2) Отсутствие в кредитных организациях чёткой регламентации процессов, связанных с эксплуатацией систем ДБО, а также механизмов мониторинга адекватности действующей нормативной документации приводят к расширению состава негативных факторов, которые могут сказаться как на интересах клиентов, так и на финансовом состоянии организации;

3) Доступ пользователей к информационным ресурсам через не доверенную среду сети Интернет. Концентрация рисков в данной зоне связана, прежде всего, с ошибками или злоупотреблениями по предоставлению прав доступа и управлению идентификационными данными (паролями, криптоключами) клиентов. Кроме того, существенное влияние оказывают уязвимости программных, аппаратных средств и существующих технологий, а также рост попыток получения неправомерного доступа к информации, циркулирующей в системах ДБО;

4) Использование устаревших технологий создаёт дополнительные риски, вероятность реализации которых с течением времени увеличивается.

Основными направлениями в клиентской части системы, на которые следует обращать пристальное внимание, являются:

недостаточная проработанность документов, регламентирующих права и обязанности клиентов при получении услуг;

недостатки в обеспечении информационной безопасности;

недостатки, присущие конкретной банковской технологии ДБО;

недостатки и уязвимости, присущие операционным системам и другим прикладным программам, эксплуатируемым клиентами;

последствия, обусловленные ошибочными действиями персонала кредитной организации или безграмотностью клиентов.

Для кредитной организации направления, нуждающиеся в тщательной проработке, следующие:

недостаточная проработанность документов, призванных осуществить адаптацию довольно большого количества внутренних процессов и процедур к новым условиям деятельности;

недостатки в вопросах технического обеспечения информационной безопасности системы ДБО;

недостаточный анализ при внедрении новой банковской технологии, ориентированной на ДБО через Интернет, анализ тех "неприятностей" (организационных, юридических), которые клиент может доставить кредитной организации;

значительная зависимость кредитной организации от других вовлеченных в процесс сторон (провайдеров, поставщиков программно-аппаратных средств и др.).

Анализ существующих факторов риска поможет выявить процессы, влияющие на их уровень. Этот анализ должен включать:

разработку и поддержание в актуальном состоянии нормативно распорядительных документов;

поддержание требуемого уровня информационной безопасности, включая управление жизненным циклом автоматизированных систем (от разработки до окончания эксплуатации);

администрирование вычислительной сети и телекоммуникационного оборудования;

управление идентификацией и доступом пользователей к информационным ресурсам;

внедрение новых технологий повышающих безопасность эксплуатации систем ДБО;

мониторинг сетевого трафика с целью обнаружения вредоносного кода и вторжений.

Для своевременного реагирования на существующие риски кредитным организациям необходимо обеспечить выполнение комплекса организационных и технических мероприятий, направленных на обеспечение безопасного функционирования системы ДБО. Обеспечение удобства работы клиентов в системе, при выполнении такого комплекса, может явиться дополнительным конкурентным преимуществом.

Существует мнение, что усиление безопасности всегда негативно сказывается на удобстве работы клиента. Это не верно. Если безопасность не является "параноидальной", а используемые технологии современны и адекватны наличествующим угрозам, обеспечить одновременно удобную и безопасную работу для клиента вполне возможно.

Не менее распространённым является мнение о том, что необходимость дополнительных расходов за обеспечение безопасности всегда негативно воспринимается клиентами и ведёт к снижению их числа. Как показывает опыт передовых банков, если клиентам правильно и доходчиво объясняются существующие риски и возможные последствия, то, при наличии выбора механизма защиты, практически всегда выбор делается в пользу более высокого уровня безопасности. Поэтому внедрение новых безопасных аппаратных средств защиты идентификационной информации является насущной необходимостью.

Безусловно, стоимость и эффективность внедряемых технологий должна соответствовать тем объёмам финансовых операций, которые совершает клиент. Так, в случае небольших объёмов, для физических лиц чаще используются технологии одноразовых паролей, которые наряду с применением "запоминаемого" пароля, дают существенное увеличение безопасности совершаемых операций, при относительно небольшой стоимости. Использование инфраструктуры открытых ключей наряду с ключевыми носителями, способными надёжно сохранять идентификационную информацию о клиенте, по-прежнему остаётся практически безальтернативным вариантом для юридических лиц.

В последнее время появились довольно интересные решения в области повышения безопасности. Так, для технологии ЭЦП на рынке предлагаются смарт-карты на базе платформы Java, которые способны выполнить ЭЦП по алгоритму ГОСТ 34-10 2001 г., без использования криптопровайдера. При этом все криптографические операции с секретным ключом выполняются внутри смарт-карты, секретный ключ её никогда не покидает. Эта технология сводит к нулю вероятность кражи секретного ключа пользователя. Доступ к самой смарт-карте защищается PIN-кодом и, если она попадёт в посторонние руки, злоумышленнику не удастся ей воспользоваться. Кроме того, данная технология не требует установки, какого либо клиентского программного обеспечения на рабочем месте клиента. Совокупность всех этих факторов предоставляет клиентам высокую степень безопасности, удобство в работе и, главное, мобильность (клиент может получить доступ к системе практически с любого компьютера).

Ещё одной новинкой является технология, расширяющая возможности применения средств аутентификации для обеспечения защищенного удаленного доступа к информационным ресурсам. Она основана на жесткой фиксации адреса сервера ДБО внутри смарт-карты. При этом сама смарт-карта имеет "загрузчик" который позволяет в доверенном режиме скачать с сервера необходимое для работы в системе ДБО программное обеспечение. Клиент, использующий данную технологию, не может быть перенаправлен на какой либо другой сервер, при этом доступ к информационным ресурсам организуется с использованием SSL-протокола (Secure Sockets Layer - слой защищенных соединений), но без установки клиентского программного обеспечения. Эта технология делает практически невозможными "фишинг - атаки" и перехват критически важной информации.

Своевременный учёт и анализ реально существующих факторов риска позволяет разработать, а затем реализовать комплекс организационных и технических мероприятий, значительно снижающих вероятность реализации угроз информационной безопасности. Недооценка важности технических или организационных составляющих (равно, как и "перекос" в сторону одной из них) одинаково негативно отражается на безопасности систем ДБО.