|
 Pokrok
v oblasti technologií a zvyšující se konkurence mezi bankami přinesla
rozšíření nabídky bankovních služeb. Příkazem doby se stává poskytování
služeb prostřednictvím elektronických distribučních kanálů jak
podnikové, tak retailové klientele. S rychlým rozvojem elektronického
bankovnictví jsou však spojená i určitá rizika. Možnostmi jak omezit
možná rizika se zabývá
studie společnosti KPMG.
Pro zajištění bezpečných služeb elektronického bankovnictví je důležité,
aby každý článek v řetězci poskytovatelů elektronického bankovnictví
tato rizika identifikoval a přijal adekvátní opatření vedoucí ke snížení
možných následků. Zjednodušeně lze rizika pojící se s oblastí
elektronického bankovnictví rozdělit na obecná, která se vyskytují i v
oblasti klasického bankovnictví, a na rizika pro elektronické
bankovnictví specifická. Pro vedoucí pracovníky bank tak vyplývá nový
úkol zajistit revizi stávajících postupů řízení rizik v oblasti
poskytování bankovních služeb a tyto postupy eventuálně upravit a
přizpůsobit novým podmínkám.
Specifické rizikové oblasti
Charakteristické vlastnosti elektronického bankovnictví přinášejí
následující skupiny rizik. Rychlost změny vyvolaná pokrokem v
technologiích i potřebou rozšířené nabídky služeb poskytovaných klientům
je mnohem větší než u klasických bankovních produktů.
Systémy podporující produkty klasického bankovnictví byly tradičně
implementovány v průběhu relativně dlouhého implementačního cyklu po
důkladných testech. Naproti tomu v případě elektronického bankovnictví
jsou banky mnohdy tlačeny konkurenčním bojem k co nejrychlejší zavádění
nových řešení - často v době čítající pouze několik měsíců od okamžiku
zrodu konceptu řešení do okamžiku jeho masivního nasazení.
Tato skutečnost klade mimořádné nároky na kvalitu celkového zhodnocení
záměru a provedení analýzy rizik a kvalitu bezpečnostních posudků před
samotným zahájením implementace. Transakční webové aplikace jsou úzce
svázány s tradičními bankovními systémy tak, aby bylo umožněno tzv.
straightthrough processing (STP) elektronických transakcí.
Automatizované STP na jedné straně eliminuje možnost vzniku chyby
způsobené lidským faktorem, na druhé straně dramaticky zvyšuje závislost
na bezchybně navržené systémové architektuře, interoperabilitě systémů a
provozní spolehlivosti jednotlivých částí komplexních informačních
systémů.
Elektronické bankovnictví zvyšuje závislost banky na informačních
technologiích, a tím i komplexnost technických a bezpečnostních aspektů
řešení, komplexnost partnerských vztahů, aliancí, dodavatelských vztahů,
outsourcingu a jiných vztahů banky se třetími stranami. Internet má
globální povahu. Jde o otevřenou síť přístupnou téměř odevšud anonymními
uživateli, s routováním zpráv přes neznámá místa, někdy i přes
bezdrátová pojítka. Tento fakt zvyšuje potřebu důrazu kladeného na
bezpečnostní opatření, techniky autentizace uživatele a ochrany dat,
standardy ochrany osobních údajů a procedury sběru a vyhodnocování
auditních záznamů.
Principy řízení rizik
Mezinárodně uznávané a doporučované principy řízení rizik v oblasti
elektronického bankovnictví můžeme rozdělit do tří základních, navzájem
se prolínajících oblastí:
1. dohled nad elektronickým bankovnictvím prováděný vedením banky
2. bezpečnostní opatření
3. právní aspekty a zachování dobrého jména banky
Uvedené principy nejsou seřazeny podle důležitosti. Důležitost resp.
relevantnost určitého principu je vždy dána konkrétním prostředím banky,
typem distribučního kanálu, individuálním profilem rizik, provozní a
organizační strukturou, firemní kulturou a dalšími individuálními
faktory.
|
 |
1) Dohled nad elektronickým bankovnictvím
- Efektivní dohled nad riziky plynoucími z aktivit elektronického
bankovnictví ze strany vedení banky s cílem zavedení konkrétních
odpovědností, politik a vnitřních kontrolních mechanismů. Vedení banky
si musí uvědomit, že některé z hlavních částí elektronických
distribučních kanálů (internet, mobilní komunikační prostředky, apod.)
se nacházejí mimo přímý vliv banky a že poskytování služeb
prostřednictvím internetu může podléhat jurisdikci několika zemí.
V mnoha případech budou technické
aspekty a komplexnost elektronického bankovnictví přesahovat dosavadní
praktické zkušenosti vrcholového vedení banky. Proto je nutné jasně
vymezit reportovací mechanismy a eskalační procedury při vzniku
incidentů a zajistit vhodné procedury pro selekci spolupracujících
třetích stran.
- Ustanovení komplexního systému řízení rizik schváleného vrcholovým
vedením banky. Jedná se např. o stanovení explicitní odpovědnosti
vedoucích pracovníků a zaměstnanců banky za provádění podnikové politiky
informační bezpečnosti, zajištění kontroly fyzického přístupu ke
kritickým prvkům distribučních kanálů, zajištění dostatečné logické
kontroly, sledování systémů elektronického bankovnictví, pravidelné
revize a testování bezpečnostních opatření.
- Komplexní zajištění "due diligence" a procesu dohledu nad
outsourcingem a dalšími závislostmi na třetích stranách. Do této
kategorie náleží např. komplexní posouzení potenciálních dodavatelů,
poskytovatelů služeb nebo outsourcingu jak po odborné a technické
stránce, tak i po stránce finanční síly, smluvní zajištění převzetí
bankovních standardů v oblasti řízení rizik, bezpečnostních opatření,
ochrany osobních údajů spolupracujícími třetími stranami, periodický
nezávislý nebo interní audit těchto třetích stran a vhodné "havarijní"
plány pro případ selhání třetích stran.
2) Nezbytná bezpečnostní opatření
Autentizace klientů přistupujících prostřednictvím elektronického
bankovnictví. Toto opatření pravděpodobně nepotřebuje bližší vysvětlení.
Jde o jednoznačné a bezpečné určení identity klienta přistupujícího
prostřednictvím elektronického distribučního kanálu a stanovení jeho
oprávnění.
- Zajištění nezpochybnitelnosti autorství a zajištění odpovědnosti v
případě transakcí elektronického bankovnictví s cílem dosažení právní
odpovědnosti.
- Zajištění vhodného oddělení povinností s cílem zamezit přílišnému nebo
nevhodnému kumulování oprávnění jednotlivých zaměstnanců.
- Systémy elektronického bankovnictví musejí mít implementovány vhodné a
dostatečné mechanismy pro kontrolu autorizačního procesu a procesu
přidělování přístupových práv.
- Zajištění integrity transakcí elektronického bankovnictví, záznamů a
informací. Je potřeba si uvědomit, že STP v mnoha případech znesnadňuje
proces detekce a nápravy programátorských chyb a podvodného jednání. Je
proto důležité věnovat dostatečnou pozornost zabezpečení a monitorování
systémů, které pracují na bázi STP.
- Vytváření jednoznačných auditních záznamů o každé jednotlivé transakci
a jejich vyhodnocování.
- Důvěrnost klíčových informací. Toto opatření je potřeba zajistit jak
při zpracování dat v bance, tak zejména při zpracování dat třetími
stranami.
|
 |
3) Právní aspekty elektronického bankovnictví
- Banka musí zajistit informování klienta, využívajícího elektronický
distribuční kanál, o podstatných skutečnostech vhodným a dostatečným
způsobem. Mezi podstatné skutečnosti může patřit např. jednoznačná
identita poskytovatele služby (banky často používají různé názvy pro
některé služby, či používají outsourcované třetí strany), informace o
způsobu kontaktu zákaznického centra pro poskytnutí případné podpory,
informace o reklamačních procedurách a řešení stížností, informace
vyžadované relevantní jurisdikcí apod.
- Ochrana osobních údajů a informací o klientech. Přijatá opatření
musejí odpovídat zákonným ustanovením relevantní(ch) jurisdikce(í),
klienti musejí být informování o politice banky v oblasti ochrany
osobních údajů a dalších údajích o klientech, a v případě
spolupracujících třetích stran musí být vyžadováno dodržování bankovních
standardů.
- Plánování kontinuity podnikání, havarijní plány, plánování kapacit k
zajištění dostupnosti služeb elektronického bankovnictví. Důležité je,
aby tyto plány a opatření byly pravidelně testovány a revidovány s cílem
zajištění nepřetržité dostupnosti služeb elektronického bankovnictví a
ochrany dobrého jména banky.
- Plánování reakcí na incidenty vzniklé jak v důsledku interních, tak i
externích útoků a nenadálých situací. Musí být navrženy a implementovány
mechanismy včasné identifikace incidentu nebo kritické situace,
mechanismy jeho zhodnocení a přijmutí vhodných opatření.
Autor
článku, Marek Fialka, pracuje jako senior konzultant v oddělení
Řízení informačních rizik společnosti
KPMG. |
