Развитие интернет-банкинга в России

А. Надзор со стороны высшего руководства банка (принципы 1-3). Прежде чем банк начнет предоставлять клиентам электронные услуги, совет директоров и правление должны принять четко сформулированное стратегическое решение по этому вопросу. Следует согласовать планы развития данного направления с общекорпоративными стратегическими задачами, провести анализ рисков и разработать мероприятия по их мониторингу и снижению, а также разработать принципы непрерывной оценки эффективности веб-сервиса.

1. Создание эффективной системы наблюдения за операциями, совершаемыми электронным способом.

Новые проекты в сфере электронный банкинга, которые могут оказать значительное влияние на конфигурацию банковского риска и реализацию принятой стратегии, должны рассматриваться на заседаниях совета директоров и правления и подвергаться глубокому стратегическому анализу и детальной оценке с точки зрения соотношения ожидаемых затрат и результатов. После завершения проектов следует проводить их ретроспективный анализ. Руководство банка не имеет права приступать к электронному обслуживанию клиентов, не обеспечив необходимого уровня квалификации менеджеров и персонала в сфере новых технологий, в том числе и в тех случаях, когда для проведения тех или иных операций привлекаются сторонние организации. Управленческий надзор должен быть предельно динамичным и способным незамедлительно и эффективно реагировать на любые проблемы; для этого необходимо создать систему оповещения руководящих органов о возникновении инцидентов в рассматриваемой области. Совет директоров и правление обязаны добиться интеграции процесса управления рисками в сфере онлайновых услуг в общий механизм управления банковскими рисками. Комплекс вопросов, связанных с электронным выходом за границу, требует особого внимания руководства.

2. Внедрение всесторонней процедуры контроля над поддержанием необходимого уровня информационно-технологической безопасности.

Обеспечение сохранности банковских активов - одна из важнейших обязанностей, возложенных на директоров и топ-менеджеров. Для выполнения этой задачи нужно сосредоточить усилия на следующих ключевых направлениях: назначение конкретных лиц (иных, нежели аудиторы), несущих ответственность за положение дел в данной области; формулировка жестких правил, позволяющих следить за попытками вторжения в коммуникационные сети и предотвращать несанкционированный доступ (как физический, так и в рамках регистрации входа) к компьютерной технике, программному обеспечению для веб-транзакций и базам данных; регулярный пересмотр мер по обеспечению безопасности с целью внедрения новейших технологических достижений и своевременной модернизации используемых программ.

3. Организация режима тщательного слежения за взаимодействием с партнерами, привлекаемыми к предоставлению отдельных видов электронных банковских услуг.

Руководящим органам банка следует осуществлять постоянную оценку и переоценку уровня сотрудничества со специализированными сервис-провайдерами. При этом члены совета директоров и правления должны четко осознавать связанные с аутсорсингом риски; в обязательном порядке проводить предварительный анализ степени профессионализма и финансового положения предполагаемых контрагентов; точно формулировать пределы ответственности обеих сторон при заключении контрактов (особенно по порядку предоставления информации); установить практику проведения периодических аудиторских проверок в отношении переданных на сторону систем и операций и включить их в действующую систему управления рисками; разработать план мероприятий на случай возникновения чрезвычайных ситуаций в деятельности привлеченных к оказанию электронного сервиса партнеров [5].

Б. Обеспечение безопасности в сфере информационных технологий (принципы 4-10). Если высшее руководство банка определяет общую политику в области информационно-технологической безопасности, то непосредственным построением соответствующих систем занимаются специалисты среднего звена, чье внимание сосредоточено на реализации следующих принципов.

4. Аутентификация клиентов, пользующихся электронными каналами обслуживания.

Аутентификация означает идентификацию клиента (удостоверение подлинности лица, совершающего онлайновую транзакцию) в сочетании с авторизацией (установление легитимности доступа данного лица к банковскому счету или наличия у него права на проведение операций по счету). Она осуществляется посредством персональных идентификационных номеров (ПИНов), паролей, смарт-карточек, биометрики (сканирования лица и радужной оболочки глаз, отпечатков пальцев, анализа голосовых данных и т.п.) и сертификатов цифровой подписи на базе инфраструктуры открытого ключа. Многофакторная аутентификация (с использованием нескольких методов) обеспечивает более высокий уровень защиты, что особенно важно при распространении электронных банковских услуг на иностранных клиентов. Аутентификационные базы данных необходимо ограждать от подделок, искажений и хищений, а попытки подобных действий - обязательно документировать. Любые изменения в эти базы следует вносить исключительно с санкции соответствующего источника. Подключение к системам электронный банкинга должно тщательно контролироваться (чтобы предотвратить замещение прошедших аутентификацию клиентов третьими лицами), а в случае срыва веб-сеанса нужно проводить повторную аутентификацию.

5. Недопущение отказа от обязательств по онлайновым транзакциям и строгая ответственность за их проведение.

В настоящее время наиболее надежным способом избежать недобросовестного сторнирования электронных сделок является использование сертификатов цифровой подписи на базе инфраструктуры открытого ключа, в рамках которой каждый контрагент имеет свою пару ключей (шифров). Посредством секретного ключа генерируется цифровая подпись и зашифровывается текст, а с помощью открытого ключа (парного к секретному) осуществляется расшифровка и проверка подлинности документа. Банк может сам стать удостоверяющим центром по выпуску сертификатов или прибегнуть к услугам независимых центров (в последнем случае необходимо выбирать такие организации, которые обеспечивают тот же уровень аутентификации, что и банк).

6. Разграничение функций, выполняемых банковскими служащими при работе в системах электронный банкинга, с базами данных и приложениями.

Нельзя предоставлять одному лицу или сервис-партнеру права на инициирование, авторизацию и завершение транзакции. Разные сотрудники должны заниматься подготовкой информации (например, содержания веб-сайта) и проверкой ее целостности, а также разработкой и администрированием систем электронного сервиса, причем следует обеспечить невозможность обойти принцип разграничения функций в этих системах.

7. Эффективный контроль над процедурами авторизации и получения доступа в системы электронный банкинга, базы данных и прикладные программы.

Главное в организации такого контроля - гарантировать сохранность баз данных, в которых хранится информация о правах на авторизацию и доступ к проведению тех или иных операций. Для этого используются те же методы, что и при защите аутентификационных баз данных.

8. Обеспечение целостности данных по операциям и записям в сфере онлайновых услуг.

Все осуществляемые в рамках банковского интернет-сервиса процессы должны быть устроены таким образом, чтобы достигалась повышенная устойчивость транзакций и записей к хищениям и искажениям и имелась практически полная гарантия того, что любые несанкционированные изменения не останутся незамеченными. Целостность данных необходимо контролировать особенно тщательно в периоды модернизации используемых в банке компьютерных систем и программ.

9. Точный учет транзакций, совершаемых электронным способом.

Критически важным представляется учет в следующих областях: открытие, изменение и закрытие клиентского счета; проведение операции, отражающейся на состоянии банковского баланса; разрешение превысить ранее оговоренный с клиентом лимит: предоставление, модификация или аннулирование права на доступ в систему электронный банкинга.

10. Сохранение конфиденциальности ключевой банковской информации.

Все конфиденциальные данные и записи должны быть защищены во время передачи по открытым, закрытым и внутрибанковским коммуникационным сетям и доступны только лицам, агентам и системам, имеющим соответствующие полномочия и прошедшим процедуру аутентификации. Используемые банком стандарты по обеспечению конфиденциальности следует распространить и на сторонние организации, привлекаемые к оказанию электронных услуг. Все случаи доступа к такого рода данным и записям необходимо регистрировать, а регистрационным файлам нужно придать повышенную устойчивость к хищениям и искажениям [5].

В. Управление правовым и репутационным риском (принципы 11-14)

11. Раскрытие необходимой информации относительно электронного банковского сервиса на веб-сайте банка.

Нужно указать следующие сведения: название банка и местонахождение его штаб-квартиры и филиалов; название надзорного органа, контролирующего деятельность головного офиса; контактная информация относительно банковского центра по обслуживанию клиентов; порядок подачи жалоб; порядок получения информации о страховании депозитов; прочие необходимые сведения (например, перечень стран, в которых предоставляется электронный сервис).

12. Предотвращение несанкционированного доступа к клиентской информации.

Стандарты использования информации о клиентах, накапливаемой банком в процессе оказания онлайновых услуг, должны соответствовать всем требованиям законодательства тех государств, на которые распространяется веб-обслуживание. Сервис-провайдерам, с которыми сотрудничает банк, также следует придерживаться этих стандартов. Банк обязан дать своим вкладчикам и заемщикам право запретить передачу сведений о себе третьим лицам, желающим использовать их в маркетинговых целях.

13. Содержание систем электронного банкинга в постоянной эксплуатационной готовности.

Требуется обеспечить необходимые мощности для электронного сервиса и его непрерывное функционирование, а также разработать комплекс мер на случай возникновения чрезвычайного положения. На критически важных направлениях развития онлайновых услуг должны проводиться постоянные оценки и переоценки имеющихся мощностей и разрабатываться прогнозы их динамики в будущем. Системы следует периодически испытывать на устойчивость к стрессовым ситуациям.

14. Создание эффективного механизма реагирования на неожиданные инциденты в форме внешних и внутренних атак на системы, электронный банкинг.

Для улаживания тех или иных происшествий в банке должны быть разработаны планы действий в следующих областях: немедленное выявление кризисной ситуации и определение размеров угрозы: восстановление электронных систем (в том числе и тех, что переданы внешним исполнителям) в соответствии с различными сценариями развития событий (включая оценку вероятности разных вариантов); взаимодействие с участниками рынка и средствами массовой информации; уведомление руководства банка и государственных регулирующих органов; формирование команд специалистов с особыми полномочиями и порядка подчиненности сотрудников, задействованных в ликвидации проблем; своевременное снабжение всех заинтересованных сторон необходимыми сведениями в продолжение всего инцидента; сбор и хранение данных для анализа кризиса после его завершения и наказания виновных [5].

Как считает Базельский комитет по банковскому надзору, предложенные им базовые принципы должны помочь банковским учреждениям распространить существующие в них процедуры контроля рисков на деятельность в области электронного банкинга, к которому по существу свелась вся банковская деятельность с началом внедрения банками своих автоматизированных систем. Предложенные им принципы управления рисками "не трактуются как абсолютные требования или даже как наилучшая практика". Однако, считается, что "установление детальных требований к управлению рисками в сфере электронного банкинга может оказаться непродуктивным, так как они вполне могут быстро устаревать из-за скорости изменений, вызванных инновациями в технологиях и обслуживании клиентов".

Кроме того, "Комитет осознает, что профиль риска у каждого банка свой и требует уточненного подхода к ослаблению рисков, соответствующего масштабу операций в части электронного банкинга, материальности наличных рисков, а также желанию и возможностям учреждения управлять этими рисками". Это подразумевает, что "единый" подход к решению вопросов управления рисками в области электронного банкинга может оказаться непригодным. Технические решения, естественно, определяются самими банковскими учреждениями, поскольку речь идет о технологических вопросах, но также и некими "органами стандартизации".

2. Интернет-банкинг в России

2.1 Анализ состояния интернет-банкинга в России

В России основателем интернет-банкинга принято считать "Автобанк", который в мае 1998 года предложил своим клиентам систему "Интернет Сервис Банк". Однако, еще ранее, в 1997 году "Гута-банк" разработал свою систему интернет-трейдинга, позволяющую своим клиентам дистанционно, не выходя их офиса или квартиры осуществлять операции на фондовом рынке. Основное же развитие началось в 2000 году, когда достаточно активно начали появляться банки, предоставляющие услуги через Интернет.

На сегодняшний день (по состоянию на 01.04.2006) в России из 1247 действующих банков интернет-банкинг применяют 358 банков или 57,5% (см. Рисунок 3). Если сравнить с 2001 годом, когда из 1322 интернет-банкингом занималось только 96 банков, то за 5 прошедших лет количество таких кредитных организаций увеличилось в 3,7 раза. На мой взгляд, динамика достаточно впечатляющая.

Рис. 3. Применение интернет-технологий в банковской деятельности в 2001-2006 гг. [16]

Также следует отметить, что сокращается количество банков, не использующих интернет-технологии. Эта цифра изменилась с 771 в 2001 году до 390 - в 2005 и всего лишь 172 банка не были представлены в интернете в 2006 году. Значительную долю кредитных организаций составляют банки, которые используют интернет-технологии, но имеют в сети Интернет только Web-сайты, на которых размещена официальная информация о банке. На данных сайтах обычно размещается общая информация (название, реквизиты, руководство банка), перечисляется перечень услуг, которые представляет банк своим клиентам, указываются тарифы по осуществляемым операциям, организована обратная связь и т.д. Если в 2001 году таких банков было 455 шт., в 2006 - уже 717. В относительном выражении данный показатель составил 34,4 и 57,5% от общего количества, соответственно.

Рис. 4. Использование кредитными организациями WEB-сайтов в 2001-2006 гг. [16]

Если провести количественный анализ Web-сайтов кредитных организаций (Рисунок 4), то также можно заметить возрастающую тенденцию. За 5 лет количество сайтов увеличилось более чем в 2 раза (с 614 до 1233). Также налицо увеличение доли сайтов, в которых применяются технологии интернет-банкинга. Если в 2001 году таких сайтов было чуть более 20%, то в 2006 году - уже 33%.

Сегодня с помощью систем интернет-банкинга можно покупать и продавать безналичную валюту, оплачивать коммунальные услуги, платить за доступ в Интернет, оплачивать счета операторов сотовой и пейджинговой связи, проводить безналичные внутри и межбанковские платежи, переводить средства по своим счетам и, конечно, отслеживать все банковские операции по своим счетам за любой промежуток времени.

Возможность работать со счетами пластиковых карточек позволяет пользоваться услугами интернет-магазинов как в России, так и за рубежом достаточно перевести с помощью системы интернет-банкинга требуемую сумму средств на карточку, а затем с помощью этой карточки оплатить какую-либо услугу или товар в интернет магазине на веб-сайте последнего. При этом в системе будут доступны выписки по картсчету, из которых можно определить, сумму списания и назначения платежа. Таким образом, клиент всегда в состоянии отследить прохождение операции.

Это далеко не полный список всех возможностей, которые российские банки представляют своим клиентам в сети Интернет. С каждым годом спектр удаленных банковских услуг расширяется, а их преимущества становятся еще более очевидными даже для скептиков.

Если рассмотреть Приложение 2., то можно проклассифицировать российские банки по типам оказываемых операционных услуг. Основным видом услуг, которые представляют российские банки, являются переводы денежных средств в рублях. На сегодняшний день данный вид услуг представляют 88% банков, занятых на рынке интернет-банкинга. Значительная часть банков (порядка 50-60%) активно представляют услуги по работе с иностранной валютой:

· покупка/продажа иностранной валюты;

· переводы денежных средств;

· обязательная продажа части валютной выручки.

Незначительную часть составляют услуги по пополнению счетов держателей банковских карт (17%), операции с ценными бумагами (9%), открытие банковских счетов (3%) и другие виды операций (6%).

Кроме того, значительная часть российских банков оказывает так называемые коммуникационные и информационные услуги в рамках интернет банкинга. Данные услуги не подразумевают осуществление каких-либо операций со счетами клиентов. Клиенту, как правило, дается возможность получить какую-либо информацию о состоянии своих счетов, проконсультироваться со специалистами банка по различным вопросам и т.д. На сегодняшний день российские банки представляют следующие виды таких услуг [16]:

ь представление выписок из счетов - 97% банков;

ь представление выписок по операциям - 80% банков;

ь обмен электронными документами - 80% банков;

ь консалтинговый сервис - 32% банков;

ь оформление кредитных договоров - 1 % банков.

Как уже было сказано выше, на сегодняшний день в России услуги интернет-банкинга представляют более 350 банков, что составляет порядка 27% от общего количества зарегистрированных на территории Российской Федерации. Однако, собственными разработками программного обеспечения по интернет-банкингу пользуются лишь 50 банков, что составляет 13% от их количества (см. Рисунок 5).

Это прежде всего "Автобанк", "Судостроительный банк" (система Sbank), "Промсвязьбанк" (система Инетрнетбанк) и др.

Основная же масса банков (87%) прибегает к услугам сторонних фирм-разработчиков банковского программного обеспечения. Как видно из Рисунка 5, основными лидерами в производстве таких систем являются программные комплексы:

iBank - компания "БИФИТ". Это достаточно широкая по возможностям система, реализующая, большинство возможностей, необходимых рядовым пользователям. Ее клиентская часть выполнена в виде нескольких java-апплетов, каждый из которых реализует свой вид операций: рублевые, валютные или валютные для нерезидентов. Клиент банка, работающий с этой системой, может формировать платежные поручения, получать выписки по своим счетам, а также обмениваться с банком письмами. Валютные операции в этой системе доступны только для юридических лиц, готовых шаблонов не предусмотрено. Впрочем, неприхотливость системы позволяет примириться с этими неудобствами: исполнение клиентской части в виде java-апплета делает возможной работу с ней практически с любого компьютера.

Рис. 5. Распространенность программных продуктов интернет-банкинга [16]

Систему "iBank" используют 115 банков, в т. ч. "Банк Москвы", "Бин-Банк", "Газпромбанк", "Конверсбанк" и др.

ДБО BS-Client - компания "Банк'с Софт Системс". Это система электронного документооборота, ориентированная в первую очередь на обслуживание юридических лиц, и поддерживающая работу с физлицами в виде опции. Система позволяет клиенту обмениваться с банком любыми документами, включая платежные поручения, заявления на покупку/продажу/перевод/обязательную продажу валюты и документы произвольного формата. В отличие от "iBank", система требует установки дополнительного программного обеспечения, однако не требует использования дополнительных технических средств.

Услугами данной фирмы пользуются еще 92 банка: "Альфа-Банк", "Банк Петрокоммерц", "Сибнефтебанк", "Хантымансийский банк".

Factura.ru - компания "Центр финансовых технологий". Данная разработка предназначена как для корпоративных, так и для частных клиентов банков. Система включает в себя стандартный набор операций, таких как создание и отправка в банк платежных документов, получение выписок по счетам, обмениваться с банком произвольной информацией. Кроме того система дает возможность работы с документами в многопользовательском режиме (бухгалтер, находясь в офисе формирует документ, а директор, будучи в командировке тут же подписывает платежку). Подключившись к системе Faktura.ru, дополнительно есть возможность использовать платежный сервис FacturaPay. Это дает возможность совершать необходимые платежи: оплачивать коммунальные услуги, услуги операторов сотовой связи, интернет-сервис провайдеров, страховых компаний и других поставщиков услуг, оплачивать покупки, сделанные в интернет-магазинах.

Данной системой пользуется 31 российский банк.

Банк-клиент - компания ИНИСТ. Эта система дает возможность работы клиентам по любым каналам связи. Связь может осуществляться непосредственно по коммутируемому каналу, либо, как и в случае Web-интерфейса, клиент может использовать прямое IP-соединение с Банком посредством Internet или локальной сети. Система позволяет работать с платежными поручениями, валютными документами, получать выписки по счетам, осуществлять передачу сообщений произвольного формата с подписью клиента. Кроме того, центральное место системы в Банке может быть настроено на связь с любой автоматизированной банковской системой.

Клиентами компании ИНИСТ являются 22 банка, в т.ч. "Росбанк", "Российский капитал", "Банк Грузии".

5NT@Client - фирма Diasoft. Данная система представляет собой решение, позволяющее клиенту банка работать со своим счетом с любого компьютера, имеющего выход в Интернет: осуществлять платежи, просматривать остатки по счетам и выписки за определенный период, получать от банка справочную информацию. Реализованный в системе дистанционного обслуживания электронный документооборот позволяет проводить такие операции, как создание и редактирование, подписание уполномоченными лицами клиента, подтверждение и отправка в банк. Пользователи имеют возможность просмотреть актуальную информацию по остаткам и выпискам по счетам. Кроме этого клиент имеет возможность отслеживать информацию о ходе обработки документов в банке.

Системой 5NT@Client на сегодняшний день пользуются 15 банков, в т.ч. "Банк Авангард", "Внешторгбанк", "Газпромбанк", "Промсвязьбанк", "СДМ-банк".

Телебанк - компания СТЕП АП. Система Телебанк дает возможность распоряжаться своими банковскими счетами, используя для этого Интернет, WAP, телефон в тональном наборе или SMS-сообщения. Клиент может в режиме "on-line" покупать и продавать валюту, совершать переводы в рублях и валюте, размещать депозиты, пополнять пластиковые карты, оплачивать коммунальные услуги, сотовую связь, доступ в Интернет, междугородние и международные переговоры и многое другое. Система позволяет узнавать остатки и получать выписки по счетам, в том числе по счетам пластиковых карт. Существует также функция, извещающая клиентов о поступлениях на счет, исполнении распоряжений, и многом другом, путем отсылки сообщений на электронную почту, пейджер, SMS. Сегодня данную систему используют 9 банков, в т.ч. МДМ-банк, Внешторгбанк-24.

Interbank - компания "R-Style Softlab". Описание функциональности и архитектуры данной системы в качестве примера будет проведено отдельно и более подробно в п. 2.2. моей работы. На сегодняшний день данная система применяется 17 банками.

Необходимо также отметить, что существует множество других фирм, которые занимаются разработками специализированного программного обеспечения для оказания банками интернет-услуг. И как показывает статистика, сегодня существует еще порядка 30 таких фирм-разработчиков, услугами которых пользуются еще 44 кредитные организации.

Таким образом, из вышеописанного можно сделать вывод о том, что интернет-банкинг последние несколько лет достаточно активно врывается на рынок банковских услуг. Все больше кредитных организаций начинают представлять данный вид услуг. В тоже время необходимо отметить, что основное количество банков предпочитают использовать разработки сторонних фирм-производителей программного обеспечения и безусловно есть очевидные лидеры на данном участке рынка.

2.2 Функционирование системы клиент-банк на примере комплекса InterBank компании "R-Style Softlab"

Для более подробного изучения системы интернет-банкинга предлагаю рассмотреть систему InterBank российской компании R-Style Softlab, которая, является одним из лидеров по разработке подобных систем. Данная компания была образована в 1991 году и изначально занималась разработкой автоматизированных банковских систем для кредитных организаций. В 1999 году компанией был разработан комплекс реализации электронных банковских услуг InterBank, который на протяжении уже 7 лет используется многими коммерческими банками для реализации своих программ по интернет-банкингу.

Итак, InterBank - это программный комплекс, предназначенный для дистанционного банковского обслуживания клиентов. "Дистанционного", - поскольку он позволяет клиенту общается с банком посредством электронных средств связи. "Комплекс", - поскольку состоит из целого ряда программных систем, объединенных концептуальными, архитектурными и технологическими решениями.

InterBank использует разнообразные каналы электронного взаимодействия: телефон, глобальную сеть Интернет, электронную почту, мобильные средства связи, занимая положение между Автоматизированной Банковской Системой (АБС), функционирующей в банке, и клиентом.

Общая схема комплекса представлена на Рисунке 6.

В составе комплекса InterBank можно выделить две основные группы модулей:

· Банковскую часть - программные средства и оборудование, установленные в банке;

· Клиентскую часть - программные средства и оборудование, установленные у клиентов.

Банковская часть InterBank состоит из следующих приложений:

"Бэк-офис удаленных рабочих мест". Это так называемое "сердце" комплекса, его двигатель и платформа одновременно. "Бэк-офис удаленных рабочих мест" участвует в обслуживании клиентов по каналам электронной почты, осуществляет управление и администрирование, предоставляет интерфейс к автоматизированной банковской системе, клиентским подсистемам и т.д.

Сервер Интернет-приложений "RS-Portal". Инструментальные средства создания финансовых Интернет-приложений, а также готовые подсистемы, выполненные с применением этих средств. Приложения, созданные с применением инструментария и технологий RS-Portal позволяют организовать обслуживание клиентов, с использованием глобальной сети Интернет. При этом на клиентской стороне располагается обычный WEB-браузер с опциональными модулями криптозащиты и электронной подписи.



Рис. 6. Схема комплекса Interbank [20]

Система телефонного обслуживания клиентов "RS-Audio". Многоканальная система обслуживания клиентов посредством телефонной и факсимильной связи. Клиентскую часть системы представляет обычный телефон либо факс. В первом случае информация (например, сведения о текущем состоянии счетов) передается клиенту в голосовой форме, во втором - банк направляет клиенту выписку по счету, используя факсимильное оборудование.

Хост почтовой системы RS-Mail. Система электронной почты, использующая в качестве транспорта коммутируемые и выделенные телефонные каналы, сети X.25 и IP- сети, в том числе Интернет.

Клиентская часть программного комплекса InterBank представлена следующими подсистемами:

Подсистема "Клиент Windows". Система классического, как это сейчас принято говорить, "Банка-Клиента", имеющего графический интерфейс и взаимодействующего с приложением "Бэк-офис удаленных рабочих мест" по разнообразным каналам электронной почты, в том числе с использованием RS-Mail.

Подсистема "Клиент DOS". Система традиционного "Банка-Клиента" для компьютеров, функционирующих под управлением операционной системы MS-DOS. Обладает текстовым интерфейсом и применяется только в сочетании с системой RS-Mail.

Терминал почтовой системы RS-Mail. Система электронной почты, использующая в качестве транспорта коммутируемые и выделенные телефонные каналы, сети X.25 и IP- сети, в том числе Интернет.

Подсистема "Internet - Клиент" для юридических лиц. Система "тонкого" "Банка-Клиента" для работы через сеть Интернет. Использует для функционирования только Интернет-браузер и опциональные модули криптозащиты, установленные на клиентской стороне. Предоставляет клиентам банка платежный и информационный сервис через сеть Интернет. Включает информационный сервис для мобильных пользователей на базе протокола WAP.

Рассмотрим подсистему "Internet - Клиент для юридических лиц" более подробно, т.к. именно данная подсистема является наиболее популярной среди клиентов кредитных организаций.

"Интернет-Клиент для юридических лиц" - это подсистема, которая позволяет клиентам банка дистанционно осуществлять все виды платежных операций по своему счету, а также оперативно получать информацию, необходимую для взаимодействия с банком.

Платежный сервис. "Интернет-Клиент для юридических лиц" позволяет корпоративному клиенту производить расчеты как в национальной денежной единице, так и в валютах других стран.

В подсистеме предусмотрены следующие формы документов:

Вид	Форма
Рублевые документы	Платежное поручение
Валютные документы	Заявление на перевод валюты
	Распоряжение об обязательной продаже валюты
	Поручение на продажу валюты
	Поручение на покупку валюты
	Заявление на конвертацию валюты
	Уведомление о зачислении валюты
Справки	Справка о валютных операциях
	Справка о зачислении валюты РФ
	Справка о подтверждающих документах
Заявления о резервировании	Заявление о внесении суммы резервирования
	Заявление о досрочном возврате суммы резервирования
	Заявление о возврате суммы резервирования на другой банковский счет
Письма	Письма в банк
	Письма из банка

В комплекте с системой разработчик также поставляет дополнительный инструментарий для модификации подсистемы или создания новых форм документов.

Ввод документа в систему в "Интернет-Клиент для юридических лиц". Форма ввода документов оснащена справочниками и подсказками, а используя набор шаблонов можно не тратить время на заполнение часто используемых форм. Механизмы поточного ввода и копирования позволяют легко создать группу схожих документов. Кроме того, предварительно подготовленные документы возможно загрузить из других бухгалтерских систем, в частности из "1С:Предприятие".

После ввода (или загрузки из бухгалтерской системы) документ будет проверен на корректность введенных реквизитов и сохранен. Также допустимо сохранение частично заполненных документов, если пользователь, предположим, не уверен в правильном написании какого-то реквизита и планирует вернуться к заполнению документа позднее (см. Рисунок 7).

Рис. 7. Форма платежного поручения

После сохранения в системе к документу возможно прикрепить файл любого формата, проставить все надлежащие электронно-цифровые подписи ответственных лиц и отправить документ в банк. В дальнейшем пользователь может в режиме реального времени отслеживать прохождение своего документа, а при необходимости даже отзывать его.

Информационные сервисы. К информационным услугам относится предоставление клиентам выписок по их счетам (как рублевым, так и валютным); информации о текущем состоянии отправленных на исполнение документов; сведений о курсах валют и истории их изменения; рассылка новостей кредитного учреждения (имеется в виду "Доска объявлений", с помощью которой банк может извещать клиентов, скажем, об изменении условий работы или появлении нового банковского продукта). Важно подчеркнуть, что данные, передаваемые клиенту, являются полностью актуальными на тот момент, так как он получает их непосредственно из АБС, а не из какой-либо промежуточной базы.

Архитектура подсистемы. Подсистема "Интернет-Клиент для юридических лиц", как и сам комплекс реализации электронных банковских услуг InterBank, построена в открытой модульной архитектуре, которая обеспечивает хорошую безопасность и производительность.

Рис.8. Архитектура функционирования подсистемы "Интернет-клиент для юридических лиц"

Данные, передаваемые через Интернет, шифруются средствами SSL или TLS, которые поддерживаются всеми современными веб-браузерами и веб-серверами. Поэтому шифровать информацию для обмена между сервером банка и компьютером пользователя можно автоматически - никакого дополнительного ПО при этом не потребуется.

В качестве аппаратной платформы для работы "Интернет-Клиента" для юридических лиц" идеально подходят веб-серверы Apache и IIS, которые хорошо зарекомендовали себя в ходе эксплуатации в абсолютном большинстве компаний во всем мире.

Клиент банка может использовать веб-браузер MS Internet Explorer - стандартное программное обеспечение для операционных систем семейства MS Windows. Аутентификацию веб-сервера, а также шифрование данных выполняют встроенные в веб-браузер криптографические протоколы SSL и TLS.

Ключи ЭЦП. Закрытые (секретные) ключи клиента могут храниться в файлах на произвольном носителе (смарт-картах, флеш-диске, дискете, в реестре компьютера и т.д.). Открытые ключи ЭЦП сохраняются как у клиента банка, так и в самом банке, где они используются в подсистеме "Бэк-офис удаленных рабочих мест" для проверки электронно-цифровой подписи клиента, проставленной под документом посредством закрытого ключа.

Опционные дополнительные компоненты представляют собой подписанные электронно-цифровой подписью разработчика cab-архивы, которые загружаются системой на компьютер клиента и используются при выполнении им ряда специфических операций (механизмы для их выполнения в веб-браузере отсутствуют), включая:

· наложение электронно-цифровой подписи на документы;

· управление сертификатами ЭЦП из интерфейса системы (запрос на создание новых сертификатов, переоформление старых, вывод на печать).

· "привязку" файлов к документам;

· экспорт выписки в бухгалтерскую систему и загрузку из нее документов.

Внешняя безопасность системы. Внешняя безопасность "Интернет-Клиента для юридических лиц" подразумевает как несколько способов защиты, так и средства, обеспечивающие эту защиту.

В подсистеме можно выделить пять уровней или способов защиты:

Защита внутренней корпоративной сети банка. Чтобы работать с подсистемой, все ее пользователи должны иметь доступ к веб-серверу банка через Интернет. Однако принципиальным моментом здесь является то, что доступ к этому серверу получает не только клиент банка, но и любой другой человек. Не существует способов обеспечить 100-процентную защиту веб-сервера от взлома (при котором злоумышленник получает полную власть над данным ресурсом) - можно лишь свести к минимуму вероятность такого события. Именно поэтому одним из требований безопасности является размещение веб-серверов в так называемой "демилитаризованной зоне" (DMZ), главная особенность которой - максимальная изоляция от ресурсов корпоративной сети. Это достигается путем минимизации сетевых соединений и обеспечением полного контроля над данными, передаваемыми между DMZ и корпоративной сетью. Таким образом, серверы банка становятся относительно недоступными для злоумышленника (относительно - поскольку зачастую в системах интернет-банкинга запросы с веб-сервера посылаются напрямую к серверу приложений, который располагается в корпоративной сети банка).

Рис.9. Схема внешней безопасности подсистемы "Интернет-клиент для юридических лиц"

С точки зрения безопасности это рискованно, так как злоумышленник, получив контроль над веб-сервером, может передать во внутреннюю сеть банка запросы любого содержания, что теоретически способно привести к сбоям в работе системы и потере конфиденциальной информации.

Чтобы избежать этого, в подсистеме "Интернет-Клиент для юридических лиц" применен совершенно иной подход. Во-первых, организуется "выделенный сервер очереди" - служба, которая принимает запросы от веб-сервера и хранит их. Во-вторых, сервер приложений RS-Portal, находящийся в корпоративной сети банка, производит периодический опрос сервера очереди и забирает только разрешенные политикой безопасности системы запросы. Таким образом, подозрительные запросы, которые могут содержать потенциальную опасность, не попадают в корпоративную сеть банка.

Кроме того, данный подход имеет еще одно немаловажное преимущество. Дело в том, что пакеты информации, поступающие в сервер очереди, содержат именно его адрес, а не адрес сервера приложений, располагающегося во внутренней сети банка. Это позволяет скрыть от злоумышленника структуру корпоративной сети, которую довольно просто можно определить на основе адреса получателя.

Защита соединения между банком и клиентом. Вся информация между клиентом и веб-сервером банка шифруется. Защита соединения производится путем симметричного шифрования трафика по протоколам SSL\TLS с помощью сертификата, который установлен на веб-сервере. В качестве таких сертификатов могут быть использованы как самоподписанные сертификаты, так и полученные в удостоверяющих центрах, например Thawte или VeriSign.

Безопасный вход в систему. Вход пользователя в подсистему "Интернет--Клиент" для юридических лиц" и его аутентификация могут осуществляться по:

· логину и паролю;

· сертификату ЭЦП;

· сертификату ЭЦП и паролю.

Также хотелось бы отметить, что, как заявляет компания "R-Style Softlab", в своих решениях она использует надежные системы электронной цифровой подписи, которые созданы в соответствии с Приказом ФСБ России "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" от 9 февраля 2005 г. № 66. Кроме того, средства ЭЦП разрабатывают организации, деятельность которых регламентирована Положением о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, введенным в действие Постановлением Правительства РФ "Об утверждении положений о лицензировании отдельных видов деятельности, связанной с шифровальными (криптографическими) средствами" от 23 сентября 2002 г. № 691.

Надо заметить, что криптографическая стойкость алгоритмов, отвечающих государственным стандартам, очень высока, поэтому безопасность работы программных продуктов при их применении гарантирована.

Помимо подсистемы "Интернет-Клиент для юридических лиц" InterBank, на мой взгляд, имеет еще несколько интересных подсистем, которые я предлагаю рассмотреть ниже.

"Интернет-клиент для физических лиц"

Функциональные возможности "Интернет--Клиента для физических лиц" совпадают с набором наиболее распространенных услуг, которые банки оказывают своим клиентам. Это:

· платежный сервис - внутрибанковские, произвольные и специальные платежи;

· информационный сервис - выписки по счетам, пластиковым картам, депозитам и кредитам; оповещение клиентов о важных операциях по их счетам; лента новостей;

· вспомогательный сервис - открытие, блокировка, закрытие счета или карты.

Платежный сервис. В системе "Интернет-Клиент" для физических лиц" реализованы три типа платежных операций:

· внутренние переводы - перевод средств между счетами клиента (в том числе конверсия валюты, погашение кредитов, пополнение депозитов и др.);

· произвольные рублевые платежи - перевод средств в адрес любого получателя, чьи реквизиты известны клиенту;

· специальные платежи - платежи в адрес определенного круга получателей, как правило, поставщиков широко востребованных услуг (в частности, коммунальных, мобильной связи и т.п.). Формы данных платежей содержат дополнительные реквизиты (например, номер сотового телефона или показания электросчетчика).

Информационный сервис. Функционал системы позволяет клиенту не только получать актуальную информацию из банка, но и осуществлять полноценный контроль над своими денежными средствами, размещенными в банке на счетах (расчетных, депозитных и пр.) и пластиковых картах (карточных счетах). Информационный сервис подразумевает доставку клиенту:

· информации и выписок по остаткам на счетах и банковских картах;

· оповещений по SMS и e-mail, например о поступлении платежа, списании сумм, возникновении овердрафта;

· ленты новостей, содержащей сведения общего характера (в частности, извещения об изменении тарифов или появлении нового банковского продукта);

· адресных информационных сообщений, предназначенных конкретному клиенту или группе клиентов.

Вспомогательный сервис. Вспомогательный сервис включает набор операций, позволяющих клиенту управлять своими счетами или картами с помощью механизма специальных документов, таких как:

· Заявление на открытие или закрытие счета;

· Заявление на выдачу наличных;

· Заявление на выпуск/перевыпуск основной банковской карты;

· Заявление на выпуск/перевыпуск дополнительной карты;

· Заявление на блокировку или разблокировку карты;

· Заявление на открытие или закрытие депозита;

· Заявление на пополнение депозитного счета.

Работа с кредитами и депозитами Названные выше операции дополняются инструментами для работы с кредитами и депозитами. Это:

· кредитный калькулятор;

· механизм печати графика платежей;

· форма заявления на выдачу кредита;

· депозитный калькулятор.

"Экспресс-кредитование"

Компания "R-Style Softlab" предлагает банкам решение, которое может способствовать значительному повышению оперативности рассмотрения заявки и получения кредита в удаленной точке кредитования. Оно охватывает всю технологическую цепочку - от приема у клиента заявки на кредит до получения из банка ответа и формирования необходимого пакета документов для предоставления кредита. Возможна интеграция системы "Экспресс-кредитование" с любыми средствами автоматизации кредитования, установленными в банке.

"Экспресс-кредитование" - это хорошо зарекомендовавшая себя на практике система, которая представляет собой веб-приложение для автоматизации полного комплекса услуг по кредитованию клиентов в удаленной точке.

Получение кредита требует минимум усилий и времени. Клиенту нужно будет лишь заполнить кредитную заявку - остальную работу возьмут на себя программные средства банка. Результат рассмотрения кредитной заявки станет известен клиенту через несколько минут, и он сразу же получит комплект кредитных документов для осуществления своей покупки.

Единый интерфейс. Это средство позволяет клиенту получить одновременно все документы для оформления отношений не только с банком, но и со страховой компанией. При этом клиент будет избавлен от необходимости несколько раз вносить одни и те же данные в разные анкеты. Гарантия безопасности работы. Безопасную передачу данных в системе обеспечивает защищенное соединение по протоколам SSL/TLS.

Быстрое подключение удаленных точек кредитования. Система не требует инсталляции непосредственно в удаленной точке кредитования - для работы с нею достаточно иметь компьютер, подключенный к сети Интренет, с установленной на нем операционной системой и веб-браузером (например, Internet Explorer). Таким образом, появляется возможность в кратчайшие сроки развернуть целую сеть кредитования.

Рис. 10. Схема работы системы "Экспресс-кредитование"

2.3 Основные проблемы развития интернет-банкинга в России и перспективы его развития

На сегодняшний день ввиду отсутствия четкой статистики по интернет-банкингу, сложно сделать однозначный вывод о степени развития интернет-банкинга в мире, а тем более в России. В 2005 году компанией Global Market Insite, Inc был проведен опрос, охвативший 17500 потребителей в различных странах мира и позволил сформировать приблизительную картину развития международного интернет-банкинга.

Фактически, опрос показал, что Россия находится на последнем месте в данном списке, оставив впереди практически все западно-европейские страны и США. Конечно, это не говорит о том, что в России интернет-банкинг не развит совсем. Описанные выше тенденции в развитии данного вида банковских услуг в России позволяют сделать вывод о достаточно прогрессивном развитии интернет-банкинга. Если раньше обслуживанием клиентов посредством интернет-систем занималось не более десятка банков, то сейчас их количество уже перевалило за три сотни.

В связи с этим, сначала в этой главе я хотел бы рассмотреть основные проблемы развития российского интернет-банкинга, которые, на мой взгляд, выражаются в причинах сдерживания его развития в России.

Во-первых, на что хотелось бы обратить внимание - это отставание России от развитых стран мира в распространении Интернета. По различным оценкам, сегодня в России Интернетом пользуются всего порядка 8-10 миллионов человек или 5-7 % от всего населения страны. Если сравнить с западными странами, то данный показатель практически на порядок выше, чем у нас. Кроме того, основной категорией людей, которые наиболее активно используют Интернет в повседневной жизни, относятся люди в возрасте от 18 до 29 лет.

Второй причиной, тормозящей развитие интернет-банкинга в России и, соответственно, вытекающей из перовой, является неготовность российского общества к использованию высоких технологий, "…следует заметить, что в качестве потенциального клиента индивидуального интернет-банкинга среднестатистический россиянин представляет собой не слишком привлекательную фигуру. У него не только гораздо меньше доверия к электронным технологиям, чем у европейцев или американцев, не только существенно меньше денег, которые он готов отнести в банк, - у него не всегда есть даже компьютер. Иными словами, российским банкам в этом смысле откровенно не повезло и их титанические (хотя и небескорыстные) усилия по внедрению современных ИТ-технологий в столь нелегких условиях внушают заслуженное уважение" [14].

В-третьих, немаловажной причиной отставания российского интернет-банкинга, как услуги представляемой именно банками является то, что среди населения слабо распространены банковские услуги как таковые. Для большинства российских граждан счет в банке не является необходимостью - доминирует наличное обращение. "Эксперты отмечают, что этот фактор, вкупе с недоверием людей к банкам, является одной из причин отставания России от зарубежных стран в развитии интернет-банкинга" [15]. После кризиса 1998 года население России, мягко говоря, стало очень осторожно относиться к коммерческим банкам и основная часть граждан предпочитает хранить свои сбережения в иностранной валюте, либо "в чулке".

Четвертой причиной, является - невысокая степень доверия клиентов к электронным каналам связи в части их надежности и безопасности. К этому, прежде всего, относится страх клиентов потерять свои деньги в результате хакерской атаки. Интернет справедливо не ассоциируется у людей с безопасностью. И первым делом у клиента, собирающегося установить у себя систему интернет-банкинга или приобрести версию программного обеспечения для работы через Интернет, возникает вопрос о безопасности этой программы.

Как показывают исследования, "…наиболее массовым видом хакерских атак в банковской сфере является "фишинг", строящийся на элементарном обмане от имени банка доверчивых пользователей, которые заполняют некие подложные формы и в итоге дарят свои логины, пароли и PIN-идентификаторы злоумышленникам".[14]. А, как правило, российские, да и иностранные банки, основной упор в обеспечении безопасности системы делают лишь в общем плане (защита банковской базы данных, шифрование трафика, надежность процедуры ЭЦП и т. п.), а заботу и ответственность за чистоту операционной среды на клиентском компьютере, за безопасность эксплуатации клиентского модуля и за сохранность персональных идентификационных данных они (в соответствии с договором) все как один возлагают на пользователя. Именно это звено и оказывается, как правило, самым слабым в борьбе с атаками злоумышленников, так как типичный пользователь не имеет достаточной квалификации, чтобы грамотно установить и эксплуатировать приличный межсетевой экран, программу контроля целостности файлов и т. д.

Важной, на мой взгляд, причиной является - дороговизна внедрения подобных систем интернет-банкинга для коммерческих банков. Хотя стоимость изготовления корпоративных сайтов для кредитных организаций в среднем не отличается от расценок на иные корпоративные сайты (в среднем за изготовление такого интернет-проекта web-студия возьмет от 1000 до 2500 долларов), следует иметь ввиду, что здесь речь идет лишь о дизайне и создании программной части сайта, касающейся только его функционирования в web-среде. Самой же затратной частью банковского интернет-проекта является программное обеспечение по услугам интернет-банкинга.

Безусловно, крупный коммерческий банк может позволить себе внедрение проекта интернет-банкинга самостоятельно, без привлечения сторонних фирм-разработчиков. Но, такой банк должен обязательно располагать достаточно профессиональными программистами, специализирующимися именно в данной области и, соответственно, содержать мощные отделы информатизации для дальнейшего сопровождения таких комплексов.

Кроме того, в последнее время уже мало кто пытается самостоятельно писать для своего банка систему ДБО или конкретно интернет-банкинга, а промышленные разработки вытесняют собственные банковские программные продукты даже из очень крупных банков, исторически нацеленными на собственные решения. Однако, "…лицензии на использование ПО для интернет-банкинга стоят достаточно дорого. Затраты кредитного учреждения на работу с одной из самых популярных систем интернет-банкинга iBank 2, предлагаемой российской компанией Bifit, таковы: за лицензию на использование программного обеспечения придется заплатить 3700 долларов США. Дополнительно придется оплатить клиентские лицензии для обслуживания юридических лиц. И если лицензия на 25 клиентов будет стоить всего 850 долларов США, то на 5 тысяч клиентов - уже 65 тысяч долларов США. Лицензия на обслуживание 5 тысяч клиентов - физических лиц обойдется банку еще в 40 тысяч долларов США. Услуги по интеграции данного программного обеспечения в Интранет и интернет-ресурсы банка обойдутся еще примерно в тысячу долларов. В результате общая сумма работ для крупного банка если и не дотянет до максимальной отметки примерно в 100 тысяч долларов, то уж точно перевалит за 50-60 тысяч долларов. Ну, а стоимость услуг технической поддержки составляет 20% в год от стоимости системы". [21]

...