финансовой оценке его квалификации, трудозатрат, ответственности, функциональной и технологической зависимости и т. п.), могут оказаться причинами последующих инцидентов ППД, причем по своему характеру наиболее серьезных для банка и его клиентов (точнее, принадлежащих им финансовых средств и конфиденциальной информации, что в условиях известной «криминализации» российской экономики может обернуться для участников финансовых отношений непредсказуемыми последствиями). Известны случаи «закладывания» увольняющимися специалистами своего рода «программных бомб», которые через какой-то интервал времени наносят физический ущерб ПИО банков, организации ими скрытых каналов доступа к разным компонентам ПИО, сговора с отдельными сотрудниками подразделения, отвечающего за ИТ или ОИБ с целью совершения впоследствии хищений финансовых средств или конфиденциальной информации и т. д.
В общем случае руководству насыщенных информационными технологиями банков (да и любых кредитных организаций) необходимо учитывать все источники угроз, связанных прежде всего с проявлениями так называемого человеческого фактора, которые показаны на рисунке 3.3[62 - Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. – М.: Маросейка, 2010.].
Рис. 3.3. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления В К
Совокупность рассмотренных в настоящем подразделе проблемных вопросов свидетельствует о том, что в области таких наиболее современных электронных банковских технологий, как ДБО, присутствуют серьезные компоненты стратегического риска, чему нередко просто не уделяется внимание (чтобы убедиться в этом, достаточно прочитать те же «Положения об управлении банковскими рисками» в высокотехнологичных кредитных организациях). Очевидно, что если в отношении новых угроз надежности банковской деятельности не принимаются должные меры, препятствующие их реализации, – хотя для этого достаточно начать с полноценного анализа зон концентрации источников компонентов банковских рисков и зон ответственности банка, то и сам бизнес в рамках ДБО может оказаться скомпрометированным. Следствием этого станут финансовые потери банков и их клиентов, а итоговыми последствиями – отказ от использования той или иной СЭБ, то есть в результате, как уже отмечалось, к ее нерентабельности и вообще неокупаемости, возможно, многомиллионных внедренческих и эксплуатационных расходов (чему в российском банковском секторе также имеются примеры). А в обществе возникнут и сомнения в квалификации персонала банка. Порочный круг!
В качестве только одного такого варианта можно привести многогранный и интенсивно развивающийся карточный бизнес. Главная беда здесь заключается в том, что само наличие возможностей осуществления карточных мошенничеств и наблюдаемое интенсивное использование их преступными элементами при негарантированном обеспечении возврата утраченных финансовых средств могут подорвать доверие клиентов кредитных организаций к карточному обслуживанию как разновидности электронного банкинга. Отсутствие полного доверия со стороны клиентов банков к данному виду услуг ДБО проявляется в первую очередь в том, что в подавляющем большинстве случаев пластиковые карты используются для получения наличных денег в банкоматах.
К сожалению, недостатки российского законодательства в части обеспечения предоставления финансовых услуг в электронной форме не удается до настоящего времени компенсировать и с помощью законодательных актов, например принятием Федерального закона «О национальной платежной системе» (имеется в виду прежде всего многострадальная статья 9). На фоне отсутствия полноценного законодательства о предоставлении финансовых услуг «в электронной форме» это также свидетельствует о недостаточности паллиативных мер для обеспечения гарантий надежности вне офисной банковской деятельности. Сказанное относится и к другим видам ДБО. Поэтому кредитные организации фактически вынуждены самостоятельно находить эффективные и полноценные способы предотвращения ППД в киберпространстве, что не у всех из них хорошо получается.
Наиболее очевидные недостатки в организации ДБО российскими банками проявляются в организации договорных отношений с его клиентами и контрактных отношений с провайдерами, возникающими в ИКБД вместе с каждой новой ТЭБ. Эти недостатки очень серьезно затрудняют ведение соответствующей претензионной работы и крайне негативно сказываются на интересах указанных клиентов, в том числе в ходе судебных разбирательств (об этом еще будет говориться в подразделах 3.3 и 3.4).
3.2. Организация финансовых преступлений с помощью технологий электронного банкинга и воздействие на удаленных клиентов кредитных организаций
Как уже отмечалось, преступные сообщества и отдельные криминальные элементы во всем мире охотно применяют «высокие технологии» в своей противоправной деятельности. При этом в России они пользуются, с одной стороны, недостатками российского законодательства (включая Уголовный кодекс РФ), с другой стороны – отсутствием закрепленных в нормативных правовых документах «канонов» ДБО, и, в-третьих, недостаточной финансовой и компьютерной грамотностью клиентуры кредитных организаций. В случае ДБО речь всегда идет об использовании для организации инцидентов ППД маскировки злоумышленника той или иной средой информационного взаимодействия (тем же киберпространством). Руководству кредитных организаций никогда не следует забывать о том, что ППД – это непрерывный процесс, характеризуемый тем, что преступные сообщества постоянно изыскивают все новые способы ОД, совершения мошенничеств, а также хищения конфиденциальной информации. Недостаточное осознание специфики электронного банкинга может привести к появлению серьезных проблем с управлением банковской деятельностью и контролем над ней в плане обеспечения ее надежности и соответствия установленным требованиям (то есть к потере полноценного управления и контроля). Поэтому руководству и персоналу высокотехнологичных банков необходимо отчетливо понимать, кто конкретно может являться агентами угроз, знать их образ действия и применяемые способы маскировки как ППД, так и самих этих агентов.
Для осуществления финансовых преступлений, в особенности ОД, чаще всего используется эффект анонимности пользователя, скрытого киберпространством, что позволяет реализовать многочисленные проводки (трансферы, транзакции) без личной явки в банк. При этом может имитироваться деятельность сколь угодно большого количества клиентов: главное – разжиться достаточным числом средств и полномочий удаленного доступа, для чего преступными сообществами обычно специально и тщательно формируется своя «клиентская база». Можно привести некоторые примеры из материалов реальных расследований.
Наиболее простой способ осуществления одновременно хищений и ОД может основываться, к примеру, на контракте на выполнение неких строительных работ, который заключается между фирмой-посредником и государственной организацией и который никогда не будет выполнен. Эта фирма, в свою очередь, заключает договор с подставными компаниями, которые якобы должны выполнять строительные работы, и эти работы действительно как бы начинаются. Компания-»исполнитель» нанимает за некоторое денежное вознаграждение некое лицо, которое должно сыграть роль ее генерального директора. Такой «директор» является в небольшой банк, расположенный обычно в другом городе, предоставляющий услуги интернет-банкинга, открывает необходимый для осуществления финансовых операций счет, после получения первой фирмой (якобы исполнителем по контракту) бюджетных средств в крупном размере возникают невесть откуда взявшиеся компании со счетами в других банках, и начинается финансовая чехарда, причем, естественно, управление счетами осуществляется дистанционно, так что банк-посредник первый и единственный раз видит упомянутого директора, а поскольку компания иногородняя, то не возникает и мысли проверить ее местонахождение. После того как казенные деньги будут распылены по счетам подставных фирм и «выведены» из оборота, имитация бурной деятельности на объекте прекращается, затраты преступной группировки ограничиваются стоимостью возведения забора и кратковременной арендой технических средств и оказываются существенно меньше выделенных на производство заявленных работ, к примеру десятков миллионов рублей. Через некоторое время за дело берутся следователи, которые выясняют, что по своему юридическому адресу строительная компания никогда не находилась, ее генеральный директор в силу очень преклонного возраста успел своевременно скончаться, отправившись на свою традиционную прогулку, выяснить, кому он передавал средства и права доступа, невозможно, задействованные фирмы-однодневки исчезли, а установить с помощью функций и баз данных той же системы интернет-банкинга, откуда именно и кем осуществлялось управление счетами, невозможно, потому что необходимые для этого данные в составе СИ почему-то не фиксировались (а никто, собственно, и не обязывал банк это делать). В итоге следствие заходит в тупик, а виновных не найти, потому что в схеме были задействованы утерянные и фальшивые документы, бомжи и пр., однако сам банк уже вовлечен в преступную схему, а значит, с большой вероятностью попадает под подозрение в соучастии.
Речь может идти и о крупномасштабных закупках какого-либо оборудования за рубежом, которое отсутствовало в природе, и тогда дистанционное управление счетами в банках-посредниках может вестись как из Москвы, откуда выделяются бюджетные деньги компаниям, обещавшим такие закупки осуществить, так и из-за рубежа, где также окажутся зарегистрированы некие компании-посредники. Здесь счет может идти уже на сотни миллионов и даже миллиарды рублей, поскольку масштабы операций гораздо больше, а проверять целый ряд фирм-нерезидентов (для данного города), тем более зарубежных «партнеров», существенно сложнее. Опять-таки для операций выбирается какой-нибудь среднерусский «банчок», в котором доверенными лицами открываются счета для фирм-посредников, отечественных и зарубежных. Выделенные из бюджета суммы дробятся на несколько или множество финансовых потоков, в выбранном банке, располагающем системой интернет-банкинга, они в рамках ДБО конвертируются и переводятся на счета зарубежных фирм в России, после чего осуществляется их трансфер за рубеж. Никаких поставок, естественно, не происходит, но банк формально ничего не нарушает – в его системе интернет-банкинга и БАС происходят какие-то вполне законные операции, за IP-адресами он следить не обязан (то есть он может даже не фиксировать их, как и другую маршрутную информацию в составе СИ, и тем более не анализировать). Через какое-то время из банка начинают направляться запросы на документы, подтверждающие поставки оборудования, но, к сожалению, отвечать на эти запросы давно уже некому, а доверенные лица растворились на бескрайних российских и мировых просторах. В итоге на счетах в зарубежных банках оседают уже сотни миллионов долларов, однако реальные бенефициары остаются неизвестными, а руководство банка недоуменно пожимает плечами и объясняет следователям и Банку России, что никто не ожидал такого эффекта от дистанционного предоставления банковских услуг, и уж теперь-то ДБО лучше и не заниматься! Однако, немалые премиальные, по-видимому, получены…
ДБО через Интернет может использоваться и для подпольной банковской деятельности, при этом организуется имитация производственной, торговой и даже банковской деятельности, то есть в электронном трансфере фигурируют как реально существующие, так и не существующие бумажные» (или «пустые») банки. Одним из примеров является организация фиктивных поставок товаров и услуг за рубеж, за которые впоследствии взимается компенсация НДС, в том числе – в страны СНГ или бывшего СССР. При этом преступным сообществом организуется управляющий центр, в котором концентрируется большое количество идентификационных данных для обслуживаемых банками лиц и подставных фирм, якобы занятых упомянутой деятельностью, которая может продолжаться годами. Результаты ее оцениваются во многие десятки и сотни миллионов долларов, при этом в управляющем центре ведется свой бухгалтерский учет, а банкам, для того чтобы оказаться замешанными в таких операциях и потом – в числе подозреваемых, достаточно просто не обращать особого внимания на то, откуда ведется управление счетами, не анализировать СИ и не проверять реальное существование участвующих в имитируемой «деятельности» банков-контрагентов, предприятий, компаний, индивидуальных предпринимателей и т. д. Правда, в итоге может возникнуть необходимость каким-то образом оправдывать впоследствии перед контролирующими и правоохранительными органами свою невнимательность к тому, что происходит под видом ДБО, или халатность…
В большинстве известных примеров ППД, связанной с финансовыми хищениями и ОД, применяется централизованная схема управления счетами, хотя немало и вариантов с распределенным управлением ими в разных банках, которых объединяет наличие систем ДБО. Велико и количество ситуаций, в которых используются фальшивые ордера клиентов ДБО, в особенности юридических лиц, со счетов которых деньги уходят на счета физических лиц, упоминавшихся «дропперов» (или «дропов»), обналичивающих денежные средства. Несмотря на то что количество подобных случаев велико и ситуации такого рода продолжают множиться, ни у руководства, ни у персонала банков не возникает мыслей хотя бы убедиться в том, что десятки миллионов рублей со счетов тех или иных фирм совершенно законным образом перекачиваются в карманы физических лиц, якобы выполнявших некие дорогостоящие работы. Подобных своего рода «разведпризнаков» можно набрать немало, причем их целесообразно было бы не только использовать в процессе ФМ, но и «увязывать» с процессом УБР, что должно было бы отражаться и во внутрибанковских документах. В этом могла бы проявляться активность высшего руководства банков, заботящихся о своей репутации.
Для прикрытия мошенничеств в киберпространстве используются различные приемы, варьирующиеся от задействования, как отмечалось, так называемых анонимных или слепых прокси-серверов, которые позволяют скрывать истинное местоположение в мировой паутине злоумышленников, управляющих счетами, до сетевых атак типа Denial of Service (DoS) или наиболее опасных – типа Distributed DoS (DDoS)[63 - Атака типа «распределенный отказ в обслуживании».], которыми блокируются вычислительные мощности кредитных организаций и (или) их провайдеров. В то же время наибольший ущерб (по совокупности похищенных средств – за последние несколько лет счет уже идет на миллиарды рублей) наносится клиентам кредитных организаций.
Подавляющее большинство мошенничеств в отношении клиентов ДБО – физических лиц основывается на различных методах так называемой социальной инженерии. Многие виды мошенничеств такого рода, широко распространявшиеся за последние 30 лет в Западной Европе и США, в российских условиях оказались непопулярными из-за исторических различий в развитии инфраструктуры и информационных технологий (скажем, атаки через центры обслуживания или внутриведомственные коммутаторы), вследствие чего здесь они не рассматриваются. Вместо этого весьма быстрое развитие получили способы реализации приемов «социального инжиниринга» на основе вариантов мобильного банкинга. В свою очередь, примерно 70–80 % из них[64 - Оценка автора (Л. Лямина) по данным литературы и собственных исследований, хотя встречаются и оценки в 90 %.] ориентированы на обман владельцев карточных счетов. Ниже приведены отдельные примеры типичных попыток совершения мошенничеств на основе приемов такой разновидности социального инжиниринга (которые тем не менее нередко срабатывают):
• «Проверка персональных данных, перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, необходимо сообщить пин-код службе безопасности банка по телефону…»
• «Ваша карта заблокирована, необходимо связаться со службой безопасности по указанному номеру телефона».
• «Ваша карта заблокирована Центральным банком РФ, необходимо связаться со справочной службой по указанному номеру телефона»[65 - Банк России в сообщениях такого рода упоминается часто, видимо, «для солидности».].
• «Отдел безопасности: ваша карта заблокирована, для разблокировки необходимо сообщить ПИН-код».
• «Ваша карта заблокирована по инициативе банка, срочно оплатите долг 1000 рублей. Телефон…»
• «Операции по вашей банковской карте временно приостановлены, справка по указанному телефону».
• «Действие вашей карты приостановлено ввиду взлома ПИН-кода, перезвоните по указанному номеру телефона».
• «Была попытка взлома ПИН-кода, ваша карта заблокирована, срочно перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, для разблокировки необходимо подойти к ближайшему банкомату и выполнить следующие действия…»[66 - По командам злоумышленника клиент собственноручно переводит деньги на его счет.]
• «Была попытка перевода денег с вашего счета, перезвоните по указанному номеру».
• «С вашей карты списано хх ххх рублей, перезвоните по указанному номеру».
• «С вашего счета произойдет списание на сумму хх ххх рублей, инфо по телефону…»
• «Ваша заявка на перевод в сумме хх ххх рублей принята, перезвоните по указанному номеру».
• «Подготовка перевода на сумму хх ххх рублей с вашего счета завершена, для справки позвоните по указанному номеру телефона».
• «Для подтверждения платежа по вашей карте в размере хх ххх рублей позвоните по указанному номеру телефона».
Результаты исследований показали, что 10 % работников воровали бы все время, еще 10 % никогда не украли бы, а 80 % воровали бы, если бы у них была для этого причина. Это свидетельствует о том, что руководство компаний должно проявлять обеспокоенность о 90 % своего персонала…
По данным указанного автора:
Банки теряют в пять раз больше денег от хищения денежных средств, чем от вооруженных ограблений. Кража на рабочем месте может быть настолько пагубной для компании, ставшей ее жертвой, что почти одна треть всех банкротств приписываются присвоению чужих средств.
Остается надеяться, что столь безрадостная картина является типичной только для США…
Ситуация усугубляется тем, что в виртуальном пространстве мошенничества совершаются мгновенно и практически незаметно. При виртуальном мошенничестве обычно неизвестно наверняка, кем является злоумышленник. Его нельзя увидеть, потому что это – аноним, скрытый технологиями и автоматизированными системами. Кроме того, как отмечает тот же автор, «Для подавляющего большинства клиентов банков электронные банковские операции все еще остаются загадочными». Практика изучения жалоб клиентов российских банков подтверждает этот неутешительный вывод, поэтому помимо широко обсуждаемой потребности в повышении финансовой грамотности населения логично было бы говорить и о повышении его «технологической грамотности». Сказанное относится и к качеству соглашений о ДБО в том смысле, что в соответствующих договорах, как правило, не оговариваются упоминавшиеся выше его доказательная база и ее юридическая сила.
В настоящее время специфика условий функционирования российского банковского сектора предполагает, как отмечалось, возникновение новых источников компонентов только для следующих банковских рисков: стратегического, операционного, правового, репутационного (потери деловой репутации), ликвидности (неплатежеспособности) и, в некоторых специфических случаях, странового[56 - В зарубежной практике риск-ориентированного банковского надзора в области ДБО рассматриваются все банковские риски (хотя их полный состав варьируется в зависимости от идеологии надзора, принятой конкретным федеральным ведомством), поскольку в некоторых странах допускается более «демократичный» подход к регламентации банковской деятельности, обеспечивающей организационно-финансовые потребности бизнеса: в ряде случаев можно дистанционно открывать банковские счета, оформлять кредиты и т. п.]. Чтобы правильно определить состав источников компонентов рисков, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, в соответствии с принятой в том или ином банке методологией УБР, можно сгруппировать отдельные факторы или источники компонентов рисков по их возможному проявлению в тех или иных типичных банковских рисках, которые описываются, как правило, во внутрибанковских документах типа «Положения об управлении банковскими рискам». Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше, при переходе к применению ТЭБ.
Ниже проводится краткий анализ структуры этих банковских рисков[57 - В данном случае используется нетипичная терминология, обусловленная акцентом на возникновении новых угроз надежности банковской деятельности, проявляющихся в уровнях и профилях типичных банковских рисков.] в части свойственных применению ТЭБ и реализующих их СЭБ причинно-следственных связей их компонентов наряду с теми угрозами надежности банковской деятельности, которые привносит ДБО само по себе. Если говорить конкретно о ППД, то, трактуя понятие указанной надежности с точки зрения выполнения кредитными организациями (в широком смысле) своих обязательств перед клиентами и контролирующими органами, можно определить те компоненты типичных банковских рисков, которые непосредственно связаны с опасностью осуществления ППД[58 - В последующих определениях используется понятие «кредитная организация» более широкое, чем «банк», поскольку они касаются и небанковских организаций.]:
• для операционного риска – это потенциальные финансовые потери, обусловленные мошенническими действиями в отношении кредитной организации и (или) ее клиентов за счет перевода автоматизированных систем, применяемых ею для осуществления банковской деятельности, в нештатные (в широком смысле) режимы функционирования, из-за чего могут осуществляться противоправные действия, включая проведение несанкционированных транзакций или прямые хищения финансовых средств в электронной форме либо конфиденциальной («чувствительной») информации и пр., происходить нарушения доступности автоматизированных систем и (или) непрерывности их функционирования (включая как причины «удачные» сетевые и хакерские атаки, отказы и сбои аппаратно-программного обеспечения для прикрытия мошенничеств как самой кредитной организации, так и ее провайдеров), следствием чего окажется невыполнение кредитной организацией обязательств перед клиентами;
• для правового риска – это потенциальные финансовые потери, обусловленные невыполнением кредитной организацией требований нормативных правовых актов, регулирующих банковскую деятельность, и (или) законодательной неопределенностью дистанционного предоставления банковских услуг, а также судебными издержками/санкциями из-за невыполнения обязательств перед клиентами (включая потерю значимых данных и утечку «чувствительной» информации, нарушение банковской тайны, противоправную деятельность, которая оказывается возможной из-за недостатков аппаратно-программного или программно-информационного обеспечения банковской деятельности как самой кредитной организации, так и ее провайдеров, хищения денежных средств клиентов и т. д.), включая ситуации, в которых клиенты оказываются не способны выполнять свои обязательства перед третьими сторонами по вине кредитной организации и (или) ее провайдеров;
• для риска ликвидности (неплатежеспособности)[59 - В данном случае имеется в виду то, что традиционное понятие «ликвидность» обретает новое смысловое содержание с точки зрения выполнения банками своих финансовых обязательств.] – это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);
• для репутационного риска – это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);
• для стратегического риска – это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними – и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях – это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков – нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?
Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода[60 - Так называемого в общем случае класса вредоносного кода malicious ware или, сокращенно, malware.], с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей» [61 - Virtual Private Network – VPN.], позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).
Общая «беда», сопутствующая внедрению и применению в банках новых информационных технологий, состоит в том, что нередко такие немаловажные внутрибанковские процессы, какУБР, информатизация банковской деятельности, ОИБ, ВК, ФМ и работа других, как считается, «не зарабатывающих» подразделений кредитной организации, вообще финансируются по «остаточному принципу». При этом наблюдаются и такие нежелательные варианты «экономии» на дорогостоящих специалистах, что, как отмечалось, ведет к образованию чрезмерной концентрации полномочий в руках отдельных должностных лиц или к невозможности надежного выполнения довольно «тонких» функций в части ОИБ, таких как настройка брандмауэров, прокси-серверов и т. п. в том смысле, что специалисты, обладающие необходимой для этого достаточно узкой специализацией и высокой квалификацией, во-первых, становятся «штучным товаром», во-вторых, их действия оказывается некому контролировать. Кроме этого, средства сетевой защиты стоят, как правило, недешево, а не в каждом банке руководство имеет полное представление о тех мерах и средствах защиты, которые необходимо приобретать, внедрять, настраивать и сопровождать в связи с каждым новым ИКБД, формируемым той или иной новой ТЭБ. Вследствие этого надежно защитить все «виртуальные ворота» такого рода окажется весьма проблематично, то есть опять-таки может формироваться почва для использования служебных полномочий в личных целях (на исполнительском уровне) с последующим нанесением крупного финансового ущерба банку и его клиентам – это тот же проблемный вопрос о контролируемости информационных сечений, возникающих в ИКБД, между БАС и СЭБ и т. п.
Известно, что «рыба ищет, где глубже, а человек – где лучше», и такого рода поиски неудовлетворенных своим положением специалистов с высокой и достаточной специфичной узкой квалификацией могут приводить к тому, что отдельные банки будут терять определенных специалистов уровня, например, системных администраторов и других, которые при уходе в другую организацию будут уносить с собой всю информацию о составе и архитектуре БАС и СЭБ покидаемого ими банка, порядках, правилах, правах и полномочиях доступа к чувствительным программно-информационным ресурсам ит.п., то есть представлять в итоге совершенно конкретные угрозы для этого банка. Такие угрозы, будучи «сдобрены» плохими взаимоотношениями с прежними работодателями (причины которых – в недостаточной по мнению того или иного лица финансовой оценке его квалификации, трудозатрат, ответственности, функциональной и технологической зависимости и т. п.), могут оказаться причинами последующих инцидентов ППД, причем по своему характеру наиболее серьезных для банка и его клиентов (точнее, принадлежащих им финансовых средств и конфиденциальной информации, что в условиях известной «криминализации» российской экономики может обернуться для участников финансовых отношений непредсказуемыми последствиями). Известны случаи «закладывания» увольняющимися специалистами своего рода «программных бомб», которые через какой-то интервал времени наносят физический ущерб ПИО банков, организации ими скрытых каналов доступа к разным компонентам ПИО, сговора с отдельными сотрудниками подразделения, отвечающего за ИТ или ОИБ с целью совершения впоследствии хищений финансовых средств или конфиденциальной информации и т. д.
В общем случае руководству насыщенных информационными технологиями банков (да и любых кредитных организаций) необходимо учитывать все источники угроз, связанных прежде всего с проявлениями так называемого человеческого фактора, которые показаны на рисунке 3.3[62 - Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. – М.: Маросейка, 2010.].
Рис. 3.3. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления В К
Совокупность рассмотренных в настоящем подразделе проблемных вопросов свидетельствует о том, что в области таких наиболее современных электронных банковских технологий, как ДБО, присутствуют серьезные компоненты стратегического риска, чему нередко просто не уделяется внимание (чтобы убедиться в этом, достаточно прочитать те же «Положения об управлении банковскими рисками» в высокотехнологичных кредитных организациях). Очевидно, что если в отношении новых угроз надежности банковской деятельности не принимаются должные меры, препятствующие их реализации, – хотя для этого достаточно начать с полноценного анализа зон концентрации источников компонентов банковских рисков и зон ответственности банка, то и сам бизнес в рамках ДБО может оказаться скомпрометированным. Следствием этого станут финансовые потери банков и их клиентов, а итоговыми последствиями – отказ от использования той или иной СЭБ, то есть в результате, как уже отмечалось, к ее нерентабельности и вообще неокупаемости, возможно, многомиллионных внедренческих и эксплуатационных расходов (чему в российском банковском секторе также имеются примеры). А в обществе возникнут и сомнения в квалификации персонала банка. Порочный круг!
В качестве только одного такого варианта можно привести многогранный и интенсивно развивающийся карточный бизнес. Главная беда здесь заключается в том, что само наличие возможностей осуществления карточных мошенничеств и наблюдаемое интенсивное использование их преступными элементами при негарантированном обеспечении возврата утраченных финансовых средств могут подорвать доверие клиентов кредитных организаций к карточному обслуживанию как разновидности электронного банкинга. Отсутствие полного доверия со стороны клиентов банков к данному виду услуг ДБО проявляется в первую очередь в том, что в подавляющем большинстве случаев пластиковые карты используются для получения наличных денег в банкоматах.
К сожалению, недостатки российского законодательства в части обеспечения предоставления финансовых услуг в электронной форме не удается до настоящего времени компенсировать и с помощью законодательных актов, например принятием Федерального закона «О национальной платежной системе» (имеется в виду прежде всего многострадальная статья 9). На фоне отсутствия полноценного законодательства о предоставлении финансовых услуг «в электронной форме» это также свидетельствует о недостаточности паллиативных мер для обеспечения гарантий надежности вне офисной банковской деятельности. Сказанное относится и к другим видам ДБО. Поэтому кредитные организации фактически вынуждены самостоятельно находить эффективные и полноценные способы предотвращения ППД в киберпространстве, что не у всех из них хорошо получается.
Наиболее очевидные недостатки в организации ДБО российскими банками проявляются в организации договорных отношений с его клиентами и контрактных отношений с провайдерами, возникающими в ИКБД вместе с каждой новой ТЭБ. Эти недостатки очень серьезно затрудняют ведение соответствующей претензионной работы и крайне негативно сказываются на интересах указанных клиентов, в том числе в ходе судебных разбирательств (об этом еще будет говориться в подразделах 3.3 и 3.4).
3.2. Организация финансовых преступлений с помощью технологий электронного банкинга и воздействие на удаленных клиентов кредитных организаций
Как уже отмечалось, преступные сообщества и отдельные криминальные элементы во всем мире охотно применяют «высокие технологии» в своей противоправной деятельности. При этом в России они пользуются, с одной стороны, недостатками российского законодательства (включая Уголовный кодекс РФ), с другой стороны – отсутствием закрепленных в нормативных правовых документах «канонов» ДБО, и, в-третьих, недостаточной финансовой и компьютерной грамотностью клиентуры кредитных организаций. В случае ДБО речь всегда идет об использовании для организации инцидентов ППД маскировки злоумышленника той или иной средой информационного взаимодействия (тем же киберпространством). Руководству кредитных организаций никогда не следует забывать о том, что ППД – это непрерывный процесс, характеризуемый тем, что преступные сообщества постоянно изыскивают все новые способы ОД, совершения мошенничеств, а также хищения конфиденциальной информации. Недостаточное осознание специфики электронного банкинга может привести к появлению серьезных проблем с управлением банковской деятельностью и контролем над ней в плане обеспечения ее надежности и соответствия установленным требованиям (то есть к потере полноценного управления и контроля). Поэтому руководству и персоналу высокотехнологичных банков необходимо отчетливо понимать, кто конкретно может являться агентами угроз, знать их образ действия и применяемые способы маскировки как ППД, так и самих этих агентов.
Для осуществления финансовых преступлений, в особенности ОД, чаще всего используется эффект анонимности пользователя, скрытого киберпространством, что позволяет реализовать многочисленные проводки (трансферы, транзакции) без личной явки в банк. При этом может имитироваться деятельность сколь угодно большого количества клиентов: главное – разжиться достаточным числом средств и полномочий удаленного доступа, для чего преступными сообществами обычно специально и тщательно формируется своя «клиентская база». Можно привести некоторые примеры из материалов реальных расследований.
Наиболее простой способ осуществления одновременно хищений и ОД может основываться, к примеру, на контракте на выполнение неких строительных работ, который заключается между фирмой-посредником и государственной организацией и который никогда не будет выполнен. Эта фирма, в свою очередь, заключает договор с подставными компаниями, которые якобы должны выполнять строительные работы, и эти работы действительно как бы начинаются. Компания-»исполнитель» нанимает за некоторое денежное вознаграждение некое лицо, которое должно сыграть роль ее генерального директора. Такой «директор» является в небольшой банк, расположенный обычно в другом городе, предоставляющий услуги интернет-банкинга, открывает необходимый для осуществления финансовых операций счет, после получения первой фирмой (якобы исполнителем по контракту) бюджетных средств в крупном размере возникают невесть откуда взявшиеся компании со счетами в других банках, и начинается финансовая чехарда, причем, естественно, управление счетами осуществляется дистанционно, так что банк-посредник первый и единственный раз видит упомянутого директора, а поскольку компания иногородняя, то не возникает и мысли проверить ее местонахождение. После того как казенные деньги будут распылены по счетам подставных фирм и «выведены» из оборота, имитация бурной деятельности на объекте прекращается, затраты преступной группировки ограничиваются стоимостью возведения забора и кратковременной арендой технических средств и оказываются существенно меньше выделенных на производство заявленных работ, к примеру десятков миллионов рублей. Через некоторое время за дело берутся следователи, которые выясняют, что по своему юридическому адресу строительная компания никогда не находилась, ее генеральный директор в силу очень преклонного возраста успел своевременно скончаться, отправившись на свою традиционную прогулку, выяснить, кому он передавал средства и права доступа, невозможно, задействованные фирмы-однодневки исчезли, а установить с помощью функций и баз данных той же системы интернет-банкинга, откуда именно и кем осуществлялось управление счетами, невозможно, потому что необходимые для этого данные в составе СИ почему-то не фиксировались (а никто, собственно, и не обязывал банк это делать). В итоге следствие заходит в тупик, а виновных не найти, потому что в схеме были задействованы утерянные и фальшивые документы, бомжи и пр., однако сам банк уже вовлечен в преступную схему, а значит, с большой вероятностью попадает под подозрение в соучастии.
Речь может идти и о крупномасштабных закупках какого-либо оборудования за рубежом, которое отсутствовало в природе, и тогда дистанционное управление счетами в банках-посредниках может вестись как из Москвы, откуда выделяются бюджетные деньги компаниям, обещавшим такие закупки осуществить, так и из-за рубежа, где также окажутся зарегистрированы некие компании-посредники. Здесь счет может идти уже на сотни миллионов и даже миллиарды рублей, поскольку масштабы операций гораздо больше, а проверять целый ряд фирм-нерезидентов (для данного города), тем более зарубежных «партнеров», существенно сложнее. Опять-таки для операций выбирается какой-нибудь среднерусский «банчок», в котором доверенными лицами открываются счета для фирм-посредников, отечественных и зарубежных. Выделенные из бюджета суммы дробятся на несколько или множество финансовых потоков, в выбранном банке, располагающем системой интернет-банкинга, они в рамках ДБО конвертируются и переводятся на счета зарубежных фирм в России, после чего осуществляется их трансфер за рубеж. Никаких поставок, естественно, не происходит, но банк формально ничего не нарушает – в его системе интернет-банкинга и БАС происходят какие-то вполне законные операции, за IP-адресами он следить не обязан (то есть он может даже не фиксировать их, как и другую маршрутную информацию в составе СИ, и тем более не анализировать). Через какое-то время из банка начинают направляться запросы на документы, подтверждающие поставки оборудования, но, к сожалению, отвечать на эти запросы давно уже некому, а доверенные лица растворились на бескрайних российских и мировых просторах. В итоге на счетах в зарубежных банках оседают уже сотни миллионов долларов, однако реальные бенефициары остаются неизвестными, а руководство банка недоуменно пожимает плечами и объясняет следователям и Банку России, что никто не ожидал такого эффекта от дистанционного предоставления банковских услуг, и уж теперь-то ДБО лучше и не заниматься! Однако, немалые премиальные, по-видимому, получены…
ДБО через Интернет может использоваться и для подпольной банковской деятельности, при этом организуется имитация производственной, торговой и даже банковской деятельности, то есть в электронном трансфере фигурируют как реально существующие, так и не существующие бумажные» (или «пустые») банки. Одним из примеров является организация фиктивных поставок товаров и услуг за рубеж, за которые впоследствии взимается компенсация НДС, в том числе – в страны СНГ или бывшего СССР. При этом преступным сообществом организуется управляющий центр, в котором концентрируется большое количество идентификационных данных для обслуживаемых банками лиц и подставных фирм, якобы занятых упомянутой деятельностью, которая может продолжаться годами. Результаты ее оцениваются во многие десятки и сотни миллионов долларов, при этом в управляющем центре ведется свой бухгалтерский учет, а банкам, для того чтобы оказаться замешанными в таких операциях и потом – в числе подозреваемых, достаточно просто не обращать особого внимания на то, откуда ведется управление счетами, не анализировать СИ и не проверять реальное существование участвующих в имитируемой «деятельности» банков-контрагентов, предприятий, компаний, индивидуальных предпринимателей и т. д. Правда, в итоге может возникнуть необходимость каким-то образом оправдывать впоследствии перед контролирующими и правоохранительными органами свою невнимательность к тому, что происходит под видом ДБО, или халатность…
В большинстве известных примеров ППД, связанной с финансовыми хищениями и ОД, применяется централизованная схема управления счетами, хотя немало и вариантов с распределенным управлением ими в разных банках, которых объединяет наличие систем ДБО. Велико и количество ситуаций, в которых используются фальшивые ордера клиентов ДБО, в особенности юридических лиц, со счетов которых деньги уходят на счета физических лиц, упоминавшихся «дропперов» (или «дропов»), обналичивающих денежные средства. Несмотря на то что количество подобных случаев велико и ситуации такого рода продолжают множиться, ни у руководства, ни у персонала банков не возникает мыслей хотя бы убедиться в том, что десятки миллионов рублей со счетов тех или иных фирм совершенно законным образом перекачиваются в карманы физических лиц, якобы выполнявших некие дорогостоящие работы. Подобных своего рода «разведпризнаков» можно набрать немало, причем их целесообразно было бы не только использовать в процессе ФМ, но и «увязывать» с процессом УБР, что должно было бы отражаться и во внутрибанковских документах. В этом могла бы проявляться активность высшего руководства банков, заботящихся о своей репутации.
Для прикрытия мошенничеств в киберпространстве используются различные приемы, варьирующиеся от задействования, как отмечалось, так называемых анонимных или слепых прокси-серверов, которые позволяют скрывать истинное местоположение в мировой паутине злоумышленников, управляющих счетами, до сетевых атак типа Denial of Service (DoS) или наиболее опасных – типа Distributed DoS (DDoS)[63 - Атака типа «распределенный отказ в обслуживании».], которыми блокируются вычислительные мощности кредитных организаций и (или) их провайдеров. В то же время наибольший ущерб (по совокупности похищенных средств – за последние несколько лет счет уже идет на миллиарды рублей) наносится клиентам кредитных организаций.
Подавляющее большинство мошенничеств в отношении клиентов ДБО – физических лиц основывается на различных методах так называемой социальной инженерии. Многие виды мошенничеств такого рода, широко распространявшиеся за последние 30 лет в Западной Европе и США, в российских условиях оказались непопулярными из-за исторических различий в развитии инфраструктуры и информационных технологий (скажем, атаки через центры обслуживания или внутриведомственные коммутаторы), вследствие чего здесь они не рассматриваются. Вместо этого весьма быстрое развитие получили способы реализации приемов «социального инжиниринга» на основе вариантов мобильного банкинга. В свою очередь, примерно 70–80 % из них[64 - Оценка автора (Л. Лямина) по данным литературы и собственных исследований, хотя встречаются и оценки в 90 %.] ориентированы на обман владельцев карточных счетов. Ниже приведены отдельные примеры типичных попыток совершения мошенничеств на основе приемов такой разновидности социального инжиниринга (которые тем не менее нередко срабатывают):
• «Проверка персональных данных, перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, необходимо сообщить пин-код службе безопасности банка по телефону…»
• «Ваша карта заблокирована, необходимо связаться со службой безопасности по указанному номеру телефона».
• «Ваша карта заблокирована Центральным банком РФ, необходимо связаться со справочной службой по указанному номеру телефона»[65 - Банк России в сообщениях такого рода упоминается часто, видимо, «для солидности».].
• «Отдел безопасности: ваша карта заблокирована, для разблокировки необходимо сообщить ПИН-код».
• «Ваша карта заблокирована по инициативе банка, срочно оплатите долг 1000 рублей. Телефон…»
• «Операции по вашей банковской карте временно приостановлены, справка по указанному телефону».
• «Действие вашей карты приостановлено ввиду взлома ПИН-кода, перезвоните по указанному номеру телефона».
• «Была попытка взлома ПИН-кода, ваша карта заблокирована, срочно перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, для разблокировки необходимо подойти к ближайшему банкомату и выполнить следующие действия…»[66 - По командам злоумышленника клиент собственноручно переводит деньги на его счет.]
• «Была попытка перевода денег с вашего счета, перезвоните по указанному номеру».
• «С вашей карты списано хх ххх рублей, перезвоните по указанному номеру».
• «С вашего счета произойдет списание на сумму хх ххх рублей, инфо по телефону…»
• «Ваша заявка на перевод в сумме хх ххх рублей принята, перезвоните по указанному номеру».
• «Подготовка перевода на сумму хх ххх рублей с вашего счета завершена, для справки позвоните по указанному номеру телефона».
• «Для подтверждения платежа по вашей карте в размере хх ххх рублей позвоните по указанному номеру телефона».
Другие электронные книги автора Коллектив авторов
Другие аудиокниги автора Коллектив авторов
Последний отзыв
Книга довольно хорошо написана в виде рассказов старого человека молодому парню, основанных на событиях его реальной жизни, охватывающей период с нача...
Далее