Мы побеседовали с Разиной Ольгой Михайловной, к.э.н., членом СРО аудиторов «Содружество», членом «Института внутренних аудиторов», заместителем руководителя Службы внутреннего аудита НКО ЦК РДК (АО) Группа Санкт-Петербургская международная товарно-сырьевая биржа. Более двадцати лет практики в области внутреннего аудита и контроля в крупнейших кредитных организациях, в области финансовых расследований и консалтинговых услуг.
Начать наш разговор хочу с простого вопроса – почему проблемы кибербезопасности сегодня так актуальны для кредитных организаций?
Мне кажется, что актуальность обеспечения надежного функционирования финансовой инфраструктуры в первую очередь связана с необходимостью противостояния киберугрозам для бесперебойного функционирования операционной инфраструктуры. Часть этих угроз реализовалась на практике в период активной фазы пандемии (COVID-19), что потребовало от банков обеспечения непрерывности бизнеса в условиях удаленной работы (в среднем не менее 70%-80% от общего количества персонала). Кроме того, в короткий срок необходимо было модернизировать инфраструктуру из-за лавинообразного роста нагрузки, организовать доступность ресурсов пользователям, обеспечить технологии коммуникации рабочего коллектива. Именно в этот период впервые перед банками была поставлена задача по обеспечению кибербезопасности в условиях удаленной работы, включая обеспечение мер защиты информационных активов, каналов связи и средств доступа; выявлении рисков утечки данных и несанкционированного доступа в сеть и к средствам удаленного доступа; мониторинга текущих угроз. Да и сегодня задачи по обеспечению кибербезопасности сохраняют свою актуальность ввиду популярности удаленного формата работы, а также ряда других факторов.
Могли бы Вы как то охарактеризовать, с какими рисками в первую очередь сталкиваются банки в обычной жизни и как они связаны с безопасностью банковской деятельности?
Дело в том, что в банковской деятельности существует огромное количество рисков, но наиболее опасными считаются риски мошенничества. Для читателей, я кратко поясню, что риск возникновения внутреннего мошенничества можно рассматривать как разновидность операционного риска, и он связан в большинстве случаев с действиями собственного персонала банков (утечка данных по клиентам, списание средств со счетов клиентов, фальсификация данных по клиентам, сговор для совершения мошеннических действий и пр.) Тогда как внешнее мошенничество, больше сопряжено с внешними факторами, связанными с намеренным вмешательством 3-х лиц в операционную инфраструктуру банков.
Например, как свидетельствуют аналитические исследования, наиболее подвержены риску мошенничества операции с банковскими картами, поскольку их осуществление связано с дистанционным обслуживанием и позволяет даже при отсутствии карты владельца совершить любую транзакцию. Согласно международным статистическим данным, только за 2013 год убытки от мошенничества по банковским картам в мире достигли 16,31 млрд долларов при общем объеме операций в 29 трлн долларов. Отвечая на ваш вопрос, хочу отметить, что сложнее всего в банковской деятельности противостоять внутреннему мошенничеству, поскольку оно напрямую затрагивает информационную безопасность банков и наносит колоссальный ущерб через действия собственного персонала.
Почему именно персонал банков совершает мошеннические действия, как это связано с его работой и каковы основные причины?
В последние годы в СМИ все активнее обсуждаются вопросы информационных утечек, ярким примером последних лет является крупная утечка данных о клиентах из Сбербанка. И это не единственный пример, когда банки просто не справляются с «внутренними угрозами», в первую очередь из за действий собственного персонала. Основной мотив совершения мошеннических действий – личная финансовая выгода, месть сотрудника в случае его увольнения, возможность для сотрудника получения повышенного «бонуса» — премии при продаже банковских продуктов. Однако в своей практической деятельности я больше сталкивалась именно с выявлением мошенничества персонала для выполнения бизнес-плана.
Фактически банк сам «мотивирует» собственный персонал на совершение противоправных действий если «цифры» для выполнения бизнес-плана заранее «завышены». Например, сотрудник должен выдать в месяц 100 кредитов, в случае невыполнения этого показателя он не получит очередную прибавку к заплате. Что делает сотрудник. Он начинает «дробить» сумму кредита и выдавать ее небольшими частями одному и тому же заемщику. Или другой пример, сотруднику необходимо открыть 100 депозитных счетов в текущем месяце. Что делает сотрудник, он таким же образом «дробит» сумму вклада на несколько депозитов для выполнения плана. В практике однако встречаются и более сложные схемы мошенничества персонала. Например, сотрудник испытывает финансовые трудности и ищет счета клиентов, которые давно не приходили в банк (в зону особого риска попадают «пожилые люди» старше 80 лет). Далее деньги с их вкладов он временно переводит на свои счета и пользуется ими на условиях беспроцентной ссуды.
Подобных примеров внутреннего мошенничества достаточно – досрочное закрытие вклада клиента с небольшими остатками на счетах, в дальнейшем деньги присваиваются сотрудником банка; присвоение сотрудником банка денег со счетов «умерших вкладчиков»; введение в заблуждение «пожилых клиентов» путем навязывания разнообразных банковских услуг (страхование жизни и здоровья и пр.) Как видите, разнообразие мошеннических действий персонала – огромное. Встречаются и другие случаи внутреннего мошенничества провоцирующего киберриски (риски информационной безопасности), когда при увольнении (особенно если сотрудник уволился не по собственному желанию), он несанкционировано копирует определенные информационные данные и сведения о клиентской базе, в дальнейшей эту информацию продает на «черном рынке». Аудитор всегда при расследовании таких случаев мошенничества должен разобраться в мотиве действий сотрудника, установить причину совершения таких действий. В дальнейшем это помогает предотвратить или максимально снизить такие риски для банка.
В СМИ публикуют достаточно много жалоб со стороны клиентов, которые получают звонки от «черных колл-центров». Мошенники действуют от имени банков и завладев доверием клиента фактически «воруют» деньги со счетов. Как вы думаете почему именно в период активной фазы пандемии COVID-19 так обострилась ситуация связанная с мошенничеством в банковской сфере?
Дело в том, что в период активной фазы пандемии COVID-19 клиенты просто оказались «отрезаны» от возможности посещения офисов банков, все операции по счетам проходили через удаленный формат. Именно удаленный формат работы с клиентами, предоставил прекрасную возможность для совершения мошеннических действий (путем введения в заблуждение клиента или вымогательства средств со счетов). Мошенниками широко используются инструменты «социальной инженерии», а в качестве манипуляторов могут выступать бывшие сотрудник спецслужб, сотрудники банков или коллекторских агентств.
Злоумышленники как правило, действуют по «скриптам», т.е. заранее подготовленным сценариям коммуникации с клиентом. Если в качестве мошенника выступает действующий сотрудник банка, то он имея перед глазами всю информацию о клиенте, фактически может составить его «психологический портрет» – возраст, род занятий, активность по счетам, место работы и проживания. Обладая этой информацией мошенник выстраивает сценарий «запугивания или манипулирования» жертвой. Иногда используются элементы шантажа – от личных угроз до разрушения деловых и профессиональных связей. И в этих схемах, как показывает мой практический опыт аудитора, важным звеном выступает именно «персонал банка», поскольку он организует утечку информации о клиентах и их счетах.
Спасибо, исходя из Ваших комментариев у меня сложилось впечатление, что именно удаленный формат работы в период пандемии, спровоцировал лавинообразный рост мошенничества в банковской сфере. Иными словами – банкам необходимо следить за собственным персоналом, чтобы снизить объемы мошеннических действий?
Да совершенно верно. Я бы сказала более простым языком – в банках должна существовать концепция «нулевого доверия» для персонала, работа которого особенно связана со счетами и личными данными клиентов. Необходимо «знать своего работника», принцип реализации которого направлен на обладание информацией об отношении работников финансовой организации к своим служебным обязанностям, наличии у них возможных проблем, в том числе финансовых, имущественных, личных, которые могут потенциально привести к действиям, направленным на нарушение требований к защите информации. Также банкам необходимо развивать собственные системы фрод-мониторинга, наличие которых определяет возможность снижения мошеннических действий со стороны сотрудников банка, вероятность конфликтных и судебных разбирательств, а также минимизирует ключевые банковские риски. Соблюдение этих принципов в банках – поможет сохранить деньги клиентов и собственно деловую репутацию самой кредитной организации.
Надеемся, что эта тема будет актуальна и полезна не только для наших читателей но и для самих банков.
Автор: Денис Дробков
The EHU Times 