В наше время, во время стремительного развития информационных технологий, не легко удержать целостность и конфиденциальность информации в банке, а следовательно – и конкурентоспособность на рынке. Являясь нематериальной по природе, информация становится частью товарно-денежных отношений и представляет собой объект нормативно-правового регулирования. Благодаря этому ее защита становится стратегической задачей любого банка и организаций в целом.
По оценкам «Positive Technologies», представляющей услуги в области анализа защищенности данных, количество целенаправленных атак возрастает: 59% во втором квартале 2019 по сравнению с 44% в первом. Растет количество уязвимостей в программном обеспечении. Это подводит к тому, что область информационной безопасности (ИБ) является одной из важных для бизнеса.
Возможность вовремя среагировать на возникшую угрозу и предотвратить потери является ключевой. Для ее обеспечения важно разрабатывать стратегию по управлению информационными (ИТ) рисками.
ИТ-риск – это вероятность возникновения негативных событий из-за применения компанией информационных технологий. Информационные риски связаны в первую очередь с передачей, хранением, использованием информации с помощью электронных носителей и иных средств связи. К информационным рискам можно отнести риски внутреннего и внешнего мошенничества, несанкционированного использования ресурсов банка, нарушение конфиденциальности, целостности и достоверности информации и т.д.
Процесс анализа рисков — это и есть инструмент, с помощью которого можно определить цели управления ИБ, оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации.
Риск для банковской сферы – это вероятность того, что кредитная организация может понести убытки и потери, если данный риск подтвердится, а также если допущены ошибки при принятии управленческих решений.
Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется ее обработка.
В банковской деятельности можно отметить два вида потери информации:
- Персональные данные клиента и его представителей;
- Денежные средства клиента
Банк обеспечивает проведение большого количества операций по клиентам. Клиентами могут быть, как юридические лица и индивидуальные предприниматели, так и физические лица. Но, все-таки, больший ущерб для кредитной организации окажет потеря данных по корпоративным клиентам, то есть юридическим лицам и индивидуальным предпринимателям.
В каждом банке присутствует своя система по работе с клиентами и свой перечень предоставляемых услуг и проводимых операций. В большинстве своем все они имеют много общего – осуществляют обработку клиентских данных: открытие счета, закрытие счета, подключение дополнительных услуг, подключение зарплатного проекта, актуализация данных и прочее.
Остановимся на процессе актуализации юридических лиц. Помимо того, как открыть клиенту счет и добавить выбранные услуги, также следует своевременно проводить обновление информации о потребителе на актуальную. Например, смена фамилии, изменение контактных данных, адреса, списка уполномоченных лиц и так далее. Процесс является очень важным, так как именно посредством него в дальнейшем происходит работа с денежными средствами клиента. Движение клиентских денежных средств осуществляется, опираясь на те данные, которые находятся в банковской клиентской системе.
Рассмотрим пример того, как может происходить потеря информации по клиентам в процессе актуализации данных. К менеджеру в отделение банка приходит представитель клиента и хочет обновить информацию о своей организации. Полная актуализация клиента может занимать от 2-х до 10 дней, это связано со следующими причинами: клиент не донес необходимые документы, подозрение на мошеннические операции (например, подделка подписи) и прочее. Таким образом по клиенту остается открытия заявка, которая ожидает заполнения.
Параллельно в другое отделение приходит уполномоченное лицо клиента и просить изменить ФИО. Сотрудник открывает задачу на актуализацию, вводит новые данные, прикладывает документы и успешно завершает заявку.
Спустя 10 дней клиент доносит необходимые документы, менеджер продолжает работу по первой заявке и доводит ее до завершения. Но в заявке хранились старые ФИО по уполномоченному лицу, и, собственно, при завершении заявки они благополучно заменились на старые. Причина – данные загружаются в задачу из внешних систем только при заведении заявки.
Исходя из ситуации выше возникает риск потери данных по клиенту, причем подобные случаи возникают около 3-4 раз за месяц.
Рассмотрим еще одну ситуацию, возникшую в банке при закрытии счета клиента. В кредитную организацию обратился представитель крупного клиента ЮЛ для закрытия счета. Менеджер счет закрыл, не представляя сегмент клиента, денежные средства вручил представителю. Через некоторое время было выяснено, что представитель не имел полномочий для совершения данной операции, то есть произошла мошенническая операция, которая повлекла за собой потерю денежных средств банка.
Данные примеры позволяют провести анализ, определить слабые стороны системы банка и принять решение по минимизации существующих рисков. Поговорим о том, какими способами и методами можно предотвратить хищение, утечку персональных и материальных данных клиента.
Для того, чтобы предотвратить «перезатирание» данных клиента на неактуальные следует разграничить процесс их обновления на несколько частей:
- актуализация данных в разрезе клиента;
- актуализация данных в разрезе уполномоченного лица.
Разделение поможет проводить параллельно несколько заявкой на обновление данных и ни одна из них не повлияет на другую.
Следующий метод – очистка незакрытых задач через определенный промежуток времени. Создан на тот случай, если сотрудник открыл задачу и «бросил» ее, а через полгода другой менеджер продолжил и завершил заявку. Такой метод позволяет держать открытыми только актуальные заявки; плюс старые задачи на занимают место на дисковом пространстве.
Еще один метод – добавление в карточку клиента информацию о наличии открытых задач. Такое уведомление позволяет менеджеру принять решение на заведение заявки по клиенту. Данный метод является менее результативным, так как он не ограничивает действия менеджера, а лишь предостерегает его о возможных последствиях.
Из всех методов по предотвращению утечки персональных данных потребителя самый «дорогой» — тот, который предлагает разделение процесса актуализации. Такое решение необходимо планировать на длительную перспективу с большим бюджетом и сроком на выполнение.
Второй метод возможно выполнить в короткий срок, так как он не предполагает разделение процесса, а лишь его недорогостоящую доработку. Очищение незавершенных задач позволит в короткий срок уменьшить возможность возникновения риска потери данных клиента.
Крайний метод можно реализовать совместно с первым или вторым, так как, скорее всего, кардинальных изменений в работе менеджера не произойдет, возникновение риска уменьшится на 1-2%. Возможно использовать представленные методы вкупе. Это самый эффективный, но длительный и дорогостоящий способ, который не позволит в короткие сроки предотвратить риск утечки персональных данных клиента.
Теперь перейдем ко второй ситуации – утечка денежных средств компании, материальных данных.
Потеря такого вида данных является наиболее серьезной, однако она в большинстве своем возникает на основании информации о клиенте в системе. Для того, чтобы при закрытии счетов клиента в банке не было возможности проведения неправомерных операций по клиенту следует воспользоваться способами по улучшению банковской системы, описанными ниже.
Первый способ – проведение дополнительного контроля при осуществлении операций по крупным корпоративным клиентам. Крупными можно считать организации с численностью сотрудников больше 300 человек. Одним из способов контроля является уведомление персонального (ПМ) или клиентского (КМ) менеджера, привязанного к данному юридическому лицу, от банка. То есть при заведении заявки на закрытие счета, на e-mail КМ или ПМ приходит сообщение с идентификатором клиента и информацией о планируемой операции. Тот в свою очередь определяет правомерность проведения операции представителем клиента.
Второй способ – доработать CRM-систему в части отображения карточки клиента. На наш взгляд, целесообразно информацию о сегменте клиента сделать доступной для просмотра сотрудником банка. Такая информация «подает сигнал» менеджеру о том, необходима ли дополнительная проверка и внимательность по данному сегменту или нет.
После изучения обоих способов сделаем некоторые выводы. Первый способ более надежный. Дополнительный контроль операций по закрытию счета крупных клиентов позволяет своевременно предотвратить хищение денежных средств организации, посредством участия КМ/ПМ в процессе. Отображение сегмента клиента наименьшим образом позволяет избежать возникновение риска потери материальных данных клиента. Мы предполагаем, что менеджер не всегда может обратить внимание на такую информацию, и, следовательно, эффективность такого способа будет мала. Лучше всего использовать представленные способы вместе.
Подведя итоги, скажем о том, что анализ рисков необходимо проводить на этапе зарождения процесса. Это поможет компании решить готова ли она на данный шаг. Всегда следует рассматривать несколько вариантов решения для устранения конкретной ситуации, и в результате выбрать наиболее подходящий. Также добавим, что без хорошей, автоматизированной системы и грамотного построения бизнес-процесса для той или иной операции банковская организация не добьется больших успехов на рынке.
Список литературы:
- Барабанова М.И., Кияев В.И., Саитов А.В. Открытые системы и сети. Комплексная безопасность в системах и сетях современного предприятия: Учебник – СПб: Изд-во СПбГЭУ, 2019. – с. 450
- Достижения банка [Электронный ресурс]. Режим доступа — https://alfabank.ru/about/awards/. Дата обращения: 22.12.2019
- Стрекалова, Н. Д., Беляков, В. Г. Разработка и применение учебных кейсов: практическое руководство [Текст] / Н.Д. Стрекалова, В.Г. Беляков ; Санкт-Петербургский филиал Нац. исслед. ун-та «Высшая школа экономики». — CПб.: Отдел оперативной полиграфии НИУ ВШЭ — СанктПетербург, 2013. — 80 c.
