Основными областями концентрации рисков, на которые кредитным организациям следует обращать внимание, являются следующие:

1) Нормативно распорядительная документация (договоры, регламенты, инструкции по использованию технологий ДБО и др.). Концентрация рисков в данной зоне связана с тем, что при внедрении и эксплуатации систем ДБО нормативно распорядительная документация должна обеспечить взаимодействие достаточно большого числа разносторонних сотрудников и внешних клиентов. Учитывая различные области производственной деятельности вовлечённых в процесс специалистов, вполне вероятно наличие нестыковок и недостаточная проработанность некоторых вопросов;

2) Отсутствие в кредитных организациях чёткой регламентации процессов, связанных с эксплуатацией систем ДБО, а также механизмов мониторинга адекватности действующей нормативной документации приводят к расширению состава негативных факторов, которые могут сказаться как на интересах клиентов, так и на финансовом состоянии организации;

3) Доступ пользователей к информационным ресурсам через не доверенную среду сети Интернет. Концентрация рисков в данной зоне связана, прежде всего, с ошибками или злоупотреблениями по предоставлению прав доступа и управлению идентификационными данными (паролями, криптоключами) клиентов. Кроме того, существенное влияние оказывают уязвимости программных, аппаратных средств и существующих технологий, а также рост попыток получения неправомерного доступа к информации, циркулирующей в системах ДБО;

4) Использование устаревших технологий создаёт дополнительные риски, вероятность реализации которых с течением времени увеличивается.

Основными направлениями в клиентской части системы, на которые следует обращать пристальное внимание, являются:

недостаточная проработанность документов, регламентирующих права и обязанности клиентов при получении услуг;

недостатки в обеспечении информационной безопасности;

недостатки, присущие конкретной банковской технологии ДБО;

недостатки и уязвимости, присущие операционным системам и другим прикладным программам, эксплуатируемым клиентами;

последствия, обусловленные ошибочными действиями персонала кредитной организации или безграмотностью клиентов.

Для кредитной организации направления, нуждающиеся в тщательной проработке, следующие:

недостаточная проработанность документов, призванных осуществить адаптацию довольно большого количества внутренних процессов и процедур к новым условиям деятельности;

недостатки в вопросах технического обеспечения информационной безопасности системы ДБО;

недостаточный анализ при внедрении новой банковской технологии, ориентированной на ДБО через Интернет, анализ тех "неприятностей" (организационных, юридических), которые клиент может доставить кредитной организации;

значительная зависимость кредитной организации от других вовлеченных в процесс сторон (провайдеров, поставщиков программно-аппаратных средств и др.).

Анализ существующих факторов риска поможет выявить процессы, влияющие на их уровень. Этот анализ должен включать:

разработку и поддержание в актуальном состоянии нормативно распорядительных документов;

поддержание требуемого уровня информационной безопасности, включая управление жизненным циклом автоматизированных систем (от разработки до окончания эксплуатации);

администрирование вычислительной сети и телекоммуникационного оборудования;

управление идентификацией и доступом пользователей к информационным ресурсам;

внедрение новых технологий повышающих безопасность эксплуатации систем ДБО;

мониторинг сетевого трафика с целью обнаружения вредоносного кода и вторжений.

Для своевременного реагирования на существующие риски кредитным организациям необходимо обеспечить выполнение комплекса организационных и технических мероприятий, направленных на обеспечение безопасного функционирования системы ДБО. Обеспечение удобства работы клиентов в системе, при выполнении такого комплекса, может явиться дополнительным конкурентным преимуществом.

Существует мнение, что усиление безопасности всегда негативно сказывается на удобстве работы клиента. Это не верно. Если безопасность не является "параноидальной", а используемые технологии современны и адекватны наличествующим угрозам, обеспечить одновременно удобную и безопасную работу для клиента вполне возможно.

Не менее распространённым является мнение о том, что необходимость дополнительных расходов за обеспечение безопасности всегда негативно воспринимается клиентами и ведёт к снижению их числа. Как показывает опыт передовых банков, если клиентам правильно и доходчиво объясняются существующие риски и возможные последствия, то, при наличии выбора механизма защиты, практически всегда выбор делается в пользу более высокого уровня безопасности. Поэтому внедрение новых безопасных аппаратных средств защиты идентификационной информации является насущной необходимостью.

Безусловно, стоимость и эффективность внедряемых технологий должна соответствовать тем объёмам финансовых операций, которые совершает клиент. Так, в случае небольших объёмов, для физических лиц чаще используются технологии одноразовых паролей, которые наряду с применением "запоминаемого" пароля, дают существенное увеличение безопасности совершаемых операций, при относительно небольшой стоимости. Использование инфраструктуры открытых ключей наряду с ключевыми носителями, способными надёжно сохранять идентификационную информацию о клиенте, по-прежнему остаётся практически безальтернативным вариантом для юридических лиц.

В последнее время появились довольно интересные решения в области повышения безопасности. Так, для технологии ЭЦП на рынке предлагаются смарт-карты на базе платформы Java, которые способны выполнить ЭЦП по алгоритму ГОСТ 34-10 2001 г., без использования криптопровайдера. При этом все криптографические операции с секретным ключом выполняются внутри смарт-карты, секретный ключ её никогда не покидает. Эта технология сводит к нулю вероятность кражи секретного ключа пользователя. Доступ к самой смарт-карте защищается PIN-кодом и, если она попадёт в посторонние руки, злоумышленнику не удастся ей воспользоваться. Кроме того, данная технология не требует установки, какого либо клиентского программного обеспечения на рабочем месте клиента. Совокупность всех этих факторов предоставляет клиентам высокую степень безопасности, удобство в работе и, главное, мобильность (клиент может получить доступ к системе практически с любого компьютера).

Ещё одной новинкой является технология, расширяющая возможности применения средств аутентификации для обеспечения защищенного удаленного доступа к информационным ресурсам. Она основана на жесткой фиксации адреса сервера ДБО внутри смарт-карты. При этом сама смарт-карта имеет "загрузчик" который позволяет в доверенном режиме скачать с сервера необходимое для работы в системе ДБО программное обеспечение. Клиент, использующий данную технологию, не может быть перенаправлен на какой либо другой сервер, при этом доступ к информационным ресурсам организуется с использованием SSL-протокола (Secure Sockets Layer - слой защищенных соединений), но без установки клиентского программного обеспечения. Эта технология делает практически невозможными "фишинг - атаки" и перехват критически важной информации.

Своевременный учёт и анализ реально существующих факторов риска позволяет разработать, а затем реализовать комплекс организационных и технических мероприятий, значительно снижающих вероятность реализации угроз информационной безопасности. Недооценка важности технических или организационных составляющих (равно, как и "перекос" в сторону одной из них) одинаково негативно отражается на безопасности систем ДБО.

Затраты на развитие и модернизацию технологий защиты систем ДБО, оправдывают себя, поскольку с одной стороны позволяют избежать значительных финансовых потерь, а с другой способствуют улучшению условий работы клиента. Кроме того, если смотреть на вопрос с позиции экономики: эти затраты, по сути, являются инвестициями в развитие конкурентных преимуществ банковских технологий.

Лидирующее место по разработке и поставке программного обеспечения ДБО на рынке на данный момент занимает компания BSS.

Основные системы, которые предлагает Компания своим Клиентам:

"ДБО BS-Client" - комплексное интегрированное решение, включающее в себя весь спектр банковских услуг, предоставляемых за пределами офиса банка юридическим лицам;

"ДБО BS-Client. Частный Клиент" - полнофункциональное тиражируемое решение, обеспечивающее удобное и надежное электронное обслуживание розничных клиентов банка с помощью Интернет, КПК, киосков самообслуживания, сотовых и обычных телефонов;

"Расчетный Центр Корпорации" (РЦК) - полнофункциональное решение в сфере автоматизации централизованного управления в режиме реального времени корпоративными финансами предприятий с территориальной и организационной структурой любой сложности;

"CORREQTS" - решение для автоматизации фронт-офиса банка (финансовой компании), всей сферы контакта с конечным потребителем банковских и финансовых услуг.

Спектр продуктов и услуг Компании постоянно расширяется. Сегодня Компания успешно развивает следующие бизнес-направления:

Системная интеграция - проектные работы по обеспечению комплексного взаимодействия различных автоматизированных систем - АБС, программного обеспечения процессингового центра, систем дистанционного банковского обслуживания, внешних платежных и других информационных систем;

CRM-решения - проектные работы по выработке и реализации полноценной методологии управления взаимоотношениями с клиентами на базе продукта Terrasoft CRM Bank;

Учебный центр - профессиональная подготовка IT персонала в сфере ДБО и ИТ.

Более 50% крупнейших банков России используют системы, разработанные Компанией. В частности, по данным аналитических исследований CNews Analytics за 2009 год, 24 из 50 ведущих банков РФ используют подсистему "Интернет-Клиент" системы "ДБО BS-Client", а 28 из 50 - подсистему "Банк-Клиент". В целом, решения Компании эксплуатируются более чем в 1500 кредитных организациях России и стран СНГ.

В число клиентов Компании входят Банк ВТБ (ОАО), ГПБ (ОАО), ОАО "Россельхозбанк", ОАО "УРАЛСИБ", ЗАО ЮниКредит Банк, "НОМОС-БАНК" ОАО, ОАО Банк "Петрокоммерц", ОАО "АК БАРС" БАНК, ОАО АКБ "Связь-Банк", ОАО "ТрансКредитБанк", Банк "Возрождение" (ОАО), "ТУСАР банк" ЗАО и др.

По данным рейтингов РА "Эксперт" и Интернет-издания CNews.ru, BSS входит в сотню крупнейших и наиболее активно развивающихся IT-компаний России. Система менеджмента качества BSS сертифицирована по международному стандарту ISO 9001: 2000 (первой среди специализирующихся на решениях в сфере ДБО).

Система ДБО должна соответствовать основным направлениям развития бизнеса банка, тех услуг, которые банк планирует предлагать своим клиентам. Работа с матрицей клиентов в самых различных измерениях имеет высокий приоритет. Первым шагом в данном направлении является предоставление услуг ДБО в разрезе многофилиальной структуры банка.

По данным компании BSS, юридические лица пока остаются основными потребителями услуг дистанционного банковского обслуживания. Розница все еще только осваивает этот метод работы с банками. Практически во всех отечественных банках уже давно установлены системы ДБО, которые делают более удобными возможные аспекты взаимодействия с клиентами.

Например, дистанционные услуги юридическим лицам предоставляют почти 100% российских банков; банков, использующих системы для работы с физическими лицами, в России на порядок меньше, но эта тенденция постоянно меняется в сторону роста количества используемых систем. По данным компании, наибольшим спросом у банков пользуются системы типа "Банк-Клиент".

Можно заключить, что потенциал рынка по системам этого типа состоит в основном в продвижении этих систем среди других клиентских сегментов и в улучшении качества предоставляемых услуг. Следовательно, ожидается развитие специализированных решений по обслуживанию юридических лиц, где система "Банк-клиент" является составной частью, например, услуг private-банкинга. Сегмент Интернет-банкинга активно развивается, и российские банкиры отмечают постоянный рост клиентской базы - от 40% в год (по отдельным направлениям этот рост еще выше). Данный рост будет продолжаться и в будущем.

В области развития интеграционных решений необходимо отметить факт резко возросшей потребности в централизованных системах, позволяющих объединить распределенные филиалы и отделения банка, вызванный трендом объединения финансовых структур и развития региональных сетей.

Однако основной потенциал развития рынка систем ДБО составляют кредитные организации, планирующие внедрение и активное развитие Интернет-банкинга и систем дистанционного обслуживания физических лиц, а также мобильных решений для юридических лиц. Именно такие системы и решения будут наиболее динамично развиваться в ближайшие годы.

На сегодняшний день уже треть банков уровня ТОР-100 используют системы дистанционного банковского обслуживания физических лиц. Среди способов оказания услуг ДБО физическим лицам, наряду с распространением Интернет-банкинга, будет все более популярен мобильный банкинг. В Западной Европе средства мобильной связи выходят на первое место, обходя персональные компьютеры по популярности использования для совершения банковских операций.

В условиях отсутствия у значительной части населения России доступа к высокоскоростному проводному Интернету внедрение мобильных услуг является эффективным решением. Сегодня в подавляющем большинстве случаев банк, строящий инфраструктуру ДБО для физических лиц, планирует предоставление мобильных услуг на одном из этапов развертывания инфраструктуры.

По оценкам экспертов рынка, потенциал развития Интернет-банкинга огромен. Аудитория российской зоны Интернета уже сейчас насчитывает более 30 миллионов пользователей и, согласно данным опросов, каждый третий Интернет - пользователь готов управлять своим банковским счетом через Сеть. И если рынок Интернет - торговли увеличивается на 30-50% ежегодно, то число абонентов мобильной связи уже существенно превышает численность населения России. Можно утверждать с высокой степенью вероятности, что мобильные сервисы будут показывать максимальный прирост клиентской базы в ближайшие годы.

Все эти показатели формируют благоприятную почву для развития дистанционных платежных сервисов.

Глава 2. Современные системы дистанционного банковского обслуживания юридических лиц