<<
>>

Адаптация работы с удаленными клиентами

Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организации реальных платежных документов приводит к возникновению дополнительных проблемных задач, которые, в свою очередь, ассоциируются с компонентами типичных банковских рисков.

При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки - в случае варианта Интернет-банкинга), переводит СЭБ в некий режим работы, априори ему, естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.

Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких- либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае - и риска неплатежеспособности). Если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.

В случае использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат).

Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнеспланирования, ТЭО и т.п.).

Любое обслуживаемое той или иной кредитной организацией лицо (неважно, юридическое или физическое) должно быть в первую очередь уверено, что при использовании им СЭБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент, к примеру, сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, поскольку открытые системы компьютерной связи подвержены атакам со стороны разного рода «компьютерных мошенников». Например, в случае атак типа фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известной ему кредитной организацией с последующей «выдачей» данных своей персональной идентификации или номера банковской карты, которые затем окажутся использованными мошенником для хищения финансовых средств или в каких-то других целях.

Одна из атак этого вида инициируется фишером, который может воспользоваться доступными справочниками (базами данных) web- адресов для рассылки сообщений, в которых под упомянутым благовидным предлогом клиенту предлагается подтвердить персональную идентификационную информацию с помощью гиперссылки, через которую якобы инициируется соответствующий диалоговый интерфейс с кредитной организацией. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через Интернет-браузер, вот только адресная строка, которую видит клиент и которая ему знакома, представляет собой фальшивый элемент изображения, формируемый специальным JavaScript и наложенный на изображение настоящей адресной строки, в которой фигурирует (но, понятно, не виден клиенту) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка «Переход» («Go»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Java. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, поскольку адресная строка остается, так сказать, «установленной». В худшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но по статистике мало кто из атакуемых об этом задумывается.

Не случайно и появление web-сайтов-подделок, которые оформляются аналогично настоящим web-сайтам кредитных организаций и предназначены для «извлечения» персональной идентификационной информации, за чем далее следуют хищения финансовых средств. Поэтому Банк России сообщил об этом банковскому сообществу и начал размещать на своем web-портале сведения о настоящих адресах web- сайтов кредитных организаций, которые поступают в составе регламентной банковской отчетности.

Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Необходимо помнить, что клиенты кредитных организаций - «всего лишь люди», весьма склонные к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил использования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, утрата средств персональной идентификации или их компрометация в случае хищений (физических и компьютерных с помощью вирусных программ, сканирования при банкоматном обслуживании и т.п.) и др. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т.п., претензии такой клиент предъявит, прежде всего, к кредитной организации (даже если на самом деле проблема была связана с недостатками в деятельности каких-либо провайдеров).

<< | >>
Источник: А.В. Корень, С.В. Кривошапова, В.Г. Кривошапов, В.С. Просалова, Е.Н. Смольянинова, В.Н. Кутинова. УЧЕБНЫЙ БАНК [Текст] : учебно-практическое пособие / сост.: А.В. Корень, С.В. Кривошапова, В.Г. Кривошапов, В.С. Просалова, Е.Н. Смольянинова, В.Н. Кутинова. - Владивосток : Изд-во ВГУЭС,2014. - 112 с.. 2014

Еще по теме Адаптация работы с удаленными клиентами:

  1. 2.1. Работа имиджмейкера над образом клиента.
  2. 4.2. Работа имиджмейкера над образом клиента.
  3. 1.2. Общая характеристика имидж-технологий. Методика работы имиджмейкера с клиентом.
  4. Тема 1 Имидж и его значение в современном мире. Анализ существующих имидж-технологий. Особенности работы имиджмейкера с клиентом.
  5. § 3. особенности договорных отношений клиента с адвокатами при оказании ими юридической защиты. порядок отнесения клиентами затрат по оплате услуг адвокатов на себестоимость
  6. Статья 192. Удаление свидетелей из зала судебного заседания
  7. Статья 221. Удаление суда для вынесения решения
  8. Статья 16.11. Уничтожение, удаление, изменение либо замена средств идентификации Комментарий к статье 16.11
  9. Острой темой для правового регулирования и практики проведения российских выборов является юридическая возможность удаления наблюдателей
  10. 2. Выстраивание отношений с клиентом по подготовке жалобы
  11. Оценка кредитоспособности и платежеспособности клиента
  12. II. Обязанности адвоката по отношению к клиентам