Шрифт:
Интервал:
Закладка:
Специфика сетевого взаимодействия в условиях открытых информационных систем (к которым относится и интернет-взаимодействие) предполагает учет дополнительных факторов риска, связанных с широко распространенным хакерством. Под такого рода учетом понимается организация и адаптация ряда специализированных внутрибанковских процедур, относящихся к основным внутрибанковским процессам и подразделениям, ответственным за их реализацию, а именно:
• выявление недостатков в организации и содержании внутрибанковских процессов (как следствие прежде всего неполной их адаптации к новым банковским информационным технологиям);
• выявление недостатков во внутрибанковских документах (обусловленных отставанием соответствующей регламентации от развития ИБ) по всей иерархической структуре кредитной организации;
• выявление и принятие мер по парированию новых угроз в ИКБД ИБ (в том числе за счет отслеживания «успехов» хакерского сообщества и приемов противоправной деятельности);
• выявление и оперативная замена АП О и ПИО, «пробитых» хакерами (а также другими «деклассированными» элементами, действующими в киберпространстве Интернета);
• выявление недостатков в работе провайдеров, входящих в ИКБД ИБ (в части несоответствия требуемому уровню обслуживания и в плане коррекции недостатков в организации контрактных отношений[15]).
Процедурами управления и тщательного контроля в кредитной организации, предоставляющей услуги ИБ, желательно охватывать[16]:
• дизайн, контент и хостинг web-сайтов;
• конфигурацию сетевых экранов;
• системы предотвращения и обнаружения вторжений[17];
• сетевое администрирование;
• управление информационной безопасностью;
• сервер ИБ;
• прикладное программное обеспечение (расчетов, платежей и пр.);
• внутренние серверы;
• АПО бэк-офиса;
• служебное ПИО;
• автоматизированные системы поддержки принятия решений[18].
Все эти компоненты фактически входят в единый ИКБД, обеспечивающий ДБО в рамках ИБ (несмотря на то что часть из них входит также и в другие информационные контуры в кредитной организации, связанные между собой разнообразными информационными сечениями), и каждый из них следует охватить внутрибанковскими процедурами управления и контроля. Помимо этого все «чувствительные» к возможному переходу в нештатные режимы функционирования компоненты (что может быть обусловлено отказами или сбоями АПО и ПИО кредитной организации, вирусными атаками, несанкционированным доступом, ошибками персонала и клиентов и т. п.), должны быть упомянуты в таких внутрибанковских документах, как «Положение об управлении рисками банковской деятельности», «Положение об информационной безопасности» и «Положение о внутреннем контроле» (о системе или службе внутреннего контроля).
Несмотря на кажущуюся сложность внедрения и применения технологии ИБ, практика свидетельствует, что при правильной организации внутрибанковских процессов и составляющих их процедур удается исключить влияние подавляющего большинства факторов и источников банковских рисков, сопутствующих применению технологии ИБ как таковой. Для российских условий типичными банковскими рисками, которые характеризуются наличием компонентов технологического и технического характера, являются следующие пять рисков: стратегический, операционный, правовой, репутационный и ликвидности (неплатежеспособности).
За рубежом, где в составе банковской деятельности могут допускаться варианты взаимодействия с клиентами, отличные от указанных условий (например, дистанционное открытие банковских счетов с установленным интервалом идентификации, ряд операций кредитования и др.), учету, как правило, подлежат все типичные банковские риски[19]. В то же время очевидно, что выгоды от применения технологии ИБ намного выше, чем затраты как на первичное внедрение соответствующего АП О и адаптацию внутрибанковских процессов, так и на хеджирование сопутствующих компонентов банковских рисков (и их возможную последующую компенсацию в случае реализации). Наилучшим свидетельством наличия этих достоинств является широкое распространение технологии ИБ в российском банковском секторе.
2.2. Мобильный банк: теоретические возможности и практическая необходимость
Разговор о мобильном банкинге должен начаться с определения терминологии. На практике очень часто встречаются словосочетания «мобильный банкинг» и «SMS-банкинг». Если с мобильным банкингом все более или менее понятно, – это предоставление банковских услуг через мобильный телефон, то под SMS-банкингом некоторые банковские специалисты подразумевают только информационные сервисы – SMS-уведомления, а др. – и активные операции со стороны клиента (запросы информации, SMS-команды на совершение операций). Единой трактовки этого термина пока не сложилось. Понятие SMS-банкинга правильнее использовать в том случае, если интерфейсом взаимодействия клиента с банком являются SMS-команды и SMS-сообщения, которые клиент сам читает и набирает. Таким образом, SMS-банкинг – это просто технически более простая и для клиента менее удобная концепция обслуживания с использованием мобильного телефона. Мобильный же банк – это более общее понятие. Мобильный банк может взаимодействовать с клиентом с помощью как SMS, так и специального программного интерфейса мобильного телефона, который организует более удобное представление информации, иерархию меню и поддерживает связь с банковским сервером посредством любого канала (SMS, GPRS, Wi-Fi, транспорт тут не принципиален) или отображение специализированного сайта (WAP).
Какие же технические реализации мобильного банка существуют и чем они отличаются?
1. SMS-банкинг, в рамках которого все взаимодействие с клиентом строится на уровне SMS-сообщений. SMS-банкинг может быть пассивным, когда клиенту предоставляются только информационные сервисы (информация о совершенных операциях, начисленных процентах, информирование об истечении срока действия договора, карты и т. п.), и активным, когда посредством SMS-команд клиент может совершать какие-то операции (запрашивать информацию, проводить платежи и т. п.). Технически это самая простая реализация мобильного банка, которая совместима совершенно со всеми мобильными телефонами, и все доработки касаются только серверной части банка, которая должна уметь отправлять, получать и соответствующим образом обрабатывать SMS-команды. К ее достоинствам стоит отнести и то, что SMS-банкинг будет работать везде, где работает сам мобильный телефон. Активные операции через SMS-банкинг для клиента неудобны, так как ему нужно запоминать и правильно набирать условные наименования команд (например: Inf – информация по счету, pay – оплатить) и их реквизиты (номер счета, сумму, валюту и т. п.). Чтобы облегчить клиенту жизнь, можно построить интерактивную систему взаимодействия с клиентом, в рамках которой на любую неправильную SMS-команду клиенту будет возвращаться сообщение с полным списком команд в системе, а в случае частичного набора команды система будет сама додумывать ее за клиента (например, сообщение <Р> или <РА>, при условии, что в системе нет других команд, начинающихся с этой буквы однозначно может идентифицироваться как <PAY>, а в случае если есть несколько команд, начинающихся с этих символов, клиенту будет отправлен список этих команд для уточнения).
2. SIM-апплет – это приложение, записанное непосредственно на SIM-карту. Первоначально записывать приложения непосредственно на SIM-карту могли только в момент ее выпуска, и для того чтобы прописать апплет на старую карту, необходимо ее заменить в офисе оператора. Сейчас стали появляться карты, на которые апплеты можно загружать в любой момент, в том числе дистанционно. SIM-апплет позволяет обеспечить наиболее серьезную криптографию, но использование этой технологии сдерживается тем, что владельцам старых SIM-карт необходимо их физически заменить.
3. Мидлет – загружаемое приложение на JAVA, которое функционирует в памяти мобильного телефона так же, как игры или программки типа ICQ-клиента JIMM, Яндекс-карты и т. п. Преимуществом этой технологии является достаточно высокая совместимость с различными моделями телефонов (но не стопроцентная, например, знаменитый iPhone до сих пор не поддерживает JAVA, а на некоторых моделях телефонов могут все-таки возникать проблемы с запуском приложения) и независимость от SIM-карт.
4. WАР-сайт – специальным образом кастомизированный для отображения на маленьком экране телефона интернет-сайт. Просмотр его осуществляется встроенным браузером телефона.
SIM-апплеты и мидлеты в качестве транспорта могут использовать любой канал – SMS, GPRS/EDGE. GPRS/EDGE-транспорт является предпочтительным для клиента, так как обеспечивает передачу большего объема информации за меньшие деньги. Однако при этом нужно учитывать особенности тарификации операторами сотовой связи услуги передачи данных. Например, компания МТС округляет любой пакет обмена данными до 100 КБ и поэтому множественные короткие соединения получаются крайне затратными, кроме того, даже при отсутствии трафика тарифицируется каждый час соединения, так что долго поддерживать связь без обмена данными также не имеет смысла. В роуминге МТС округляет уже до 60 КБ, которые стоят 30 руб., т. е. практически на порядок дороже. Поэтому приложение мобильного банка, использующее этот канал, должно иметь настройки, позволяющие пользователю задавать параметры разрыва соединения и возможность ограничения услуги в роуминге. Также стоит отметить, что WAP-трафик стоит дороже, чем обычное GPRS-соедининение.
- Банковское дело. Шпаргалка - Л. Казанцева - Банковское дело
- Банковское право - Литагент «Научная книга» - Банковское дело
- Особенности национальных спекуляций, или Как играть на российских биржах - Иван Закарян - Банковское дело
- ValueWeb. Как финтех-компании используют блокчейн и мобильные технологии для создания интернета ценностей - Крис Скиннер - Банковское дело
- Гид по финансовой грамотности - Коллектив авторов - Банковское дело