Inovace v oblasti technologií a zvyšující se konkurence mezi bankami přinesla rozšíření nabídky bankovních služeb. Imperativem doby se stává poskytování služeb prostřednictvím elektronických distribučních kanálů jak podnikové, tak i retailové klientele. S rychlým rozvojem elektronického bankovnictví jsou však spojená i určitá rizika.

Pro zajištění bezpečných služeb elektronického bankovnictví je důležité, aby každý článek v řetězci poskytovatelů elektronického bankovnictví tato rizika identifikoval, a přijal adekvátní opatření vedoucí k jejich eliminaci resp. ke snížení možných následků.

Zjednodušeně lze rizika pojící se s oblastí elektronického bankovnictví rozdělit na obecná, která se vyskytují i v oblasti klasického bankovnictví a na rizika pro elektronické bankovnictví specifická.

Specifická rizika jsou představována jednak novými druhy rizik a jednak zvýšenou mírou rizik existujících v klasickém bankovnictví. Pro vedoucí pracovníky bank tak vyplývá nový úkol zajistit revizi stávajících postupů řízení rizik v oblasti poskytování bankovních služeb a tyto postupy event. upravit a přizpůsobit novým podmínkám.

Specifické rizikové oblasti
Charakteristické vlastnosti elektronického bankovnictví přinášejí následující skupiny rizik.

Rychlost změny vyvolaná inovacemi v technologiích i potřebou rozšířené nabídky služeb poskytovaných klientům je mnohem větší než u klasických bankovních produktů. Systémy podporující produkty klasického bankovnictví byly tradičně implementovány v průběhu relativně dlouhého implementačního cyklu po důkladných detailních testech. Naproti tomu v případě elektronického bankovnictví jsou banky mnohdy tlačeny konkurenčním bojem k co nejrychlejší implementaci nových řešení - často v době čítající pouze několik měsíců od okamžiku zrodu konceptu řešení do okamžiku jeho masivního nasazení.

Tato skutečnost klade mimořádné nároky na kvalitu strategického zhodnocení záměru a provedení analýzy rizik a kvalitu bezpečnostních posudků před samotným zahájením implementace.

Transakční webové aplikace jsou úzce svázány s tradičními bankovními systémy tak, aby bylo umožněno tzv. straight-through processing (STP) elektronických transakcí. Automatizované STP na jedné straně eliminuje možnost vzniku chyby způsobené lidským faktorem, na druhé straně dramaticky zvyšuje závislost na bezchybně navržené systémové architektuře, interoperabilitě systémů a provozní spolehlivosti jednotlivých částí komplexních informačních systémů.

Elektronické bankovnictví zvyšuje závislost banky na informačních technologiích, a tím i komplexnost technických a bezpečnostních aspektů řešení, komplexnost partnerských vztahů, aliancí, dodavatelských vztahů, outsourcingu a jiných vztahů banky se třetími stranami.

Internet má globální povahu. Jde o otevřenou síť přístupnou téměř odevšud anonymními uživateli, s routováním zpráv přes neznámá místa, někdy i přes bezdrátová pojítka. Tento fakt zvyšuje potřebu důrazu kladeného na bezpečnostní opatření, techniky autentizace uživatele a ochrany dat, standardy ochrany osobních údajů a procedury sběru a vyhodnocování auditních záznamů.

Principy řízení rizik
Mezinárodně uznávané a doporučované principy řízení rizik v oblasti elektronického bankovnictví můžeme rozdělit do tří základních, navzájem se prolínajících oblastí:

1. dohled nad elektronickým bankovnictvím prováděný vedením banky,
2. bezpečnostní opatření,
3. právní aspekty a zachování dobrého jména banky.

Uvedené principy nejsou seřazeny podle důležitosti. Důležitost resp. relevantnost určitého principu je vždy dána konkrétním prostředím banky, typem distribučního kanálu, individuálním profilem rizik, provozní a organizační strukturou, firemní kulturou a dalšími individuálními faktory.

Dohled nad elektronickým bankovnictvím
. Efektivní dohled nad riziky plynoucími z aktivit elektronického bankovnictví ze strany vedení banky s cílem zavedení konkrétních odpovědností, politik a vnitřních kontrolních mechanismů. Vedení banky si musí uvědomit, že některé z hlavních částí elektronických distribučních kanálů (internet, mobilní komunikační prostředky, apod.) se nacházejí mimo přímý vliv banky a že poskytování služeb prostřednictvím internetu může podléhat jurisdikci několika zemí. V mnoha případech budou technické aspekty a komplexnost elektronického bankovnictví přesahovat dosavadní praktické zkušenosti vrcholového vedení banky. Proto je nutné jasně vymezit reportovací mechanismy a eskalační procedury při vzniku incidentů a zajistit vhodné procedury pro selekci spolupracujících třetích stran.

. Ustanovení komplexního systému řízení rizik schváleného vrcholovým vedením banky. Jedná se např. o stanovení explicitní odpovědnosti vedoucích pracovníků a zaměstnanců banky za provádění podnikové politiky informační bezpečnosti, zajištění kontroly fyzického přístupu ke kritickým prvkům distribučních kanálů, zajištění dostatečné logické kontroly, sledování systémů elektronického bankovnictví, pravidelné revize a testování bezpečnostních opatření.

. Komplexní zajištění "due diligence" a procesu dohledu nad outsourcingem a dalšími závislostmi na třetích stranách. Do této kategorie náleží např. komplexní posouzení potenciálních dodavatelů, poskytovatelů služeb nebo outsourcingu jak po odborné a technické stránce, tak i po stránce finanční síly, smluvní zajištění převzetí bankovních standardů v oblasti řízení rizik, bezpečnostních opatření, ochrany osobních údajů spolupracujícími třetími stranami, periodický nezávislý nebo interní audit těchto třetích stran a vhodné "havarijní" plány pro případ selhání třetích stran.

Nezbytná bezpečnostní opatření
. Autentizace klientů přistupujících prostřednictvím elektronického bankovnictví. Toto opatření pravděpodobně nepotřebuje bližší vysvětlení. Jde o jednoznačné a bezpečné určení identity klienta přistupujícího prostřednictvím elektronického distribučního kanálu a stanovení jeho oprávnění.

. Zajištění nezpochybnitelnosti autorství a zajištění odpovědnosti v případě transakcí elektronického bankovnictví s cílem dosažení právní odpovědnosti.

. Zajištění vhodného oddělení povinností s cílem zamezit přílišnému nebo nevhodnému kumulování oprávnění jednotlivých zaměstnanců.

. Systémy elektronického bankovnictví musejí mít implementovány vhodné a dostatečné mechanismy pro kontrolu autorizačního procesu a procesu přidělování přístupových práv.

. Zajištění integrity transakcí elektronického bankovnictví, záznamů a informací. Je potřeba si uvědomit, že STP v mnoha případech znesnadňuje proces detekce a nápravy programátorských chyb a podvodného jednání. Je proto důležité věnovat dostatečnou pozornost zabezpečení a monitorování systémů, které pracují na bázi STP.

. Vytváření jednoznačných auditních záznamů o každé jednotlivé transakci a jejich vyhodnocování.

. Důvěrnost klíčových informací. Toto opatření je potřeba zajistit jak při zpracování dat v bance, tak zejména při zpracování dat třetími stranami.

Právní aspekty elektronického bankovnictví
. Banka musí zajistit informování klienta, využívajícího elektronický distribuční kanál,
o podstatných skutečnostech vhodným a dostatečným způsobem. Mezi podstatné skutečnosti může patřit např. jednoznačná identita poskytovatele služby (banky často používají různé názvy pro některé služby, či používají outsourcované třetí strany), informace o způsobu kontaktu zákaznického centra pro poskytnutí případné podpory, informace o reklamačních procedurách a řešení stížností, informace vyžadované relevantní jurisdikcí apod.

. Ochrana osobních údajů a informací o klientech. Přijatá opatření musejí odpovídat zákonným ustanovením relevantní(ch) jurisdikce(í), klienti musí být informování o politice banky v oblasti ochrany osobních údajů a dalších údajích o klientech, a v případě spolupracujících třetích stran musí být vyžadováno dodržování bankovních standardů.

. Plánování kontinuity podnikání, havarijní plány, plánování kapacit k zajištění dostupnosti služeb elektronického bankovnictví. Důležité je, aby tyto plány a opatření byly pravidelně testovány a revidovány s cílem zajištění nepřetržité dostupnosti služeb elektronického bankovnictví a ochrany dobrého jména banky.

. Plánování reakcí na incidenty vzniklé jak v důsledku interních, tak i externích útoků a nenadálých situací. Musí být navrženy a implementovány mechanismy včasné identifikace incidentu nebo kritické situace, mechanismy jeho zhodnocení a přijmutí vhodných opatření.

Pozn.: Autor pracuje jako senior konzultant v oddělení Řízení informačních rizik společnosti KPMG.