Контакты
Подписка
МЕНЮ
Контакты
Подписка

Квинтэссенция 200 лет риск-менеджмента

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Квинтэссенция 200 лет риск-менеджмента

Корпорация Citi, в которую входит "Ситибанк", ведет деятельность по всему миру более 200 лет. Российский бизнес подчиняется глобальным стандартам – департаментам безопасности в России нет нужды объяснять руководству свою значимость или доказывать необходимость участия в принятии бизнес-решений. Михаил Кутузов, менеджер по управлению рисками и мошенничеством в регионе Европа, Ближний Восток и Африка, Управление безопасности и расследований Cитибанка, делится личным отношением к задачам анализа и оптимизации рисков, рассказывает, как современный преступник рассматривает банкомат и как меняется роль служб безопасности в банковской сфере
Михаил Кутузов
Менеджер по управлению рисками и мошенничеством в регионе Европа,
Ближний Восток и Африка, Управление безопасности и расследований, АО КБ "Ситибанк"

– Какие риски и потери наиболее актуальны для банковской отрасли?
– Для каждого направления бизнеса актуальны свои угрозы мошенничества. Самые серьезные современные риски можно условно разделить на две группы. Первая связана с сотрудниками компании. Это традиционные, но по-прежнему актуальные риски. Сотрудники знают, как протекают бизнес-процессы и как осуществляется контроль в банке, что делает их объектом интереса внешних мошенников. Злоумышленники стремятся получить ценную информацию от сотрудников или склонить их к участию в противоправных действиях.

Внутреннее мошенничество в банках не распространено благодаря серьезным проверкам сотрудников при приеме на работу, постоянному мониторингу доступа к важной информации и другим контрольным процедурам. Тем не менее внутреннее мошенничество чревато более высокими суммами потерь, нежели внешние риски, например скимминг или ограбление.

Вторая группа рисков появилась сравнительно недавно и динамично развивается. Речь о киберпреступности. Банки уже не первый год сталкиваются с атаками мошенников с применением вредоносных программ и компьютерных технологий. Инструменты нарушителей совершенствуются. Атаки становятся более спланированными и подготовленными. Заражение мобильных устройств клиентов с целью получения доступа к интернет-банкингу, внедрение вредоносного ПО в банкоматы для хищения наличных денежных средств и компрометации данных банковских карт, внедрение вредоносного ПО во внутреннюю сеть банков и процессинговых компаний – вот лишь несколько тактик, с которыми сталкивались финансовые институты в России и странах Европы, Ближнего Востока и Африки за последние год–два. Традиционные методы мошенничества все чаще сочетаются с использованием компьютерных технологий. Так, преступники заставляют компании давать инструкции в банк о переводах денежных средств с помощью социальной инженерии. При этом для большей убедительности производятся взлом электронных ящиков, маскировка настоящего e-mail или номера телефона звонящего, установка программ удаленного доступа на компьютер жертвы и т.п.

– Какие задачи анализа и оптимизации рисков, обеспечения безопасности в банковской сфере наиболее интересны лично вам? Какие требуют нестандартных подходов, передовых технологий?
– Интересно идти в ногу со временем и быть готовым отвечать на новые угрозы рынка. В данный момент это кибербезопасность и постоянное совершенствование контроля за внутренним мошенничеством. В управлении риском мошенничества особую роль играет проактивный подход. Безусловно, важно расследовать каждый инцидент, выявлять обстоятельства, позволившие совершиться мошенничеству, и устранять последствия. Но это реактивный подход, более рутинный. Выявлять угрозы, с которыми компания еще не столкнулась, совершенствовать контроль и предупреждать ущерб, учиться на ошибках других – вот самые интересные и нетривиальные задачи по управлению рисками.

– В чем особенность банкомата как объекта антикриминальной защиты?
– Киберугрозы актуальны и для банкоматов. Ранее преступники рассматривали банкомат в качестве сейфа с наличными денежными средствами. Поэтому основными способами кражи денег были либо похищение банкомата целиком, либо взлом на месте. Система противодействия таким угрозам отработана и сводит к минимуму вероятность успешного ограбления. Позже банкомат превратился в источник информации о банковских картах. Преступники начали устанавливать на внешнюю часть банкомата скимминговые устройства, чтобы считать данные о карте и PIN, а затем изготовить дубликат и обналичить денежные средства. Теперь банкомат стал компьютером, который управляет сейфом и процессом обработки клиентской информации. Вектор атаки сместился на получение доступа к компьютеру, находящемуся в верхней части банкомата, установку вредоносного ПО, которое может "приказать" банкомату выдать все имеющиеся в сейфе денежные средства, а также скопировать информацию обо всех банковских картах, использованных на нем. Методы защиты банкоматов изменились в соответствии с новыми угрозами.

Атаки на компьютер банкомата с применением вредоносного ПО наблюдались и ранее: в 2008 г. в России, в 2009 и 2010 гг. в Европе и Латинской Америке. Позднее эта угроза практически не доставляла беспокойства специалистам по безопасности. На протяжении последних 12 месяцев на рынке наблюдается новый всплеск количества данных атак и, что важнее, повышение качества их подготовки и проведения.

– Какие особые требования предъявляет бизнес к департаментам безопасности в банковской сфере? Какие организационные подходы и технологии при этом наиболее эффективны?
– Банки меняют свое отношение к департаментам безопасности. Их перестают рассматривать как статью расходов. Предприниматели понимают, что службы безопасности не тратят деньги, а помогают бизнесу снижать расходы путем сокращения убытков от мошеннических действий. Высшее руководство рассматривает департамент безопасности как советника, обладающего уникальными знаниями, который помогают принимать взвешенные с точки зрения риска бизнес-решения. Поэтому важно, чтобы организационно департамент безопасности подчинялся непосредственно собственникам компании, чтобы утвердить независимость и непредвзятость его функции, это особенно важно при проведении внутренних расследований.

– Большинство подразделений банков ориентируются на содействие коммерческому успеху своих компаний. Где грань между защищенностью объекта и его привлекательностью для посетителей банка? Как технологии позволяют департаментам безопасности быть незаметными и в то же время эффективными?
– Вы правы, отношение департамента безопасности к своей роли и месту в организации поменялось. Безопасность – это не только "карающая" функция, которая проводит расследование по факту случившегося инцидента. Специалисты по безопасности – такие же участники процессов внутри компании. Не учитывать риск мошенничества в ходе принятия бизнес-решений – значит ставить под угрозу успешность и прибыльность бизнеса.

С точки зрения снижения рисков идеальной ситуацией будет не создавать бизнес вообще, вероятность реализации угроз равна нулю. Специалисты корпоративной безопасности должны понимать, что необходим баланс между защищенностью и удобством для клиентов. При слишком суровом контроле требования банков и сроки выполнения клиентских запросов оттолкнут заказчиков, что приведет к сокращению прибыли. Грань между защищенностью и привлекательностью каждая компания определяет самостоятельно. Банки с консервативным подходом к рискам будут отдавать предпочтение безопасности. Те, кто готов принять большие риски, упростят бизнес-процессы с вероятностью снижения качества защищенности.

Руководители бизнеса более ориентированы на клиентский сервис и выступают за упрощение процессов. Департаменты рисков склонны отстаивать консервативные стратегии. Крайне важно, чтобы был постоянный и открытый диалог между этими двумя "силами". В результате организация предложит максимально привлекательный продукт для клиента с минимальными рисками для самой компании.

– В чем особенности процесса управления риском мошенничества в компаниях с международным присутствием?
– Citi – уникальная компания. Мы присутствуем во многих странах мира и успешно строим бизнес более 200 лет. Это накладывает отпечаток и на роль корпоративной безопасности, и на управление риском мошенничества. Наши руководители понимают серьезность рисков, связанных с безопасностью, у нас нет нужды объяснять им свою значимость или доказывать необходимость нашего участия в принятии бизнес-решений. Мы давно переросли эту проблему, в Citi действуют глобальные стандарты, это дает нам преимущества не начинать все с нуля, когда открываем бизнес на новом рынке.

За 200 лет мы видели множество ситуаций на разных рынках и содействуем распространению знаний через политики, процедуры, стандарты и другие механизмы. Видя угрозы на одном рынке, не ждем, что они реализуются на другом. Проактивно оцениваем положение дел в странах присутствия Citi, чтобы понять, подвержены ли наши процессы, продукты или услуги выявленным угрозам. Такой подход особенно актуален с ростом киберпреступлений, поскольку мошенники не ограничивают свою деятельность одним географическим регионом. Они атакуют финансовые институты сразу в нескольких странах и даже на разных континентах.

Опубликовано: Журнал "Системы безопасности" #6, 2015
Посещений: 5126

  Автор

 

Михаил Кутузов

Менеджер по управлению рисками и мошенничеством в регионе Европа,
Ближний Восток и Африка, Управление безопасности и расследований, АО КБ "Ситибанк"

Всего статей:  1

В рубрику "Директор по безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций