Ввиду того что СД банка несет ответственность за обеспечение наличия должных процессов контроля безопасности для операций ЭБ, содержание этих процессов требует особого внимания со стороны органов управления из-за более сложных проблем с безопасностью, которые возникают при операциях ЭБ[103].

Следующие вопросы являются особенно значимыми:

– аутентификация;

– невозможность отказных операций;

– целостность данных и транзакций;

– разделение обязанностей;

– средства управления авторизацией;

– поддержание аудиторских записей;

– конфиденциальность важнейшей банковской информации.

Принцип 4: банкам следует принимать должные меры по аутентификации идентичности и авторизации[104] клиентов, с которыми они осуществляют деловые операции через интернет.

В банковском деле принципиально важно подтверждение того, что конкретный запрос на взаимодействие (связь), транзакцию или доступ имеет легитимный характер. Соответственно, банкам следует применять надежные методы для верификации идентичности и авторизации новых клиентов, так же как и для аутентификации идентичности и авторизации зарегистрированных клиентов, обращающихся за проведением электронных транзакций.

Верификация клиентов (при определении происхождения счета) важна для снижения риска хищений идентификационных данных, мошеннических действий со счетами и отмывания денег. Если банк не может адекватно аутентифицировать клиентов, то возможны получение несанкционированного доступа к счетам по операциям ЭБ и в конечном итоге финансовые потери и ущерб для репутации банка из-за мошенничества, утечки конфиденциальной информации или непреднамеренного вовлечения в преступную деятельность.

Установление и аутентификация идентичности того или иного лица, а также авторизация доступа к банковским системам в условиях полностью электронной открытой сети связи могут оказаться трудной задачей. Легитимная авторизация пользователя может быть фальсифицирована с помощью разнообразных методов, обычно называемых «мистификация»[105]. Онлайновые хакеры могут также перехватить сеанс легитимно авторизованного лица, используя «вынюхивателя»[106], и выполнять действия вредоносного или криминального характера. Помимо прочего, процессы контроля аутентификации могут быть обойдены посредством воздействия на базы данных, хранящие аутентификационные сведения.

Соответственно, критически важно, чтобы банки имели оформленные политику и процедуры, определяющие необходимую методологию (или методики), для того чтобы гарантировать, что отдельный банк должным образом проводит аутентификацию идентичности и авторизацию прав того или иного лица, агента или системы[107] с помощью уникальных способов и настолько, насколько это осуществимо, гарантирует исключение участия неавторизованных лиц или систем[108]. Банки могут применять разнообразные методы аутентификации, включая ПИН, пароли, микропроцессорные карты, биометрику и цифровые сертификаты[109]. Эти методы могут быть однопараметрическими или многопараметрическими (имеется в виду использование как пароля, так и биометрических технологий[110] для аутентификации). Многопараметрическая аутентификация в общем случае обеспечивает большую уверенность в идентификации.

Банк должен определить, какие методы аутентификации использовать, на основе оценки руководством банка риска, возникающего из-за применения СЭБ в целом или каких-либо ее составных компонентов. В процессе анализа риска следует оценивать пропускную способность[111] СЭБ (например, по переводам, платежам, запросам на ссуды, агрегации счетов и т. д.), важность и значение хранимых данных по операциям ЭБ, а также удобство принятого метода аутентификации для клиентов.

Надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий ЭБ, если учитывать осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, включая повышенный риск обезличивания индивидуальности и большие затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам.

Поскольку методы аутентификации продолжают совершенствоваться, банкам рекомендуется отслеживать и перенимать используемые в отрасли надежные методы работы в данной части, обеспечивающие:

– защиту аутентификационных баз данных, которые предназначены для организации доступа к счетам клиентов ЭБ или важным системам, от изменения и повреждения. Любое подобное воздействие должно обнаруживаться, при этом должны вестись аудиторские записи для документирования попыток такого рода;

– должную авторизацию любых добавлений, удалений или изменений в аутентификационной базе данных для того или иного лица, агента или системы с помощью какого-либо источника аутентификационных данных[112];

– осуществление должных мер для контроля подключений к СЭБ, таких, чтобы кто-то неизвестный со стороны не мог подменить известных клиентов;

– поддержание безопасности аутентификационного сеанса в рамках ЭБ на всем его протяжении или затребование повторной аутентификации в случае ошибок в защите.

Принцип 5: банкам следует использовать методы аутентификации транзакций, которые способствуют невозможности отказа от операций (доказательному подтверждению операции) и обеспечивают возможность учета транзакций в рамках ЭБ.

Невозможность отказа от операции обеспечивается за счет формирования доказательства по ее источнику или предоставлению информации в электронной форме для защиты отправителя от ложного отрицания получателем того, что конкретные данные были получены, или для защиты получателя от ложного отрицания отправителем того, что конкретные данные были отправлены.

Риск отрицания транзакций уже стал реальностью для обычных транзакций, которые осуществляются посредством кредитных карт, или при транзакциях ценных бумаг.

В то же время технология ЭБ увеличивает этот риск ввиду сложностей с положительной аутентификацией идентичности и полномочий тех, кто инициирует транзакции, возможностей воздействия на электронные транзакции и их перехвата, а также возможностей для пользователей технологий ЭБ заявлять, что их транзакции подверглись мошенническому воздействию.

Для парирования описанных повышенных угроз банкам требуется предпринимать немалые усилия, соразмерные со значимостью и типами конкретных транзакций в рамках ЭБ, чтобы обеспечить:

– разработку СЭБ таким образом, чтобы уменьшить вероятность инициирования авторизованными пользователями непреднамеренных транзакций, и полное понимание клиентами особенностей рисков, которые связаны с любыми инициируемыми ими транзакциями;

– положительную аутентификацию всех участников конкретной транзакции и поддержание контроля над аутентифицированным каналом взаимодействия;

– защиту данных о финансовых транзакциях от воздействия извне и обнаружение любых воздействий такого рода.

Банковские организации начали применять разнообразные способы, содействующие обеспечению доказательности и гарантированной конфиденциальности транзакций в рамках ЭБ, такие как цифровые сертификаты с использованием инфраструктуры открытых ключей[113]. Банк может выдать цифровой сертификат клиенту или контрагенту для обеспечения их уникальной идентификации/аутентификации и уменьшить риск отрицания транзакций. Хотя в некоторых странах права клиента на отклонение транзакций предусмотрены в специальных нормативных актах, в отдельных национальных юрисдикциях приняты законодательные акты, признающие правомочность цифровых подписей. По мере продолжения развития технологий вероятно более широкое, глобальное правовое признание таких способов.

Принцип 6: банкам следует гарантировать наличие необходимых мер по адекватному разделению обязанностей в системах баз данных и прикладных программных комплексах ЭБ.

Разделение обязанностей представляет собой основную меру внутреннего контроля, предназначенную для уменьшения риска мошенничества в операционных системах и процессах, а также для обеспечения должной авторизации, фиксации и защищенности транзакций и активов компаний. Разделение обязанностей является критичным для гарантирования точности и целостности данных и используется для предотвращения проникновения злоумышленников. Если обязанности разделены правильно, то мошенничество может быть совершено только на основе тайного сговора.

Обслуживание в рамках ЭБ может привести к необходимости изменения тех способов, которыми осуществляется и поддерживается разделение обязанностей, поскольку транзакции выполняются через электронные системы, где действующих лиц легче замаскировать или подменить. Кроме того, в практических приложениях ЭБ операционные и транзакционные функции во многих случаях оказываются более комплексными и интегрированными. Вследствие этого традиционно требуемые