журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
Новые рыночные страны

Международные банки

БАНКОВСКИЙ МАРКЕТИНГ

МОБИЛЬНЫЙ БАНКИНГ

БАНКОВСКИЕ СТРАТЕГИИ

Банковская деятельность

ПЛАТЕЖНЫЕ КАРТОЧКИ

Информационные технологии

Банковское регулирование

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №7, 2003

Информационные технологии

Защита персональных данных – дело первостепенной важности

Информационная безопасность стала основной заботой американских банков

Преступления, связанные с использованием в мошеннических целях похищенных личных данных банковских клиентов, в наши дни не знают границ. Простота доступа к Интернету, разнообразные банковские веб-сайты, возможность совершать трансакции в режиме он-лайн и наличие широкого арсенала хакерских инструментов превратили хищение персональной информации в выгодный и легкий бизнес. Преступники повышают свой "профессиональный" уровень, предпочитая вооруженному грабежу и кражам более простой и доступный способ обогащения – использование личных данных банковских клиентов для проведения операций по счетам. Подобные аферы все больше тревожат как банкиров, так и пользователей банковских услуг.

Двенадцать миллионов пострадавших

По данным опроса двух тысяч респондентов, проведенного в апреле 2003 года американской компанией Star Systems, проблема хищения персональной информации заботит американцев больше, чем безработица или корпоративное мошенничество. Более того, по мнению некоторых экспертов, тлеющее негодование против незаконного использования персональных данных банковских клиентов может стать одним из весомых факторов, определяющих исход президентских выборов 2004 года.

Девять десятых американцев требуют пересмотра федерального законодательства в части охраны их личных данных. Более двух третей считают, что финансовые институты должны усовершенствовать процессы подтверждения персональной информации клиентов при оформлении банковского счета (66%) и выдаче кредитной карточки (72%). Около 5.6% респондентов (12 млн., если экстраполировать эти цифры на всю страну!) признали себя жертвами несанкционированного использования их персональных сведений. Если к этому показателю добавить случаи мошенничества с использованием кредитных и дебитных карточек, получится, что около 15,9% клиентов финансовых институтов пострадали в результате подобных действий.

Точное количество случаев хищения персональной информации трудно выявить, отчасти потому, что факт их совершения весьма трудно установить. По словам Барбары Спэн, вице-президента Star Systems, иногда проходит несколько месяцев, прежде чем клиент обнаруживает, что стал жертвой незаконного использования его персональных данных. Кроме того, даже в случае установления факта кражи информации о клиенте порой требуются еще годы, чтобы найти преступников и ликвидировать последствия. За это время аферистам удается беспрепятственно совершить множество подобных преступлений.

Действительно, самая большая проблема заключается в том, что жертва в данном случае долгое время остается в полном неведении, что ее данные уже используются в мошеннических целях. По словам Дона Ги, начальника департамента управления оперативными рисками банка JP Morgan Chase, для совершения диверсии мошенникам иногда достаточно просто заявить об изменении почтового адреса. Тогда пользователь кредитной карточки не получает уведомлений из банка, в то время как преступники используют его данные для снятия денег со счета или других противозаконных операций. Например, они проделывают так называемое "мошенничество с кредитным балансом", "присасываясь" к чековому счету жертвы. При этом, длиться это может достаточно долго, особенно если аферисты не снимают сразу больших сумм. Использование персональной информации может, например, выплыть наружу только через год, когда клиента побеспокоит звонком из банка служащий, интересующийся, когда и каким образом он намерен оплатить долг по кредитной карточке.

По мнению Дона Ги, современные рецидивисты отличаются высоким профессионализмом и хорошей организацией. Сегодня хищение персональной информации в США уже стало одним из видов организованной преступности и считается более выгодным, чем, к примеру, торговля наркотиками или оружием. В дополнение к трудности установления факта незаконного использования персональной информации такие преступления нередко квалифицируются под другими названиями. К примеру, как говорит Спэн, часто причиной закрытия счета может быть названо мошенничество, а аннулирования кредитной карточки – неплатежи, хотя на самом деле в обоих случаях имеет место хищение персональной информации. В 2002 году Federal Trade Commission было зафиксировано 161 819 таких случаев. Из них 42% – кражи кредитных карточек, 22 и 17% – соответственно телефонное и банковское мошенничество, 9% – случаи, связанные с трудоустройством.

"Лучше предупредить, чем лечить"

По прогнозам американской консалтинговой компании Celent Communication, потери от противозаконных операций по кредитным карточкам в 2004 году могут составить $2.5 млрд. Методы, используемые аферистами, – от фальшивых банковских сайтов до тривиальных краж кредитных карточек прямо из карманов граждан. Как указывает Celent Communication, в следующем году общий ущерб от использования похищенной персональной информации может быть оценен в $8 млрд., хотя и признает, что действительный показатель может быть намного выше. Спэн объясняет это тем, что, если число пострадавших от мошенничества (12 млн.) умножить на средний показатель потерь ($2 тыс.), то общая сумма достигнет $24 млрд.

Принимая во внимание, что кража личной информации может стать серьезной проблемой, американские законодатели предусмотрели ряд мер. Еще в 1998 году был принят Акт о хищении персональной информации, который квалифицирует как федеральное преступление "заведомое использование средств идентификации другого лица с целью совершения, пособничества или подстрекательства к любой незаконной деятельности, которая считается таковой в соответствии с действующим федеральным законодательством". Предупреждение хищения персональной информации стало ключевой темой других законодательных актов, таких как Акта USA Patriot, Акта Gramm-Leach-Bаiley и международных нормативов резервирования кредитных и операционных рисков Basel II Capital Accord.

Американские регулирующие органы разработали правила, дополняющие §326 Акта USA Patriot, согласно которым финансовые институты обязаны подтверждать идентичность личности каждого клиента при открытии счета, сохранять полученные данные и проверять, не состоит ли клиент в списках подозреваемых в терроризме или участии в террористических организациях. В соответствии с новыми правилами, которые вступят в силу в октябре 2003 года, банки должны будут ввести процедуры по сбору стандартной информации о клиенте. В этот стандартный набор входят имя и фамилия клиента, его адрес, дата рождения и номер социального страхования. По мнению Барбары Спэн, новые дополнения чрезвычайно важны, поскольку они требуют от финансовых институтов хорошего знания их клиентов и наличия методов проверки персональной информации.

Акт USA Patriot требует соблюдения только минимальных стандартов предупреждения хищения персональной информации. Чтобы действительно предотвратить доступ террористов и преступников к финансовой системе, банкам следует вводить более серьезные меры. Барбара Спэн считает, что в сложившейся криминальной обстановке, когда все чаще приходится сталкиваться со случаями отмывания денег, "вторжения" террористов в финансовую систему, хищения персональной информации и мошенничества, финансовым институтам необходимо расширить эти минимальные стандарты.

Уже давно банки вынуждены выделять часть своего капитала на покрытие ущерба от мошенничества. Однако участившиеся случаи кражи личной информации заставляют их пересмотреть показатели минимальных или приемлемых потерь. По мнению Кристины Пратт, главного аналитика кредитных операций в TowerGroup, кредиторы всегда предусматривали некоторую долю риска, однако в отношении мошенничества пребывали в состоянии благодушия. Теперь настало время пересмотра подобных взглядов. Пратт отмечает, что способы использования незаконно присвоенной персональной информации при получении кредита довольно разнообразны и непредсказуемы. Поэтому особенно актуальны инвестиции в более совершенные технологии, дающие возможность подтверждать идентичность личности клиента при выдаче кредитов. Это поможет банкам предотвратить кражу персональных сведений.

Согласно требованиям свода нормативов Basel II, которые вступят в силу в 2006 году, банки должны будут выделять определенную часть капитала на покрытие потерь от операционных рисков. По словам Джима Гэхагена, вице-президента и финансового аналитика компании PeopleSoft, банкам впервые вменяется в обязанность должным образом оценивать возможные источники и объемы потерь, связанных с операционными рисками. По мнению Гэхагена, многие решения по управлению рисками сегодня слишком односторонние и действуют в пределах только одного вида бизнеса, а не всей системы в целом.

Управление рисками стало приоритетным инвестиционным направлением для финансовых институтов. По данным GartnerGroup, в 2003 году затраты 42% крупных американских банков на информационные технологии по управлению рисками составят от $500 тыс. до $2.5 млн. (9,2% от общих расходов на информационные технологии). Ответственность за управление рисками переместилась от отдельных департаментов на корпоративный уровень. По словам Винсента Оливы, вице-президента и научного руководителя GartnerGroup, централизованная поддержка инициатив по управлению рисками перешла к представителям руководства банков. По его мнению, это, в свою очередь, повлияет на обеспечение финансовых институтов более современными информационными технологиями.

"За" и "против"

информационных

технологий

Как отмечает Кристина Пратт из TowerGroup, информационные технологии – это, во многом, палка о двух концах. С одной стороны, Интернет и другие подобные каналы самообслуживания расширили сферу деятельности мошенников с кредитными карточками, с другой же современные информационные средства дают возможность быстрее находить и обезвреживать преступников. И, все же, Интернет стал хорошим союзником в деле внедрения новых решений для подтверждения персональных сведений клиентов. Например, небольшие банки получили доступ к базам данных типа Primary Payment Systems, которая хранит записи 200 млн. счетов большинства крупных банков. Primary Payment Systems, провайдер систем управления рисками, представила облегченную интернет-версию своей системы для идентификации и подтверждения персональной информации Identity Chek. Эта версия поможет небольшим банкам соблюдать положения Акта USA Patriot и защитит их от мошенничества.

Identity Chek используется в 21 из 30 крупнейших финансовых институтов США. В 2002 году с помощью этой системы было проведено свыше 30 млн. проверок персональных данных клиентов. Применяя около 60 тестов при каждом случае проверки, Identity Chek выявляет и предупреждает банки о недействительных, противоречивых и необычных данных по счетам и сберегательным вкладам, кредитам, обращениям за получением кредитной карточки и изменениям адреса. По словам Барбары Спэн из Star Systems, у которой есть дочерняя фирма Primary Payment Systems, существует много различных тестов и перекрестных проверок для обнаружения недействительной или противоречивой информации. Тест состоит, например, из сопоставления даты рождения и номера социального страхования или почтового индекса и почтового адреса.

Интернет-версия сделала доступной эту услугу для небольших банков. По словам Барбары Спэн, интернет-форма была представлена для того, чтобы банки могли проводить опрос в режиме реального времени. По ее мнению, сегодня жертвами афер все чаще становятся клиенты именно таких институтов. Для крупных финансовых стрктур не слишком хорошее знание их клиентов и прежде было обычным делом. Теперь, когда крупные банки обладают хорошими технологиями для защиты собственной безопасности, мошенники сделали объектами своего внимания небольшие финансовые учреждения, которые не знают своих клиентов в такой степени, как это было раньше.

Существует множество различных инструментов, предупреждающих хищение информации. Например, Attus Technologies, компания – разработчик программного обеспечения, представила линию продуктов проверки информации, которая называется WatchDog. Она должна помочь банкам действовать в соответствии с правилами, дополняющими § 326 Акта USA Patriot. Трей Салливан, генеральный директор Attus Technologies, отмечает, что террористы, совершившие теракт 11 сентября 2001 года, открыли банковские счета с помощью фальшивых номеров социального страхования. По его мнению, для большинства банковских мошеннических схем использование недействительных или просроченных номеров социального страхования практически невозможно в случае применения правильного программного обеспечения.

Когда дата рождения или номер социального страхования вводятся в WatchDog, система определяет, когда был присвоен номер, штат, в котором это происходило, и соответствие номера возрасту клиента. Система может также подтвердить подлинность фотографий на документах (например, в водительских правах, видах на жительство и других иммиграционных документах). Кроме демонстрации точной копии фото на документах, система снабжает пользователей дополнительными мерами безопасности, например, голограммами.

Провайдеры традиционного банковского программного обеспечения тесно сотрудничают с разработчиками инструментов проверки персональной информации. Например, Magnet Communications, провайдер программного обеспечения наличных расчетов в Интернете, использует программное обеспечение для проверки личности от компании Penley в его центре данных в Атланте.

Управление внутренней безопасностью

По словам Дона Ги из Chase, с внедрением каждой новой информационной технологии банки все более отдаляются от своих клиентов. Аккумулирование данных о клиентах благодаря использованию новых технологий опережает призванные их защищать стратегии и процедуры.

Стратегия предотвращения хищения персональной информации включает три последовательные стадии: идентификацию, проверку и подтверждение информации. Идентификация – это предоставление клиентом документов, удостоверяющих его личность: номер социального страхования, водительские права, паспорт и пр. Затем следует процесс проверки, т.е. доказательства их подлинности. Конечный этап – подтверждение – состоит из сопоставления клиента с его индивидуальными, только ему присущими свойствами (например, паролем, физическими или биометрическими данными – отпечатками пальцев, голосом, сканированием сетчатки глаза и т.п.), которые подтверждают подлинность личности.

Необходимость подтверждения информации касается как клиентов, так и сотрудников банка. Дон Паркер, руководитель информационной службы в Comerica, считает, что информационная безопасность финансового института в большей степени зависит от его сотрудников, чем от клиентов. Этот детройтский банк не жалеет средств на укрепление внутренней безопасности. В Comerica хорошо охраняемая территория, бронированные стены, установлено специальное программное обеспечение для фильтрации сайта. Кроме того, действует система детекторов несанкционированного вторжения в информационную базу данных.

Цель всех этих мер – баланс доступа к информации и ее безопасности. По мнению Паркера, доступ к информации должен быть разрешен только тем, кто в ней действительно нуждается. По его словам, политика безопасности информации в Comerica включает в себя предупреждение ее хищения, обнаружение факта утечки и устранение последствий. Первым преимуществом банка Паркер считает то, что им принимаются все возможные меры для предупреждения хищения информации. Второе преимущество Comerica состоит в том, что, если все-таки случается утечка информации, она должна быть вовремя обнаружена. Для этого используются специальные детекторы несанкционированного вторжения. Последний элемент – устранение последствий кражи информации. Для этих целей применяется так называемый "план ответа компьютера на инцидент".

Дон Ги также соглашается с необходимостью применения мер по информационной безопасности и ограничению доступа сотрудников банка к клиентским базам данных. "Необходимость доступа к информации – это довольно широкое понятие. Если мне нужно рассмотреть две жалобы в месяц, в то время как менеджер непрерывно отвечает на звонки клиентов, значит, мне не нужен постоянный доступ к клиентским данным", – говорит он. "Безопасность информации, – добавляет Ги, – простирается от копий документов до высокотехнологических операций в Интернете".

Чрезвычайно велика роль привлечения персонала к мероприятиям по безопасности. По мнению Дона Ги, осознание сотрудниками финансового института важности политики информационной безопасности – первый фактор успеха. Ги считает, что сотрудники банка должны почувствовать личную ответственность за сохранение персональных данных о клиентах и проявлять разумную бдительность. К примеру, он советует не оставлять информацию о клиенте на экране монитора, когда сотрудник покидает свое рабочее место во время обеденного перерыва, проводить проверки на постороннее вторжение и следить за тем, чтобы никто не находился за спиной менеджера, когда он работает с данными клиента.

Клиенты также должны осознавать важность системы информационной безопасности. По мнению Дона Ги, пользователи банковских услуг зачастую не понимают – или не придают значения – угрозы со стороны похитителей персональной информации. Банкам следует вести разъяснительную работу с клиентами и более активно привлекать их к соблюдению правил информационной безопасности.

Поскольку клиенты, как правило, неохотно воспринимают все, что увеличивает время их обслуживания и проведения трансакций, менеджеры часто небрежно относятся к внедрению в жизнь политики банка в части предотвращения хищений персональных данных. Это приводит к ужесточению разногласий менеджеров банка с отделами управления операционными рисками, поскольку на их плечи ложится основная нагрузка по соблюдению правил информационной безопасности.

Дон Паркер считает, что для устранения подобных проблем необходимо применять централизованный подход к проведению в жизнь практики безопасности. В Comerica действует специальная служба, обеспечивающая внесение изменений в базу данных в масштабе персональной информации клиента. По словам Паркера, в банке не жалеют времени и средств для защиты клиентов и системы в целом: "Вторжения в информационную систему стали более сложными, более частыми, чем ранее. Это требует увеличения инвестиций для обучения персонала и приобретения более совершенных инструментов".

Однако, по мнению Паркера, банкам не следует полагаться только на эффективность технологий защиты их информационного пространства. Проблему хищения и незаконного использования персональной информации нужно решать сообща, объединив усилия всех финансовых институтов. "Банки конкурируют между собой по многим направлениям, но нельзя конкурировать в отношении безопасности, – говорит он. – Напротив, им следует обмениваться опытом в части успешного применения различных способов защиты информации о клиентах, что поможет финансовой системе в целом справиться с этой проблемой".

Виктория Куприйчук, по материалам Banking Systems & Technology

 
© агенство "Стандарт"