- Дмитрий, в свое время вы высказали мысль о том, что в современных условиях наибольшие конкурентные преимущества получат те банки, у которых наилучшим образом организована система безопасности. Каковы новые угрозы, с которыми сегодня приходится сталкиваться банкам? Каким требованиям должны отвечать службы безопасности, чтобы обеспечивать банкам конкурентные преимущества?
- Я бы стал говорить не об угрозах, а о вызовах, с которыми сейчас столкнулась мировая и Российская банковские системы. Первый вызов - глобализация. Второй - информатизация. Приведу пример. 85% потерь, которые несут британские банки, связаны с международным мошенничеством. То есть, махинации осуществляются за рубежом. И с этим очень трудно бороться. Это плата за глобальное присутствие.
Что касается информатизации... Информация сама по себе имеет ценность. Деньги стали виртуальными, «электронными». Учет этих денег гораздо сложнее, чем учет денег бумажных или металлических. Банковские услуги тоже трансформировались. В борьбе за конкурентное преимущество, банки стремятся стать более гибкими, менее консервативными. Развивается интернет-банкинг, внедряется механизм «мобильных» платежей. Обеспечение безопасности банковских операций стало сложнейшей системной задачей. Банковские операции автоматизируются. Число одних только банкоматов и платежных терминалов в мире приближается к двум миллионам. Каждые 5 минут в мире устанавливается 1 банкомат. Для сравнения: только у Сбербанка около тысячи банкоматов в пределах МКАД.
Службы безопасности должны научиться обеспечивать эффективный глобальный мониторинг своих объектов. Должны научиться противодействовать как местным, так и международным преступным группам, осуществляющим атаки через интернет, подделывающим кредитные карты, ворующим персональные данные клиентов. Собственно, этим деятельность международной преступности не ограничивается.
Так что, с этой проблемой в одиночку не справиться.
- В последнее время участились случаи краж с карточных счетов. Страдают клиенты банков. Банки тоже испытывают серьезные неудобства в связи с этим. Очевидно, «карточные» мошенничества и кражи денег через интернет являются самыми массовыми и опасными видами банковских мошенничеств?
- Если измерять масштабы мошенничества в деньгах, то самая большая доля банковских преступлений (во всем мире) будет приходиться на операции по отмыванию денег.
Если взглянуть на проблему с точки зрения общего количества случаев и динамики роста преступлений в банковской сфере, то, несомненно, мошенничества, связанные с кражей персональных данных, в том числе через Интернет, вышли на первое место. И доля этих преступлений продолжает расти. Несомненно, для розничных банков это одна из основных проблем безопасности. По оценке американских специалистов, в 2009 году общемировые потери банков (только из-за мошенничеств, связанных с банкоматами и платежными терминалами) достигнут 8,5 миллиардов долларов США. Громкий скандал ноября 2008 года, когда в очень короткий промежуток времени со 130 банкоматов в 49 городах в разных странах мира организованные преступники сняли более 9 миллионов долларов, демонстрирует вероятность совершения масштабных преступлений в этой области. В США 4% всех банкоматов и платежных терминалов «заражены» скимминговыми устройствами.
- Каков масштаб проблемы в России?
- Россия отстает от Западных стран в данном вопросе года на два-три. То есть, количество преступлений в данной области гораздо меньше, чем в Европе и на порядки меньше, чем в США. Пока. По динамике роста этих преступлений мы уже «догнали» Европу и «стараемся» «догнать и перегнать» Америку. Кстати, в России первые «скиммеры» появились в декабре 2006 года. Исполнителями преступления оказались иностранцы.
Российские преступники в своем большинстве пока действуют «по старинке». То есть, большинство хищений денег с пластиковых карт осуществляется путем кражи самой карты. Есть случаи грабежа. Жертву принуждают сообщить pin-код, либо лично снять деньги в банкомате. Но число высокотехнологичных преступлений растет.
Российские хакеры были пионерами банковских киберпреступлений (вспомним Владимира Левина, который обчистил американский Сити-Банк на несколько миллионов долларов еще в 1995). Они до сих пор предпочитают снимать деньги с зарубежных счетов, надеясь, что в этом случае их поймают с меньшей вероятностью. Но если безопасность российских банков будет слабее, не исключено, что российские киберкриминальные таланты переключатся на российский рынок.
- Ну, пока мы «догоняем» Америку с Европой, зарубежные специалисты, видимо, изобретут противоядие. Ведь, два года у нас есть в запасе? А там... «заграница нам поможет»...
- При всей масштабности проблемы, раскрываемость подобных преступлений в Европе достигает 90%. Сомневаюсь, что через два года в России правоохранительные органы будут работать столь же успешно. Хотя, технические решения можно будет заимствовать.
- Кстати, а сейчас, есть какие-то технические решения?
- Разумеется. Например, растет количество степеней защиты банковских карт. Сейчас обсуждается возможность дополнения этих уровней защиты системами проверки биометрических данных. Появились приборы для противодействия т.н. «скиммингу». Они представляют собой детекторы постороннего оборудования и постановщики помех. Мы рекомендуем банкам организовывать тотальный централизованный мониторинг всех своих объектов. От филиалов до банкоматов. И мониторинг обязательно должен включать в себя видеонаблюдение.
Но надо понимать, что проблему нельзя решить отдельными техническими устройствами и технологиями. Здесь требуется по-настоящему системный подход.
- Что вы подразумеваете под системным подходом?
- Во-первых, пересмотр принципов организации банковской безопасности. Надо выяснить, соответствует ли система безопасности банка современным требованиям? Надо способствовать сотрудничеству между банками в области безопасности. Создавать ассоциации в области банковской безопасности. Ассоциация российских банков активно работает в этом направлении. Но этого недостаточно. Нужны специализированные ассоциации. Обязательно с участием международных специалистов. Надо содействовать правоохранительным органам в эффективной борьбе с преступлениями в указанной сфере. Безопасность банковской системы страны - это вопрос государственной безопасности. И международное сотрудничество здесь тоже необходимо.
- Вы считаете, что службы безопасности банков работают неэффективно?
- Я считаю, уровень специалистов по безопасности в большинстве банков заслуживает самой высокой оценки. Однако, чтобы успевать за современными технологиями и противодействовать новым угрозам, требуются гораздо большие, чем прежде, свобода и гибкость. В том числе, финансовая. В этом мог бы помочь новый интегрированный подход к управлению рисками в рамках всего банка.
- Банки - одни из немногих учреждений, имеющие в штате специалистов по управлению рисками. Даже есть банковские стандарты управления рисками. Что в этих стандартах не так? Или что делают неправильно специалисты по управлению рисками?
- Начнем с того, что некоторые передовые банки уже применяют предложенный подход.
В управлении рисками нет единого стандарта. Каждая организация вправе выбрать свою модель, либо использовать один из существующих стандартов, адаптировав его под себя.
Большинство стандартов, включая Базельское соглашение, ориентировано исключительно на оценку кредитных, или финансовых рисков. Так, в документе BASEL II, ограничились перечислением угроз безопасности, которые могут приводить к убыткам. Этот перечень содержится в приложении, на которое в тексте документа нет ни одной ссылки. В одном из вариантов управления интегрированными рисками, основным показателем риска является цена акции самого банка. Падение цены акции считается недопустимым. Хотя это идет в разрез с логикой биржевой торговли. Что делать с другими рисками, если стоимость акции все же падает, в этой модели не совсем понятно. В классической банковской безопасности пока нет других стандартов, кроме стандарта информационной безопасности, который, кстати, очень хорошо проработан. Еще есть ряд инструкций Центробанка.
Самым современным и эффективным подходом является комплексное управление всеми рисками банка. С единым центром управления. С активным участием руководителя службы безопасности в оценке рисков и управлении рисками. Риски, которыми мы хотим управлять должны быть выражены численно (как вероятность события, и как ожидаемый убыток).
- И как же численно выразить риск карточного мошенничества, либо воровства данных через интернет?
- Надо активнее использовать международную и российскую статистику. Например, вероятность попытки незаконно завладеть средствами с карточного счета клиента в течение 1 года, мы рекомендуем считать равной 20% (эта цифра базируется на статистике). Средняя потеря с одного карточного счета равна 1500 долларов. По стандартной классификации данный риск относится к репутационным и операционным рискам одновременно.
- Кто должен заниматься таким анализом?
- Аналитические функции можно и нужно автоматизировать. Для этого разработаны специализированные программные и программно-аппаратные решения. Они относятся к группе продуктов «бизнес-аналитики» или «Business Intelligence». Позволяют обрабатывать большие массивы данных, получаемых автоматически с объектов мониторинга, и вводимых вручную операторами.
- Что, на ваш взгляд, нужно сделать банку для реализации предложенного вами подхода?
- Функция безопасности должна быть описана в виде процесса и интегрирована с другими процессами банка. При реализации такой схемы все подразделения банка наилучшим образом взаимодействуют в области выявления и минимизации рисков. Тогда нет проблем «на стыках». Так, проблема безопасности банкоматов интегрирует в себе проблемы физической, информационной, кадровой и маркетинговой безопасности. Традиционно она решается в рамках обособленных отделов с обособленными же бюджетами. Новый интегрирующий подход позволит объединить, как усилия специалистов, так и бюджеты разных подразделений.
