Информационное письмо
Образец оформления статьи
Анкета автора
30.12.2015

Реализация операционных банковских рисков в области информационной безопасности. Основные причины и способы противодействия

Щугорева Влада Андреевна
Аспирант, кафедра информационных систем и технологий, факультет информатики и прикладной математики Санкт-Петербургский государственный экономический университет Санкт-Петербург, Россия
Аннотация: Статья рассказывает о необходимости интеграции расчета величины риск-культуры в российских банках для оптимального управления рисками в условиях стагнации экономики, а также разработке мероприятий по минимизации  рисков, возникающих по направлению деятельности информационной безопасности. Приведены исследования в области корреляции мероприятий по улучшению риск-культуры и вероятности снижения ущерба от возникновения рисковых событий на примере одного из  крупнейших банков страны.
Ключевые слова: Риск-культура, банк, информационная безопасность, операционные риски, корреляция.
Электронная версия
Скачать (1.11 Mb)

Риск – неотъемлемая часть любого бизнеса, выбор между прибылью и надежностью, одновременно как опасность наступления неблагоприятного исхода, так и возможность для существенного развития любой, в т.ч. инновационной, деятельности. В современных экономических и геополитических условиях для банковской отрасли наступили времена, когда стабильная и устойчивая система риск-менеджмента это не только репутационный бонус и жесткое выполнение требований ЦБ РФ в целях избегания отзыва лицензии, но еще и необходимая выстроенная система многоуровневой линии защиты от различных угроз, возникающих не только в кредитной, но и операционной деятельности.

Информационная безопасность (ИБ), как одна из линий защиты, играет важную, а, с учетом быстрого развития ИТ технологий, зачастую первостепенную роль и требует пристального внимания в части возможных реализованных рисков, связанных с ее нарушением.

Если рассмотреть данные крупнейших российских банков об уровне понесенного ущерба в 2015 году, связанного с нарушением ИБ (речь идет о зарегистрированных зафиксированных случаях), то можно увидеть, что убытки за один год выражаются в сотнях миллионов рублей (рис. 1.). Крупные банки, такие как, например, Сбербанк, понесли ущерба порядка 800 млн. руб. - это сверх крупная сумма и если рассматривать динамику ущерба за последние 3 года. Такой ущерб для Сбербанка - это существенный, можно сказать, катастрофический ущерб.

Рост ущерба в 2015 году на примере данного банка составил 400% - в 4 раза, что зависит не только от экономической ситуации, но и от активного развития банковских систем, порой не успевающих обзавестись надежными защитами в части информационной безопасности.

Рис. 1. ТОП 7 ущерба от нарушений в области ИБ в 2015 г., млн. руб.  (banki.ru)

Рис. 1. ТОП 7 ущерба от нарушений в области ИБ в 2015 г., млн. руб. (banki.ru)

Изучая более подробно специфику рисковых событий связанных с нарушением информационной безопасности, в первую очередь можно выделить внешние атаки как на компьютерные системы клиентов банков, так и непосредственно на сами банки. Почти две трети инцидентов занимают взломы систем банк-клиент для корпоративных клиентов и интернет-банкинг систем для частных клиентов с целью доступа к счетам для хищения денежных средств в крупных и особо крупных размерах. Существенную долю в общем объёме ущерба также занимают скимминговые атаки на банковские карты клиентов, позволяя также злоумышленникам получать доступы к персональным данным клиентов, включая их банковские счета. Как правило, несмотря на не всегда видимые действия со стороны клиентов, в целях защиты своих собственных сбережений, правовое поле часто встает именно на сторону клиентов (как заведомо слабую сторону), вынуждая банк покрывать данные хищения и восстанавливать счета.

Также особую роли играют события, которые возникают в результате нарушений информационной безопасности внутри банка, со стороны сотрудников, которые злоупотребляют доступа с счетам клиентов с целью личного обогащения в т.ч. передавая данные третьим лицам. Ущерб происходит и от непосредственной работы систем, обеспечивающих информационную защиту, в моменты когда в данных системах происходят сбои, что может быть не всегда выразится в конкретном ущербе, но может обеспечить существенный простой в бизнесе, что по сути будет являться недополученной прибылью.

Можно выделить 3 основные причины или источника реализации таких событий – внешние угрозы, внутреннее мошенничество и сбои ИТ систем по ИБ.

Работать с рисками с целью минимизации можно двумя способами: реактивным и преактивным.

Практика работы с рисками в российских банковских подходах как правило всегда выражалась в реактивных мероприятиях. Мероприятия как системные, так и индивидуальные начинали вырабатываться после факта реализации крупных рисков, что, конечно, не говорило о том, что не думали о рисках заранее, но и системной работы выстроено не было. Руководствовались принципом «реализовался риск - думаем как закрыть».

Современный рост рисков, а также достаточно пессимистический взгляд на резкое увеличение атак в ближайшие годы (в Россию многие технологии кибермошенничества приходят из США и Европы, после того, как местные локальные банки защищают свои системы, и мошенники вынуждены искать другие крупные банковские рынки – Китай, Индия, Россия), говорит о том, что главным и единственным эффективным способом противодействия рискам является работа на предупреждение и предотвращение риска.

В ходе проведенной исследовательской деятельности были сделаны предположения, что, перед тем как понять на каком уровне выстроен риск-менеджмент в организации и что можно сделать для того, что данная система становилась более оптимальной и эффективной, необходимо оценить, в т.ч. параметрически, на каком конкретном уровне находится так называемая риск-культура организации в текущий момент времени. Ведь слово культура выбрано не случайно – именно «прививая» культуру сотрудникам банка, начиная от самых верхних до самых низких уровней должностей, возможно обеспечить по сути естественную защиту на предупреждение рисков, когда участвуют не только системы или конкретные руководители, но и каждый сотрудник на своем рабочем месте обеспечивает риск-защиту в рамках своей компетенции и функциональности.

Риск культура базируется на 4 основных принципах для каждого сотрудника– осознание риска, реагирование, уважение к клиенту, Банку и себе, и полная прозрачность всех процессов.

Главная поставленная задача - это рассчитать способность предвидеть потенциальные риски (данный процесс называется самооценка), уметь понимать уровень информирования о реализованных рисках, и определять наличие выстроенных эффективных программ, настроенных на минимизацию рисков.

Таким образом первичная модель расчета уровня риск-культуры (Rcult) - это нормированная функция от вышеуказанных параметров. 

Rcult = F(SA*INF*Act),

где SA - результаты риск-самооценки (Self-assessment), INF -уровень информирования о рисках Банка, Act - наличие программ и мероприятий по снижению рисков и повышению вовлеченности сотрудников в риск-культуру.

В 2014-2015 году были проведены исследования и произведены замеры уровня риск-культуры на основании установленных параметров оценки (SA, Inf, Act) по различным направлениям банковской деятельности одного крупного банка. Каждое направление деятельности было оценено на уровень риск-культуры на периодической основе (ежемесячно). Целью дельнейшего исследования - определить насколько возможные мероприятия по улучшения риск-культуры реально повлияют на результаты по ущербу.

В качестве пилотного проекта был выбран бизнес-блок, в котором были проведены специальные мероприятия по улучшению риск-культуры. Были проведены коммуникации (информационные каналы, примеры руководства) со всеми сотрудниками блока, было проведено специальное обучение всех сотрудников основам риск-менеджмента, предложены инструменты к развитию конкретные навыки работы с рисками, а также на долгосрочной основе были скорректированы подходы к кадровому набору (теперь включалось специальное тестирование, собеседование с психологом, направленным на способности по выявления риск-менеджмента).

Рис. 2 Корреляция ущерба и уровня риск-культуры бизнес-блока

Рис. 2 Корреляция ущерба и уровня риск-культуры бизнес-блока

Далее, на ежемесячной основе были произведены замеры уровня риск-культуры и понесенного ущерба на периоде 5 кварталов с начала 2014 года до 2015 (рис. 2), на приведенных статистических данных двух величин была посчитана корреляция.

Проведенные исследования показали высокую степень коррелированности между реально понесенным ущербом Банка от реализации рисковых событий с уровнем риск-культуры. Так коэффициент корреляции составил 0,76. Что позволило сделать предварительный вывод о высокой коррелированности уровня риск-культуры относительно уще

Гипотеза, на основании которой можно было продолжить исследования, заключалась в том, что уровень риск-культуры обратно пропорционален вероятности возникновения операционного ущерба.

2.png

где, P – вероятность, S – ущерб (реализация проекта «риск-культура»), S’ – ущерб без реализации проекта, Rcult1 – уровень риск-культуры в начале периода, Rcult2 – уровень риск-культуры в конце периода, a - коэф. линейной зависимости. 

Для подтверждения гипотезы, а также, с целью расширения объёмов исследовательских данных, мероприятия по развитию риск культуры поэтапно стали внедрять на всех направлениях деятельности. Так в начале 2015 года к проекту подключились подразделение BackOffice, а уже во втором полугодии 2015 года были подключены подразделения ИТ и информационной безопасности. Мероприятия по развитию риск-культуры были идентичны уже реализованным - коммуникации и обучение с сотрудниками, разработаны инструменты к развитию конкретных навыков работы с рисками и скорректированы подходы к кадровому набору.

Рис. 3. Этапы внедрения мероприятий по риск-культуре
Рис. 3. Этапы внедрения мероприятий по риск-культуре

Стоит отметить, что эффект от внедрённых мероприятий уже можно было заметить в разрезе следующих кварталов, при этом внедренные мероприятия по улучшения риск-культуры в бизнесе и Back Office давали заметный экономический эффект в части минимизации рисков в будущих периодах. Естественной особенностью любого эффекта по снижению рисков является то, что первые результаты, как правило, существенные. Дальнейший эффект по минимизации рисков в этих блоках будет не такой заметный и существенный, что влечет за собой корректировку самих мер и ресурсов, затрачиваемых на увеличение уровня риск-культуры.

Эти мероприятия по развитию риск-культуры в подразделениях, прямо и косвенно влияющих на уровень информационной безопасности (как правило функция ИБ выделена не только в отдельное подразделение, но и представлена во всех блоках - большую. работу с сфере информационной безопасности проводят не только работники служб безопасности, но и сами сотрудники, которые являются либо владельцами либо участниками бизнес процессов), достаточно активная работа на предупреждение рисковых событий, а также статистические данные по экономическому эффекту других направлений деятельности, позволили сделать прогноз на снижение ущерба связанного с нарушением информационной безопасности на 30% Сотрудниками были пересмотрены бизнес-планы перехода на тонкие версии банк-клиента (практически 100% переход), которые имеют очень высокие степени защиты от взлома, также были проведены мероприятия по полному оснащению банкоматов антискимминогвыми устройствами, были внедрены технологии клиентской сессии, пересмотрены подходы к идентификации ДУЛ, проведено большое количество обучений сотрудников и клиентов, внедрены дополнительные дисциплинарное матрицы воздействия.

Представленный эффект (рис.3) в ходе внедрения мероприятий по улучшению риск-культуры в других бизнес-блоках позволяет на 2016 год сделать оптимистический прогноз и на блок ИБ - несмотря на рост вовлеченности в ИТ технологии, развитие и расширение удалённых каналов обслуживания, увеличение эмиссии БК и расширение сети банкоматов, несмотря на рост зависимости от уровня информационной защищенности, при увеличении вовлеченности в риск-культуру подразделений, отвечающих за данные бизнес-процессы, ущерб от рисковых событий будет снижаться. Представленные мероприятия будут «закрывать» основные, уже известные и выявленные риски, но важным результатом улучшения риск-культуры является то, что самими участниками процессов проводится регулярный мониторинг, анализ и выявление слабых зон в процессах, которые наиболее подвержены возникновению риска. Данные действия и называются проактивными мероприятиями.

В заключении можно сделать следующие ключевые выводы, основанные на приведенных исследованиях - системная работа на предупреждение и предотвращение риска является ключевой задачей в области противодействия возникающим риск угрозам для финансовых компаний, методы оценки риск-культуры позволяют с определенной степенью корреляции говорить о влиянии на оценку уровня информационной безопасности в банке, при этом при существенном увеличении уровня риск-культуры можно наблюдать снижение потерь от рисков в области информационной безопасности, несмотря на независимые внешние факторы.

Мероприятия по снижению рисков всегда проводились и будут проводится во всех процессах, это неотъемлемая часть эффективного управления любой деятельности, направленной на снижение убытков. При этом для принятия правильных управленческих решений необходимо понимать насколько мероприятия по снижению рисков, включая сами затраты на проведение этих мероприятий, дадут ожидаемый эффект и не превысят потери от риска в случае отсутствия этих действий. Также необходимо понимать насколько состояние риск-менеджмента в текущий момент носит характер срочного реагирования, ведь не любой риск можно минимизировать до полного исключения, существуют момент, когда бизнес приходит к решению риск принять, т.к. дальнейшие мероприятий по снижению риска уже не принесут эффект и будут убыточны. Способность параметрически оценить состояние риск-менеджмента в конкретный момент времени и спрогнозировать величину уровня риск-культуры после минимизации риска является важным и необходимым инструментом для принятия правильных и результативных решений не только для банковского сектора, но и для всех отраслей экономики, имеющих волатильные факторы влияния на реализацию риска.

Дальнейшими целями исследования является расширение изучения данных на примерах не только одного крупного банка, но и проблематики подобных ущербов и уровня риск-культуры в ТОП10 банков России, а также доработка модели оценки уровня риск-культуры с учетом специфической деятельности различных банков. (например интернет-банк, розничный банк, инвестиционный и т.д). Будет разработана модель оценки единого риск-рейтинга банка, в т.ч основанная на параметрах расчета риск-культуры. Данную модель необходимо будет проверить на достоверность с помощью различных инструментов сценарного анализа.

В перспективе, рынку рейтинговых и консалтинговых агентств может быть предложен новый продукт - инструмент по оценке крупных и крупнейших банков на установленную риск модель. Данный инструмент поможет не только самим банкам понять степень вовлеченности их сотрудников и выстроенных процессов в локальный риск-менеджмент организации, но и дать информацию внешним клиентам и регулятору о готовности банков к быстрому и оперативному реагированию на возникновение рисков во всех областях банковской деятельности.

Список литературы:

1. «Международная конвергенция измерения капитала и стандарта капитала: новые подходы». Базельский комитет побанковскому надзору. Банк международных расчетов. - 2004.- С.155-167

2. Положение Банка России от 3 ноября 2009 г. № 346-П «О порядке расчета размера операционного риска». П.1-7

3. Anna S. Chernobai, Svetlozar T. Rachev, Frank J. Fabozzi. Operational Risk. A Guide to Basel II. Capital requirements, Models and Analysis. 2009. C. 15-34.

4. Сазыкин Б.В. «Управление операционным риском в коммерческом банке».-2008. C 27-35. -ISBN 978-5-9626-0411-4

5. Аванесов Г.М., Путькина Л.В. Управление жизненным циклом информационных систем. Учебное пособие/Г.М. Аванесов, Л.В. Путькина. - СПб.: Изд-во СПбГЭУ, 2014. - 93 с.

6. Горбунов А. А., Путькина Л. В. Виртуальная предпринимательская структура. Новый подход в системе управления//Мир экономики и права. – № 5. – 2011. – С.13-18

7. Путькина Л. В. Проектирование интеллектуальных систем в экономике. Статья в открытом архиве № 0321400431 30.07.2014

8. Путькина Л. В. Формирование бизнес-процессов на виртуальном рынке//Материалы Международной научно-практической конференции «Инновационное развитие современной науки». -Уфа. -31 января 2014 г.

9. Путькина Л. В. Эволюция концепций применения ИТ в управлении бизнес-процессами//Международный научно-исследовательский журнал. 2014. №12-2 (31). С.31-32.

10. Путькина Л. В. Эффективность реинжиниринга бизнес-процессов на предприятиях СКС//Современные аспекты экономики. 2009. №4. С.32-34

11. Путькина Л.В., Пискунова Т.Г. Интеллектуальные информационные системы. СПб: СПбГУП, 2008.