Андрей Шамраев - Предоплаченные инструменты розничных платежей – от дорожного чека до электронных денег

♦ несанкционированное изменение данных (суммы, валюты) при осуществлении платежа ЭД (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);

♦ отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента ЭД адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать сделки, санкционированные ими ранее, чем нанесут эмитенту финансовые убытки;

♦ совершение операций с ЭД под именем другого держателя. В данном случае, при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;

♦ использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя ЭД), может привести к «ложной» эмиссии ЭД, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск «подделки» ЭД возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию «подделок». Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.

Существуют различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви») или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.

Следует отметить, что одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника – оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например SATAN (Security Administrator Tool for Analyzing Networks) и COPS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее «вскрыть».

Другой вид операционного риска возникает в случае, если организация предполагает осуществлять эмиссию ЭД и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы ЭД, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы ЭД с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов – держателей ЭД определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством ЭД. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Internet (система E-cash, система PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Internet, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Internet) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи «форс-мажора», уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую гибкость в части приспособления предлагаемых услуг к клиентам.