Следует отметить, что блокировать все угрозы и сохранять банковскую информа-цию на электронных носителях гораздо сложнее, чем в бумажной форме. Хотя передовые технологии создают условия для лучшей защищенности, но полная безопасность остается в принципе недостижимой.
Идущая в последние два-три десятилетия компьютеризация банковской деятельности, автоматизация информационных и других технологий, разумеется, определялась, прежде всего, необходимостью решения стратегических задач, но попутно решались и новые проблемы, связанные с компьютерной безопасностью.
Расходы на банковскую компьютеризацию весьма велики. В соответствии с общемировой практикой в среднем банке расходы на компьютеризацию составляют не менее 17% от общей сметы годовых расходов, соответственно, значительны расходы и на компьютерную безопасность.
Внедрение АБС существенно повышает эффективность банковской деятельности, но вме-сте с тем, приводит к появлению новых информационных рисков: реализация всех функций АБС связана с возможностью утечки, хищения, утраты, искажения, подделки, уничтожения, копирования, блокирования компьютерной информации. И эта возможность носит отнюдь не абстрактный характер. Суммарный ущерб мирового банковского сообщества от компьютерных преступлений измеряется десятками миллиардов долларов, только в Западной Европе его вели-чина приближается к $30 млрд.
По оценкам Британской Федерации предпринимателей, средний размер похищенного при проникновении в банковские компьютерные сети составляет около $500 тыс. на один случай, что значительно превышает среднюю величину ущерба от ограбления одного банка. Самое грандиозное из известных компьютерных ограблений произошло в Германии, когда с банковских счетов преступникам удалось безвозвратно снять сумму, эквивалентную примерно $1 млрд.
Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в $100 млрд. ежегодно. По оценкам специалистов, основная опасность базам данных исходит от внутренних пользователей: ими совершается 94% преступлений, а внешними – только 6%. Институт компьютерной безопасности в Сан-Франциско опубликовал некоторые данные, характеризующие состояние компьютерной преступности и информационной безопасности в 2001 г. Согласно исследованию этого Института, в 2001 г. 64% крупных корпораций и прави-тельственных структур понесли финансовые потери из-за того, что их системы информацион-ной безопасности были нарушены. Средний размер годовых потерь на одну компанию составил около $ 2 млн.
В представленном Всемирным банком документе "Электронная безопасность: уменьше-ние рисков в финансовых операциях" перечислены направления деятельности, обеспечивающие необходимый уровень безопасности в этой сфере, среди которых: создание условий, при кото-рых страховые компании могли бы страховать риски в сфере информационной безопасности, обеспечение достоверности информации об инцидентах в сфере безопасности. Компьютерные преступления против банков совершаются и в России. Еще в 1991 г. было похищено $125,5 тыс. во Внешэкономбанке. Преступники из числа сотрудников вычислитель-ного центра банка открыли несколько личных счетов по поддельным паспортам и начали пере-водить на них деньги банка. В феврале 1996 г. была пресечена преступная деятельность группы лиц, совершавших хищения валютных средств в международной межбанковской системе элек-тронных платежей путем несанкционированного входа в компьютерную сеть Автобанка с по-следующим списанием средств по его корсчету в Bank of New-York на сумму более $320 тыс. В дальнейшем деятельность компьютерных преступников стала еще более изощренной и мас-штабной.
Из всего числа зарегистрированных и проанализированных компьютерных преступлений против банков в России 52% было связано с хищением денежных средств, 16% – с разрушением и уничтожением программного обеспечения компьютерной техники, 12% – с преднамеренным искажением исходных данных, 10% – с хищением информации и программ. По оценкам экс-пертов, основным источником информационных угроз для банков России в начале XXI в. будет обслуживающий (в том числе и бывший) персонал (от 40 до 90% случаев), а основными видами угроз – несанкционированный доступ и вирусы (считается, что практически все банки, без ис-ключения, будут подвергаться вирусным атакам).
Но информационные угрозы АБС связаны не только с умышленными компьютерными преступлениями. Так, ежегодные потери американской экономики из-за ошибок в компьютерных программах составляют около $60 млрд. По многолетней статистике американской иссле-довательской фирмы FIND/SVP, отказ компьютера, используемого в банке, наносит ущерб в среднем в размере $263 тыс. В Великобритании ущерб от одного отказа, составляет в среднем $166 тыс.
Итак, современный банковский бизнес неизбежно связан с огромными информационными рисками. Одной из форм защиты банковского бизнеса от информационных рисков является страхование.
На Западе издавна страхуются почти любые риски. По оценкам экспертов, в развитых странах Запада страхованием охвачено примерно 90-95% всех возможных рисков, в России по-ка – 5-7%. В США, например в 1994 г. совокупная страховая премия составила огромную сум-му, эквивалентную 11,4% ВНП.
Банковское страхование на Западе не просто широко распространено, а фактически явля-ется обязательным при ведении банковской деятельности. Банки сталкиваются со многими ви-дами рисков, далеко не только информационными, и страховое покрытие возможного ущерба обычно выдвигается как одно из стандартных условий при открытии международных банковских кредитных линий или установлении корреспондентских отношений.
Страхование информационных банковских рисков Хотя перечень страховых услуг превышает 3 тыс. позиций, страхование информационных рисков возникло на Западе совсем недавно, в самом конце XX в. В связи со сложностью и спе-цификой страхования им занимаются весьма немногие страховщики. При страховании информационных рисков приходится решать множество новых проблем, таких, например, как оценка стоимости страхуемых информационных ресурсов или оценка раз-меров ущерба при наступлении страхового случая (скажем, копирования информации). При этом следует отметить, что в мировой практике пока не создано эффективных методик объек-тивной оценки стоимости информации, хотя понятно, что информационные ресурсы в АБС сто-ят многие миллионы долларов (а иногда и миллиарды) – и, значит, в договорах должна быть указана соответствующая, страховая сумма. Технология такого страхования – предмет поисков и дискуссий. Нам представляется вполне логичным при страховании информационных рисков действовать по аналогии с традиционными принципами и методами страхования. Так, при оценке ущерба в страховании профессиональной ответственности, ущерб определяется соглас-но решению суда, устанавливающего размер имущественной ответственности специалиста или фирмы за причинение материального ущерба клиенту, моральный ущерб за счет страхователя не возмещается.
Сбой и остановка в работе компьютера по своей экономической сути близки простою обо-рудования. Напомним, что определение величины убытков при страховании от простоя сравни-ваются результаты производственной деятельности предприятия во время перерыва в произ-водстве с результатами, которые предприятие достигло бы, если бы этого перерыва не про-изошло. Возмещаемый убыток складывается из текущих расходов предприятия по продолже-нию своей деятельности в период перерыва в производстве и потерь прибыли от хозяйственной деятельности предприятия.
Хорошо отработаны методы имущественного страхования. При страховании имущества возмещаются не только прямые убытки, т.е. убытки, связанные с гибелью или повреждением имущества. Косвенные убытки и ущерб, причиненный третьим лицам, в рамках договоров имущественного страхования, как правило, не подлежат возмещению.
Объектами имущественного страхования могут стать:
- документированная информация;
- информационные ресурсы;
- информационные продукты;
- информационные системы, технологии, средства их обеспечения; программы для ЭВМ (операционные системы, системы автоматизации банковской дея-тельности и т.п.) и базы данных:
- средства защиты информации;
- объекты информатизации (совокупность информационных ресурсов, систем и средств об-работки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации).
Но конкретные условия страхования информационных рисков каждому страховщику при-ходится определять самостоятельно.
До недавнего времени многие банки обходились широко распространенным в мировой практике "Генеральным банковским полисом" (Banker's Blanket Bond – BBB), предоставляю-щим общебанковское комплексное страхование. Обязательства по такому страхованию покры-вают:
- нелояльность персонала банка (иначе говоря, мошеннические действия сотрудников с це-лью получения личной выгоды);
- имущество, находящееся в помещениях банка;
- наличные деньги при транспортировке; убытки, понесенные банком при операциях по поддельным документам;
- убытки, понесенные банком при принятии валюты, которая впоследствии была признана фальшивой.
Таким образом, виды страхования, предлагаемого полисом "ВВВ", не покрывают значи-тельной части убытков от электронных и компьютерных преступлений и лишь ограниченно страхуют иные информационные риски. Но даже такой ограниченной возможности страхова-ния информационных рисков в рамках общебанковского страхования теперь часто не предос-тавляется.
Ряд западных страховых компаний в 2001-2002 г. изменили стандартные условия бизнес-страхования, исключив из объекта такого общего страхования информационные риски. Не-сколько судебных решений также подтвердили, что страховые компании не должны возмещать по стандартным бизнес-полисам ущерб, вызванный искажением или утратой информации. Ве-дущий экономист Института страховой информации в Нью-Йорке Р. Хартвич в интервью жур-налу "Бизнес Уик" в январе 2002 г. так охарактеризовал новое положение дел: "Всем должно быть ясно, что возможные потери от сбоев и отказах в информационных системах, компьютер-ных вирусов, хищение информации не могут быть учтены в стандартных бизнес-полисах".