Развитие электронных услуг коммерческих банков Казахстана

Прежде чем банк начнет предоставлять клиентам электронные услуги, совет директоров и правления должны принять четко сформулированное стратегическое решение по этому вопросу.

1. Создание эффективной системы наблюдения за операциями, совершаемыми электронным способом. Новые проекты в сфере е-банкинга могут оказать значительное влияние на конфигурацию банковского риска и реализацию принятой стратегии, должны рассматриваться на заседаниях совета директоров и правления и подвергаться глубокому анализу и детальной оценки с точки зрения соотношения ожидаемых затрат и результатов. После завершения проектов следует проводить их ретроспективный анализ. Руководство банка не имеет права приступать к электронному обслуживанию клиентов, , не обеспечив необходимого уровня квалификации менеджеров и персонала в сфере новых технологий, в том числе и в тех случаях, когда для проведения тех или иных операция привлекаются сторонние организации. Управленческий надзор должен быть предельно динамичным и способным незамедлительно и эффективно реагировать на любые проблемы; для этого необходимо создать систему оповещения руководящих органов о возникновении инцидентов в рассматриваемой области. Совет директоров и правление обязаны добиться интеграции процесса управления рисками в сфере онлайновых услуг в общий механизм управления банковскими рисками.

2. Внедрение всесторонней процедуры контроля над поддержанием необходимого уровня информационно-технологической безопасности. Обеспечение сохранности банковских активов - одна из важнейших обязанностей, возложенных на директоров и высших менеджеров. Для ее выполнения нужно сосредоточить усилия на следующих ключевых направлениях: назначение конкретных лиц (иных нежели аудиторы), несущих ответственность за положение дел в данной области; формулировка жестких правил, позволяющих следить за попытками вторжения в коммуникационные сети и предотвращать несанкционированный доступ (как физический, так и в рамках регистрации входа) к компьютерной технике, программному обеспечению для Web-трансакции и базам данных; регулярный пересмотр мер по обеспечению безопасности целью внедрения новейших технологических достижений и своевременной модернизации используемых программ.

3. Организация тщательного слежения за взаимодействием с партнерами, привлекаемыми к предоставлению отдельных видов банковских услуг. Руководящим органам банка следует осуществлять постоянную оценку и переоценку уровня сотрудничества со специализированными сервис - провайдерами. При этом члены совета директоров и правление должны четко осознавать риски, связанные с аутсорсингом, в обязательном порядке проводить предварительный анализ степени профессионализма и финансового положения предполагаемых контрагентов; точно формулировать пределы ответственности обеих сторон при заключении контрактов, особенно по порядку предоставления информации; установить практику проведения периодических аудиторских проверок в отношении переданных на сторону систем и операции и включить их в действующую систему управления рисками; разработать план мероприятий на случай возникновения чрезвычайных ситуаций в деятельности привлеченных к оказанию электронного сервиса партнеров.

Б. Обеспечение безопасности в сфере информационных технологий (принципы 4-11). Если высшее руководство банка определяет общую политику в области информационно-технологической безопасности. То непосредственным построением соответствующих систем занимаются специалисты среднего звена, чье внимание сосредоточено на реализации следующих принципов.

4. Аутентификация (идентификация) клиентов, пользующихся каналами обслуживания. Аутентификация означает идентификацию клиента (удостоверение подлинности лица, совершающего онлайновую трансакцию) в сочетании с авторизацией (установление легитимности доступа данного лица к банковскому счету или наличие у него права на проведение операций по счету). Она осуществляется посредством персональных идентификационных номеров (PIN), паролей, смарт-карт, биометрики (сканирование лица. Пальцев, глаз, голоса и т.п.) и сертификатов цифровой подписи на базе инфраструктуры открытого ключа. Многофакторная аутентификация с использованием нескольких методов обеспечивает более высокий уровень защиты, что особенно важно при распространении электронных банковских услуг на иностранных клиентов. Аутентификационные базы данных необходимо ограждать от подделок, искажений и хищений, а попытки подобных действий обязательно документировать. Любые изменения в эти базы следует вносить исключительно с санкции соответствующего источника. Подключение к системам е-банкинга нужно тщательно контролировать, чтобы предотвратить замещение прошедших аутентификацию клиентов третьими лицами, в случае срыва Web-сеанса проводить повторную аутентификацию.

5. Недопущение отказа от обязательств по онлайновым трансакциям и строгая ответственность за их проведение. Наиболее надежным способом избежать недобросовестного сторнирования электронных сделок является использование сертификатов цифровой подписи на базе инфраструктуры открытого ключа, в рамках которой каждый контрагент имеет свою пару ключей (шифров). Посредством секретного ключа генерируется цифровая подпись и зашифровывается текст, а с помощью открытого ключа (парного к секретному) осуществляется расшифровка и проверка подлинности документа. Банк может сам стать удостоверяющим центром по выпуску сертификатов или прибегнуть к услугам независимых центров. В последнем случае необходимо выбирать такие организации, которые обеспечивают тот же уровень аутентификации, что и банк.

6. Разграничение функций, выполняемых банковскими служащими при работе в системах е-банкинга, с базами данных и приложениями. Нельзя предоставлять одному лицу или сервис - партнеру права на инициирование, авторизацию и завершение трансакции. Разные сотрудники должны заниматься подготовкой информации и проверкой ее целостности. А также разработкой и администрированием систем электронного сервиса, причем следует обеспечить невозможность обойти принцип разграничение функций в этих системах.

7. Эффективный контроль над процедурами авторизации и получения доступа в системы е-банкинга, базы данных и прикладные программы. Главное в организации такого контроля - гарантировать сохранность баз данных. В которых хранится информация о правах на авторизацию и доступ к проведению тех или иных операций. Для этого используются те же методы, что и при защите аутентификационных баз данных.

8. Обеспечение целостности данных по операциям и записям в сфере онлайновых услуг. Все процессы, осуществляемые в рамках банковского Интернет - сервиса. Должны быть устроены таким образом, чтобы достигалась повышенная устойчивость трансакций и записей к хищением и искажениям и имелась практически полная гарантия того, что любые несанкционированные изменения не останутся незамеченными. Целостность данных необходимо контролировать особенно тщательно в периоды модернизации компьютерных систем и программ, используемых в банке.

9. Точный учет трансакций, совершаемых электронным способом. Критически важным представляется учет в таких областях, как открытие, изменение и закрытие клиентского счета: проведение операции, отражающейся на состоянии банковского баланса; разрешение превысить ранее оговоренный с клиентом лимит; предоставление, модификация или аннулирование права на доступ в систему е-банкинга.

10.Сохранение конфиденциальности ключевой банковской информации. Все конфиденциальные данные и записи должны быть защищены во время передачи по открытым, закрытым и внутрибанковским коммуникационным сетям и доступны только лицам, агентам и системам, имеющим соответствующие полномочия и прошедшим процедуру аутентификации. Используемые банком стандарты по обеспечению конфиденциальности следует распространить и на сторонние организации, привлекаемые к оказанию электронных услуг.

В. Управление правовым и репутационным риском (принципы 11-14).

11. Раскрытие необходимой информации электронного банковского сервиса на Web-сайте банка. Нужно указать следующие сведения: название банка и местонахождение его штаб - квартиры и филиалов; название надзорного органа, контролирующего деятельность головного офиса; контактную информацию относительно банковского центра по обслуживанию клиентов; порядок подачи жалоб; порядок получение информации о страховании депозитов; прочие необходимые сведения, например, перечень стран, где предоставляется электронный сервис.

12. Предотвращение несанкционированного доступа к клиентской информации. Стандарты использования информации о клиентах, накапливаемой банком в процессе оказания онлайновых слуг, должны соответствовать всем требованиям законодательства тех государств, на которые распространяется Web-обслуживание. Сервис-провайдерам, с которыми сотрудничает банк, также следует придерживаться этих стандартов. Банк обязан дать своим вкладчикам и заемщикам право запрещать передачу сведений о себе третьим лицам, желающим использовать их для маркетинга.

13. Содержание систем е-банкинга в постоянной эксплуатационной готовности. Требуется обеспечить необходимые мощности для электронного сервиса и его непрерывное функционирование, а также разработать комплекс мер на случай возникновения чрезвычайного положения. На критически важных направлениях развития онлайновых услуг должны проводиться постоянные оценки и переоценки имеющихся мощностей и разрабатываться прогнозы их динамики в будущем.

14.Создание эффективного механизма реагирования на неожиданные инциденты - внешние и внутренние атаки системы е-банкинга. Для улаживания происшествий в банке должны быть разработаны планы действий в следующих областях: немедленное выявление кризисной ситуации и определение размеров угрозы; восстановление электронных систем, в том числе и тех, что переданы внешним исполнителям, в соответствии различными сценариями развития событий, включая оценку вероятности разных вариантов; взаимодействие с участниками рынка и средствами информации; уведомление руководства банка и государственных регулирующих органов; формирование команд специалистов с особыми полномочиями и порядка подчиненности сотрудников, задействованных в ликвидации проблем; своевременное снабжение всех заинтересованных сторон необходимыми сведениями в продолжение всего инцидента; сбор и хранение данных для анализа кризиса после его завершения и наказания виновных.

Таким образом, основное внимание в документе Базельского комитета по банковскому надзору уделяется обеспечению информационно-технологической безопасности электронных услуг. Специалисты по этим вопросам становятся признанными членами элиты служебной иерархии и наравне с «финансовыми гениями» участвуют в формировании банковской стратегии. В некоторых странах надзорные органы считают нужным перевести правила информационной защиты из разряда рекомендательных в разряд обязательных.

3.3 Перспективы развития электронных услуг в Казахстане

Одна из основных задач казахстанских банков - это качественное клиентское обслуживание. Завоевание клиентской базы в настоящее время банки связывают с внедрением и развитием новых современных услуг и банковских продуктов, в частности онлайнового обслуживания.

Кроме того, внедрение и развитие новых технологий в банках - это основа их нормальной работы, без которой невозможно дальнейшее развитие банковской системы Казахстана.

Потребности развивающегося банковского сектора стимулируют совершенствования автоматизированных банковских электронных систем, создание большего количества сетей в мире. Все это создает благоприятные предпосылки для взаимодействия банка с внешней средой, является необходимым условием его нормальной работы.

На наш взгляд более подробно следует остановиться на системе функционирования электронных банков, так как удаленный банкинг (Интернет-банкинг) на сегодняшний день - альтернатива кредиткам в Интернете.

В общем смысле, как и следует из названия, удаленный банкинг - это предоставление банковских услуг не в банковском офисе, при непосредственном контакте с клиента и банковского служащего, а на дому, в офисе клиента, то есть везде, где это удобно клиенту. Необходимо добавить, что если система полностью автоматизирована, то он чаще всего доступна круглосуточно, в отличие от самого банка, работающего по строгому расписанию. Можно выделить четыре основные разновидности удаленного банкинга:

Internet banking, PC banking, telephone banking и video banking.

Под PC-банкингом, как правило, подразумевают доступ к счету с помощью персонального компьютера, осуществляемый при этом посредством прямого модемного соединения с банковской сетью, а не через Интернет. Клиенту при этом предоставляется специальное программное обеспечение для работы со счетом.

Видеобанкинг - это, по сути, система интерактивного общения клиента с персоналом в банке, своего рода видеоконференция. Обычно для видеобанкинга используются устройства, называемые "киосками" (kiosk). Это аппараты с сенсорным экраном, позволяющие клиенту получить доступ к различной информации, а также "вживую" пообщаться со служащим в банке и провести с его помощью практически любые операции. Эти устройства устанавливаются, разумеется, не дома, а в супермаркетах, университетах или других людных местах. Часто "киоски" совмещаются с банкоматами (ATM - automatic teller machine).

Самой популярной разновидностью удаленного банкинга на сегодня остается обслуживание по телефону - в силу распространенности и доступности телефонных терминалов. Операции совершаются здесь с помощью тонового набора. Телефонный банкинг является пока самой совершенной системой с точки зрения мобильности: если у вас есть под рукой телефон - значит, вам доступны банковские услуги. Дополнительные возможности открывает использование телефонов с дисплеем (screen-phone). С другой стороны, телефон - это изначально средство устного общения, и для совершения банковских операций приспособлен плохо, поэтому количество банков, работающих с Интернетом, и их клиентов постоянно растет. Согласно некоторым прогнозам, к концу века уже 15% операций по счетам будет совершаться частными клиентами в США со своего персонального компьютера. В Европе Интернет-банкинг получил наибольшее распространение в Швеции. Распространению Интернет-банкинга мешают опасения по поводу безопасности, часто высокая плата за эту услугу, к которой следует еще приплюсовать и цену доступа в Интернет.

Зарубежные электронные банковские услуги

CyberCash

CyberCash - американская компания, которая разработала и предлагает электронную платежную систему для расчетов с помощью кредитных карт в Интернете - Secure Internet Payment System. Ни магазин, ни какой-либо другой продавец не может узнать ничего о кредитной карте клиенте. Практически сводится к нулю вероятность перехвата данных в Интернете (стоимость расшифровки может составить миллион и больше долларов). CyberCash не оставляет никаких данных о покупке у себя, и лишь банк клиента, эмитент кредитной карты, будет как обычно в курсе деталей покупки.

И программное обеспечение (CyberCash Wallet), и услуги, то есть сами транзакции, - бесплатны. Кредитная компания добавляет 2% от объема операции плюс 20 центов. В следствии общей минимальной стоимости транзакции около 20 центов, система не готова удовлетворить нужды информационного бизнеса, использующего микроплатежи, однако такая система идеальна для продажи

"серьезного" программного обеспечения, "дорогой" информации, компакт-дисков и т.д. Особенно она хороша для продаж по каталогам.

Однако, описанная кредитная система платежей в Интернете не единственная у CyberCash, и сейчас компания работает над похожей дебитной системой, целью разработки которой является проведение расчетов между любыми двумя лицами имеющими E-mail адрес, кроме этого компания только что запустила систему CyberCoin специально для микроплатежей.

CheckFree

CheckFree - это, благодаря включению ее в стандартный пакет CompuServe и AOL (самых больших провайдеров Интернета в мире), самая используемая на сегодняшний день электронная платежная система. Система осуществляет оплату через Интернет с помощью кредитных карт и цифровых наличных.

Электронная платежная система CheckFree особенно удобна и там где для расчетов годится чек, то есть почти во всех случаях. Особенно удобно делать регулярные платежи, за свет, за газ, например и т.д. Однако, вследствие стоимости этой услуги (имеются различные схемы оплаты, в среднем, однако, это около 30 центов за транзакцию, т.е. чек) не приспособлена для микроплатежей.

Микроплатежи (в Интернете) с помощью цифровых наличных и оплата по кредитным картам возможны с помощью CheckFree Wallet - совместной с СyberCash разработкой. Секретность данных о клиенте и его кредитной карте гарантируется использованием мощных алгоритмов шифрования с открытым (очень длинным) ключом, однако сами транзакции не анонимные, и банк и продавец имеют информацию о покупках клиента и таким образом могут отслеживать предпочтения клиента.

First Virtual

First Virtual - это практически первая электронная платежная система в

Интернете. Компания First Virtual начала предлагать свои услуги по оплате товара (информации) еще в октябре 1994 года. По меркам Интернета - это очень давно. Особенностями First Virtual являются:

- В системе вообще не используется шифрование информации, вместо этого чувствительная для клиента информация один раз передается по телефону и никогда - через Интернет;

- Система позволяет получить услугу, информацию или другой товар до их оплаты;

- Обмен сообщениями осуществляется по E-mail.

Распределение риска для участников системы несколько перекошено в пользу покупателя, который предварительно может познакомиться с информацией и лишь потом оплатить, в то время как продавец постоянно рискует не получить оплату. First Virtual за отказ оплатить товар не отвечает. Поэтому пользоваться этой системой для продажи физических товаров, которые еще и требуют оплаты за пересылку, не рекомендуется, и система более пригодна для распространения информации или товаров в цифровом виде. Бесконечно эксплуатировать доверие продавцов клиенту не удастся, так как после ряда отказов от оплаты полученной информации такой клиент будет исключен из системы.

Что касается безопасности системы, то даже если кому-либо и удастся перехватить электронную почту клиента, то максимум что из нее можно извлечь

- это описание товара. Банковская и прочая персональная информация клиента по интернету вообще не пересылается в First Virtual (при регистрации она один раз передается с помощью кнопочного набора обычного телефона), поэтому система идеальна для людей страдающих паранойей "отсутствия безопасности в интернете". А если и пароль клиента будет каким-нибудь образом перехвачен и использован для покупки, то клиент просто отвергнет ее оплату и попросит его сменить. Крайним же окажется продавец, который в этом случае рискует не получить оплату за предоставленную информацию.