В последние годы во всем мире обострилась ситуация с операционными рисками в финансовых организациях. Если следовать определению, данному в Базельском соглашении о достаточности капитала (Базель II), операционным считается риск нанесения ущерба в результате неадекватных или ошибочных внутренних процессов, действий персонала и технических систем, а также внешних событий. Необходимо заметить, что само Соглашение не расписывает операционные риски и не описывает, как бороться с ними, — оно предназначено для вычисления размера покрытия этих рисков капиталом банка. Также Базель II предполагает внедрение в организации эффективной системы управления операционными рисками. Учитывая, что Базельское соглашение, утвержденное летом 2004 года, планируется активно применять и в России, именно исходя из данного в нем определения, мы рассмотрим основные операционные риски в современных банках и других типах финансовых структур. Но прежде отметим очень интересное и важное требование, прописанное в Соглашении. Совет директоров и менеджмент банка должны осуществлять надзор за механизмом управления операционными рисками. В том числе им должна регулярно предоставляться отчетность о текущих операционных рисках и суммах ущерба. Это требование идет вразрез с отечественной практикой, согласно которой руководители предприятий не желают заниматься вопросами сбоев в информационных системах, низкой квалификации персонала и другими «мелкими» проблемами, приводящими к большим потерям. Остается надеяться, что активное внедрение Базель II в России позволит изменить мнение многих руководителей в лучшую сторону.
Об отдельных видах операционных рисков
Операционные риски, в свою очередь, можно разделить на несколько подвидов.
• Риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.
• Риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.
• Риск отсутствия у руководства финансовой организации объективной и актуальной информации. Данный вид рисков особенно ярко проявляется в атаках «отказ в обслуживании» (Denial of Service), которые приводят к отказу и простою отдельных компонентов АБС.
• Риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых в СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно, и заведение уголовного дела по статье 273 УК РФ.
Разумеется данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например подмена главной страницы web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).
Причины возникновения операционных рисков
К главным причинам возникновения операционных рисков можно отнести:
• недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основной бедой российского бизнеса, так как большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ»;
• непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности «спустя рукава»;
• отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному решению, а зачастую и вообще отсутствию решения возникшей ситуации;
• отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одну слабость в системе управления рисками, и он сможет нанести ущерб банку, страховой компании или иному финансовому институту;
• наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».
Последствия операционных рисков
В результате перечисленных выше причин возникновения операционных рисков могут наступить следующие последствия:
• внутреннее и внешнее мошенничество;
• ошибки персонала (умышленные и в результате низкой квалификации);
• сбои автоматизированной банковской системы и других типов информационных систем;
• нарушение процессов обработки и хранения данных;
• недостаточная защищенность АБС или прорехи в рубежах ее обороны и т.д.
Все эти последствия приводят к нанесению компании прямого финансового или косвенного ущерба.
Ущерб от операционных рисков
Примеры последних месяцев (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема нанесения ущерба финансовым структурам давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на молодость многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions»1 приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур:
• брокерская компания — $6,5 млн в час;
• процессинговый центр — $2,6 млн в час;
• банкомат — $14,5 тысяч в час;
• онлайн-аукцион — $70 тысяч в час.
Можно отойти от сухой статистики и привести несколько реальных случаев. Начиная с 1997 года и до начала 2002 года один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около $600 млн.
Но помимо прямых финансовых потерь надо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), исках со стороны пострадавших клиентов и т.п.
В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 млрд файлов. Это произошло в марте 2002 года и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.
Источники операционных рисков
И хотя источники операционных рисков могут быть как внутренними, так и внешними, основная угроза исходит именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги–Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет показал ряд весьма любопытных фактов.
• Большинство инцидентов совершено людьми, не имеющими никакой или очень низкую техническую квалификацию:
— как правило, они использовали не технические уязвимости, а пробелы в политике организации в области информационной безопасности;
— в 87% случаев злоумышленники использовали разрешенные команды и программы;
— в 70% случаев внутренние нарушители использовали слабости в приложениях, а в 61% — дыры в сетевом оборудовании, системном программном обеспечении или аппаратуре;
— в 78% случаев нарушители имели учетные записи в атакуемой системе, а в 43% случаев действовали открыто — под своими именами. И только в 26% случаев была зафиксирована маскировка под других пользователей;
— только 23% нарушителей находились на технических должностях (17% имели права администратора);
— 39% нарушителей не подозревали о реализуемых в организации мерах по информационной безопасности.
• Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.).
• Основной мотив совершения преступления — жажда наживы (81%):
— 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности;
— в 23% случаев основным мотивом была месть, в 15% — недовольство руководством и порядками в компании;
— помимо финансовой выгоды были и другие цели: 27% злоумышленников хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.
• Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч), а 54% — не женаты/не замужем.
• В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.):
— также в 61% случаев обнаружение было неавтоматизированным;
— процедуры аудита и мониторинга помогли в 22%;
— журналы регистрации помогли идентифицировать источник преступления в 74% случаев.
• Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от $168 до 691 млн.
• 83% всех инцидентов происходили изнутри атакованной организации и в 70% — в рабочее время.
• В 30% случаев доступ осуществлялся из дома нарушителя.
• Число атак никак не зависело от размера организации. Например, число преступлений в банках со 100 и с 10 000 сотрудников было одинаковым.
Снижение операционных рисков
Не касаясь подробно темы снижения операционных рисков, перечислим некоторые его механизмы:
— планирование процедур управления операционными рисками и, в частности, управления информационной безопасностью;
— регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе аудит безопасности);
— регистрация всех осуществляемых в информационных системах действий;
— аутсорсинг (Managed Service) непрофильных активов (в том числе информационных систем);
— обеспечение банковской тайны (хотя принятие новых законов в последнее время серьезно усложнило эту задачу);
— обеспечение непрерывности бизнес-процессов.
Об отдельных видах операционных рисков
Операционные риски, в свою очередь, можно разделить на несколько подвидов.
• Риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.
• Риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.
• Риск отсутствия у руководства финансовой организации объективной и актуальной информации. Данный вид рисков особенно ярко проявляется в атаках «отказ в обслуживании» (Denial of Service), которые приводят к отказу и простою отдельных компонентов АБС.
• Риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых в СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно, и заведение уголовного дела по статье 273 УК РФ.
Разумеется данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например подмена главной страницы web-сервера банка или атака на заражение персонального компьютера оператора центра обработки вызовов (Call Center).
Причины возникновения операционных рисков
К главным причинам возникновения операционных рисков можно отнести:
• недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основной бедой российского бизнеса, так как большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ»;
• непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности «спустя рукава»;
• отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному решению, а зачастую и вообще отсутствию решения возникшей ситуации;
• отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одну слабость в системе управления рисками, и он сможет нанести ущерб банку, страховой компании или иному финансовому институту;
• наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».
Последствия операционных рисков
В результате перечисленных выше причин возникновения операционных рисков могут наступить следующие последствия:
• внутреннее и внешнее мошенничество;
• ошибки персонала (умышленные и в результате низкой квалификации);
• сбои автоматизированной банковской системы и других типов информационных систем;
• нарушение процессов обработки и хранения данных;
• недостаточная защищенность АБС или прорехи в рубежах ее обороны и т.д.
Все эти последствия приводят к нанесению компании прямого финансового или косвенного ущерба.
Ущерб от операционных рисков
Примеры последних месяцев (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема нанесения ущерба финансовым структурам давно вышла за пределы детективов и голливудских боевиков и стала реальностью наших дней. Несмотря на молодость многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions»1 приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур:
• брокерская компания — $6,5 млн в час;
• процессинговый центр — $2,6 млн в час;
• банкомат — $14,5 тысяч в час;
• онлайн-аукцион — $70 тысяч в час.
Можно отойти от сухой статистики и привести несколько реальных случаев. Начиная с 1997 года и до начала 2002 года один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около $600 млн.
Но помимо прямых финансовых потерь надо помнить и о косвенном ущербе, который может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), исках со стороны пострадавших клиентов и т.п.
В другом примере логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 млрд файлов. Это произошло в марте 2002 года и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезными оказались снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.
Источники операционных рисков
И хотя источники операционных рисков могут быть как внутренними, так и внешними, основная угроза исходит именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги–Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах. Данный отчет показал ряд весьма любопытных фактов.
• Большинство инцидентов совершено людьми, не имеющими никакой или очень низкую техническую квалификацию:
— как правило, они использовали не технические уязвимости, а пробелы в политике организации в области информационной безопасности;
— в 87% случаев злоумышленники использовали разрешенные команды и программы;
— в 70% случаев внутренние нарушители использовали слабости в приложениях, а в 61% — дыры в сетевом оборудовании, системном программном обеспечении или аппаратуре;
— в 78% случаев нарушители имели учетные записи в атакуемой системе, а в 43% случаев действовали открыто — под своими именами. И только в 26% случаев была зафиксирована маскировка под других пользователей;
— только 23% нарушителей находились на технических должностях (17% имели права администратора);
— 39% нарушителей не подозревали о реализуемых в организации мерах по информационной безопасности.
• Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.).
• Основной мотив совершения преступления — жажда наживы (81%):
— 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности;
— в 23% случаев основным мотивом была месть, в 15% — недовольство руководством и порядками в компании;
— помимо финансовой выгоды были и другие цели: 27% злоумышленников хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.
• Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч), а 54% — не женаты/не замужем.
• В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.):
— также в 61% случаев обнаружение было неавтоматизированным;
— процедуры аудита и мониторинга помогли в 22%;
— журналы регистрации помогли идентифицировать источник преступления в 74% случаев.
• Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от $168 до 691 млн.
• 83% всех инцидентов происходили изнутри атакованной организации и в 70% — в рабочее время.
• В 30% случаев доступ осуществлялся из дома нарушителя.
• Число атак никак не зависело от размера организации. Например, число преступлений в банках со 100 и с 10 000 сотрудников было одинаковым.
Снижение операционных рисков
Не касаясь подробно темы снижения операционных рисков, перечислим некоторые его механизмы:
— планирование процедур управления операционными рисками и, в частности, управления информационной безопасностью;
— регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе аудит безопасности);
— регистрация всех осуществляемых в информационных системах действий;
— аутсорсинг (Managed Service) непрофильных активов (в том числе информационных систем);
— обеспечение банковской тайны (хотя принятие новых законов в последнее время серьезно усложнило эту задачу);
— обеспечение непрерывности бизнес-процессов.
