Оценка экономических рисков мошенничества в банковской сфере
Конференция: L Международная научно-практическая конференция «Научный форум: экономика и менеджмент»
Секция: Финансы, денежное обращение и кредит
L Международная научно-практическая конференция «Научный форум: экономика и менеджмент»
Оценка экономических рисков мошенничества в банковской сфере
ASSESSMENT OF THE ECONOMIC RISKS OF FRAUD IN THE BANKING SECTOR
Yulia Karavaeva
Candidate of economic Sciences, assistant professor, FGBOU VO Bryansk State University named after Academician I. G. Petrovsky, Russia, Bryansk
Marina Chernova
Magister FGBOU VO Bryansk State University named after Academician I. G. Petrovsky, Russia, Bryansk
Аннотация. в статье рассмотрены основные типы мошенничества в банковской сфере; зоны риска, виды угроз и потерь в результате операций несанкционированного доступа, динамика объёмов и количества операций без согласия килентов, основные направления работы по снижению рисков банковского мошенничества
Abstract. The article considers the main types of fraud in the banking sphere; risk zones, types of threats and losses as a result of unauthorized access operations, dynamics of volumes and number of operations without consent of kilents, main areas of work to reduce the risks of bank fraud
Ключевые слова: риск кибербезопасности; операции без согласия клиента; авторизованные платежи мошенникам; кибератаки; внутреннее мошенничество; кража личых данных; утечка данных; подмена личности; социальная инженерия; открытые банковские платформы; фишинг; претекстинг; байтинг
Keywords: cyber security risk; operations without client's consent; authorized payments to scammers; cyber attacks; internal fraud; theft of personal data; inshotekhekovs; fingerian preferences
На современном этапе общественного развития ключевым трендом выступает цифровая трансформация деятельности различных сфер экономики. Банки относятся к составу тех учреждений, в которых процессы цифровизации протекают наиболее масштабно и интенсивно. Результатом становится создание широкого спектра преимуществ для самых разных категорий потребителей финансовых услуг, улучшение их качества, в том числе, скорости предоставления, доступности, удобства, коммуникаций клиентов и банков. Однако обратной стороной цифровой банковской трансформации является рост рисков, прежде всего риска кибербезопасности. Это связано с тем, что наряду с развитием научно-технического прогресса и инновационной деятельности, идущих во благо, к большому сожалению, происходит и развитие с обратным вектором, направленным на нанесение ущерба одним субъектам и незаконное обогащение других субъектов. Другими словами, развитие различных способов и форм банковского мошенничества происходит параллельно с инновационным совершенствованием банковской деятельности. Как результат, банки вынуждены разрабатывать и на постоянной основе актуализировать не только стратегию инновационного развития, но и вносить изменения в стратегию управления рисками и капиталом.
Типология мошенничества в банковской сфере представлена на рис. 1.
Рисунок 1. Типология мошенничества [1]
Следует отметить постоянное расширение общемировой классификации мошеннических действий в банковской сфере. При этом, ключевыми видами внешнего мошенничества являются кража личных данных и учетных записей / мошеничество с подменой личности, кибератаки, CNP-атаки (несанкционированные действия без физического применения банковской платежной карты), авторизованные платежи мошенникам. Существует также и внутреннее мошенничество, совершаемое с участием работников кредитных организаций, знающих уязвимые места в системах их безопасности.
Банки выделяют четыре основных зоны риска, связанных с мошенническими действиями (см. рис. 2).
Рисунок 2. Основные зоны риска мошеннических действий в банковской сфере [1]
Кибермошенничество и утечка данных являются одной из самых серьёзных угроз. Мошенники с помощью множественных приёмов незаконного получения (хищения) различного рода информации – имён и фамилий, адресов электронной почты, паролей и реквизитов карт, дат рождения, банковских данных, номеров паспортов, номеров телефонов, домашних адресов и т.д. – вводят в заблуждение клиентов банка и побуждают к совершению авторизованных платежей в свою пользу, то есть платежей осуществлямых в результате подмены их законных получателей. Также мошеннические действия могут осуществляться в результате кражи учётных записей клиентов банков.
В центре внимания мошенников была и остаётся социальная инженерия, представляющая собой «метод получения необходимого доступа к информации, основанный на особенностях психологии людей» [4]. Существует множество приёмов социальной инженерии, самыми распространёнными из которых являются
- фишинг/спуфинг – рассылка электронных сообщений со ссылками, переход по которым (с введением пароля) позволяет получить необходимую информацию и/или доступ к банковским счетам, электронной почте;
- целевой фишинг – фишинговая атака, в основе которой находится использование правдивой информации о субъекте, полученной из открытых источников, что выглядит правдоподобно и стимулирует перейти по ссылке;
- претекстинг – получение от субъекта конфиденциальной информации за счёт позиционирования мошенников как представителей органов власти;
- байтинг («приманка») – вызывание заинтересованности у жертвы, например, за счёт предложения обновления ПО или выйгрыша приза и т.д., с тем, чтобы подключиться к компьютеру;
- квипрокво («услуга за услугу») – обещание услуги в ответ на то или иное действие (например, отключение от антивирусной защиты, сообщение личных данных и проч.).
Развитие дистанционных способов обслуживания приводит к снижению количества приобретения банковских продуктов/услуг в процессе очного общения между клиентом и банком, чем пользуются мошенники. Также рост объёмов цифровых транзакций, охвата биометрией, формирования баз знаний в результате подачи онлайн-заявок на кредиты формируют для мошенников огромный пласт данных, которыми они могут незаконно воспользоваться.
Открытые банковские балтформы представляют собой радикальное измнение порядка рыботы финансовых организаций всего мира, в рамках которого происходит передача ответственности за информацию о клиентских счетах и данных самим клиентам. В свою очередь, клиенты передают свои данные и данные о транзакциях третьим лицам (например, банкам, прочим финансовым компаниям), дают разрешение на их размещение в различных приложениях и платформах.
В результате различного рода мошеннических действий могут наступить следующие последствия:
- финансовые потери клентов банка, что не только наносит личный ущер, но и подрывает доверие к банковской системе;
- финансовые потери самих банков, способные оказать негативное влияние на их экономическое положение;
- нарушение надежности и бесперебойности предоставления услуг, репутационный ущерб;
- развитие системного кризиса в случае если совершена «успешная» кибератака в отношении системно значимой кредитной организации, например, ПАО Сбербанк, Банк ВТБ (ПАО), ГПБ (АО) и др. (всего системно значимыми являются 11 кредитных организаций).
На рис. 3 представлена динамика количества и объёма операций без согласия клиентов, а на рис. 4 – доля таких операций в совокупном объёме операций, совершённых с использованием платежных карт.
Рисунок 3. Динамика количества и объёма операций без согласия клиента [3]
Рисунок 4. Доля операций без согласия клиента в общем объёме операций, совершённых с использованием платежных карт, % [3]
По итогам 2020 г. объёмы несанкционированных операций выросли на 52,2% (до 977,3 млрд. руб.), а объёмы – на 34% (до 577 тыс. ед.).
Если говорить о количестве и объёмах несанкционированных операций, связанных с переводами денежных средств с использованием электронных средств платежа (ЭСП), то они выросли на 53 и 73,1% достигнув 8757,2 млн. руб. и 770 тыс. ед. соответственно.
Что касается доли операций без согласия клиентов в общем объёме операций, совершённых с использованием платежных карт, то она также показала рост с 0,00089 до 0,00117, однако была ниже критического показателя (0,005%), то есть, установленный регулятором уровень рисков по данному направлению соблюдался [2].
Примечательно, что по итогам 2020 г. общая доля мошеннических операций, осуществлённых с использовании приёмов и методов социальной инженерии, снизилась с 68,6 до 61,8%, что может свидетельствовать о повышении действенности работы регулятора с банками и населением, направленной, главным образом, на повышение уровня знаний клиентов банков в сфере общих правил безопасности при использовании различных цифровых каналов и инструментов.
На рис. 5 рассмотрена динамика количества и объёма операций без согласия клиентов со счетов юридических лиц.
Рисунок 5. Динамика количества и объёма операций без согласия клиента со счетов юридических лиц* [3]
*Операции, по которым поступили сообщения от клиентов о хищениях средств в результате мошеннических действий в системах ДБО юридических лиц и индивидуальных предпринимателей.
Количество несанкционированных операций в сегменте дистанционного банковского обслуживания (ДБО) юридических лиц снизилось на 63,6 % и составило 2933 ед., но объём таких операций вырос на 45,5% и достиг 1020 млн. руб. При этом порядка 33% случаев (980 хищений) были связаны с применением инструментов и методов социальной инженерии.
В единой системе мер, реализуемых Банком России в целях снижения количества случаев мошеннических действий, а также объёмов причинённого в результате их совершения ущерба, можно выделить следующие:
- совершенствование нормативно-правовой базы в области регулирования информационной безопасности банковского сектора;
- повышение финансовой грамотности населения;
- организация информационного обмена для осуществления оперативного и непрерывного взаимного информирования об угрозах нарушения информационной безопасности и об операциях без согласия клиентов.
В тоже время, необходимы системные меры и на уровне самих кредитных организаций. Представляется, что основными направлениями в сфере противодействия риску кибербезопасности должны стать:
- внесение изменений в политику по управления рисками и капиталом: включение рисков кибербезопасности, технологий в состав существенных рисков, а также определение процедур и методов воздействия на них;
- обязательный расчёт количественных показателей совокупного операционного риска, оценка влияния риска кибербезопасности на валовые платежи, капитал – при проведении анализа экономического положения банков (на данном этапе, согласно подходу Банка России оценивается только организационная составляющая);
- формирование и развитие риск-культуры, в том числе, организация системы внутренних коммуникаций в области противодействия внутреннему мошенничесву, реализация комплекса обучающих программ для сотрудников в области противодействия рискам кибербезопасности, технологий.
В заключении необходимо отметить, что продолжающиеся глобальные изменения в работе банков, снижающаяся потребность в очных контактах с клиентами и, наоборт, рост объёмов цифровых платежей, будут способствовать все большей изобретательности мошенников, которые будут находить всё новые и новые способы кражи денег у банков и их клиентов. В этой связи, необходима системная работа в области оперативного реагирования на угрозы наступления событий риска кибербезопасности, внедрение инновационных подходов и технологий, направленных на прогнозирование и предотвращение риска.