Сьогодні неможливо уявити функціонування банківських установ без використання сучасних інформаційних технологій та, зокрема глобальних комп’ютерних мереж, у тому числі й Internet. Це пояснюється тим, що он-лайнові банківські послуги дозволяють проводити фінансові операції (торгівля акціями, отримання кредитів, страхування і т.п.) без посередників, що призводить до зниження комісійних і прискорення обігу фінансових активів. На користь використання сучасних інформаційних технологій для проведення банківських операцій, що здійснюються як з юридичними, так і з фізичними особами, свідчить дослідження, проведене консультаційною фірмою Booz, Allen and Hamilton. За його результатами оплата послуг через Internet обходиться клієнту в $ 0,01, з використанням автоматів — у $ 0,27, надання послуг по телефону — $ 0,54, а у касового вікна — у $ 1,07. Фінансові інститути прагнуть знизити величезні витрати по утриманню своїх філій і відділень, а також витрати по обов'язкових платіжних перерахуваннях, одночасно вони намагаються підвищити і прибуток окремих кредитних установ. Якщо у 1997 році тільки 5 % фінансових установ надавали доступ через Internet, то в 1998 - їх було 18 %, а в 1999 – 65 %. У Європі 70 % банків надають послуги в онлайн режимі. За оцінками компанії Garther обсяги комерційних трансакцій в Європі зростуть за найближчі чотири роки з $ 53 млрд. до $ 1 200 млрд. Величезне різноманіття електронних банківських продуктів і послуг стосується, в першу чергу, такої важливої сфери, як національний і міжнародний платіжний оборот. Система електронних розрахунків зводить до мінімуму банківські операції (розрахунки, платіжні доручення, інформаційне забезпечення) по обслуговуванню клієнтів у касах. Поряд з цим все ширше використовуються банкомати, за допомогою яких клієнтам видається не лише готівка, але й надається можливість покласти кошти на рахунок, зробити операції по ощадній книжці клієнта і т.д., тобто система розрахунків готівкою змінюється системою безготівкових розрахунків і платежів.
У даний час мережа Internet уже є інформаційною системою для оперативного здійснення банківських операцій. Разом з тим відкритість цієї мережі для платежів і використання її як каналу збуту викликає у користувачів різного роду сумніви щодо безпеки. Щоденно в світі $ 2000 млрд. перераховуються з використанням електронних систем зв’язку. За даними Бюро технологічної оцінки США 0,05-0,1 % усіх переказів відносяться до відмивання “брудних” коштів. Річні збитки від шахрайських дій з пластиковими картками складають менше половини одного відсотка від загального грошового обігу - приблизно $ 1,3 мільярда. Хоча збитки становлять і невеликий відсоток від загального обсягу, але сама сума є вражаючою. Постійне збільшення цієї цифри свідчить про існування кримінальної підпільної індустрії, пов'язаної з незаконним використанням пластикових карток. У дослідженні, опублікованому американською фірмою ClearCommerce, Україна називається вогнищем кібершахрайства - тут відбувається більшість шахрайських операцій із кредитними картками. Висновки дослідження свідчать, що 20% усіх замовлень, що надходять з України, є шахрайськими - "замовники" використовують украдену інформацію c кредитних карток (http://www.liga.kiev.ua/news/show 07.05.2002, 11:24).
Отже, одночасно з розширенням мережі користувачів банківських установ та спрощенням процедури доступу до них збільшується кількість загроз як до комп’ютерних систем, так і до фінансової організації у цілому. Поширення так званої комп’ютерної злочинності у банківсько-кредитній сфері пояснюється дуже просто - адже саме у даній сфері знаходяться величезні фінансові кошти, які у першу чергу цікавлять злочинців.
Відразу слід зазначити, що правоохоронним органам стають відомі далеко не всі випадки викрадення грошей шляхом використання банківських комп’ютерних систем. Це можна пояснити декількома обставинами. Серед них і небажання керівництва організацій надавати відповідну інформацію через побоювання “компрометації” фінансових установ та можливості виявлення додаткових правопорушень при проведенні слідчих дій. Наприклад, в одному з комерційних банків Москви провідний бухгалтер відділу валютних операцій провела на рахунки своїх знайомих $ 123 тис. Співробітники банку довгий час не сповіщали правоохоронні органи в надії “розібратися своїми силами”, але в решті решт були змушені це зробити коли ситуація вийшла з під контролю [1].
На жаль, значну частину серед суб’єктів несанкціонованого доступу до комп’ютерних банківських систем складає персонал, який добре ознайомлений з технологією обробки інформації. Пояснюється це також тим, що з погляду психологічних особливостей персонал — явище складне, кожен із співробітників завжди індивідуальний, важко передбачуваний і мотивації його поведінки часто суперечливі. До числа правопорушників іноді потрапляють і особи, які самі повинні відповідати за інформаційну безпеку в установі. Так старший інженер-програміст Б. Сімферопольського відділення банку «Україна» на протязі 1996-1999 років учинив розкрадання коштів на значну суму. На нього покладався обов’язок за обліком виготовлених, виданих, зіпсованих і таких, що належали знищенню магнітних карток. Тож він цілком володів інформацією про принцип роботи автоматизованої системи, мав широке коло повноважень щодо супроводження і обслуговування. Крім того він був співробітником фінансової безпеки банку, адже володів інформацією про рух коштів фізичних і юридичних осіб.
До речі, у відділенні банку по закінченню кожного операційного дня зводився баланс, неодноразово проходили ревізії, але розкрадання не виявлялось. Розслідуючи кримінальну справу спеціалісти особливу увагу приділили пошуку у пам’яті комп’ютера даних, що свідчать про використання рахунків вкладників. Як пізніше розповів правопорушник, він хотів, використовуючи інфляцію гривні, повернути викрадені гроші пізніше. Але з 1998 року інфляція була незначною і відшкодувати викрадені суми йому виявилося не по «кишені». Під тиском незаперечних доказів, Б. визнав свою вину та був засуджений судом за рядом статей Кримінального кодексу України з накладенням значного штрафу і відшкодуванням заподіяного збитку. Вирок набув законної сили [2].
Широко відомою стала так звана "вінницька" справа. Організоване злочинне угруповання (ОЗУ) у жовтні 1998 р. вчинило крадіжку державних коштів з Вінницького ОУ НБУ України в сумі 80,4 млн. грн. Один з членів ОЗУ, працюючи на посаді техніка сектора обробки задач регіональної розрахункової палати центра інформатизації і платіжних систем обласного управління НБУ, використовуючи своє службове становище, періодично робив несанкціонований доступ у локальну мережу. Йому вдалося скопіювати цифровий підпис платіжних документів. Одночасно, використовуючи доступ зі свого робочого місця до розрахункових рахунків банку шляхом візуального перегляду через монітор комп'ютера злочинець встановив, що на спеціальному рахунку Вінницького ОУ НБУ знаходиться велика сума грошей. 23.10.98 р. технік сформував 9 пачок платіжних документів, підписавши їх за допомогою раніше скопійованого електронного цифрового підпису і направив у систему електронних платежів, незаконно перевівши суму зі спеціального рахунку. Далі гроші були переведені по 15 платіжних дорученнях на різні комерційні структури. Внаслідок проведення відповідних заходів, гроші були повернуті державі.
З підключенням до транснаціональних фінансових систем виникають нові загрози. Значного міжнародного резонансу набула справа жителя Санкт-Петербургу В. Левіна, який на початку 1994 року придбав за смішну суму в 100 доларів у професійного хакера інформацію, як проникнути в один з підрозділів Internet, одержавши при цьому визначені права і привілеї. Хакер, який продав Левину інформацію, не ставив своєю метою грабувати банки - завдяки незаконно придбаним привілеям він користувався комерційними службами мережі Internet таким чином, що рахунок за послуги виставлявся іншому абонентові.
У липні 1994 року він разом зі своїм напарником - одним зі співвласників фірми «Сатурн» - уперше проник у комп'ютерний центр Сіtіbаnк'а і перевів з нього гроші в каліфорнійське відділення Bank of America на рахунки своїх друзів. Левін пішов далі свого «учителя» - він проникнув у комп'ютерну систему Citibank і почав спокійно красти гроші.
У серпні 1994 року Володимир Левін у черговий раз обійшов складну систему захисту банківської мережі Сіtіbаnк'а і перевів 2,78 млн. доларів на рахунки декількох компаній в Ізраїлі і Каліфорнії. Як стверджують керівники Сіtіbаnк'а, йому вдалося викрасти лише 400 тис. доларів, оскільки спрацював захист і рахунки виявилися заблокованими. Відразу після інциденту служба безпеки Сіtіbаnк'а разом із правоохоронними органами почали роботу по виявленню порушника. Однак протягом півроку американські спецслужби (у тому числі ФБР) не могли його допитати - заарештувати Левіна було можливо лише за межами Росії. Фахівці американських спецслужб дурили Левіна, дозволяючи йому перекидати неіснуючі гроші з рахунків Сіtіbаnк'а (на жаргоні хакерів така операція називається «даммі»).
У своєму інтерв'ю San Francisco Chronicle агент ФБР Стівен Гарфінк заявив, що В. Левін здійснив більше 40 трансакцій на загальну суму $ 10 млн. Треба відзначити, що $ 2,78 млн. - це кошти, які реально були переведені із Сіtіbаnк [3].
Тільки наведені приклади вказують, що захист інформації в банківських установах вимагає належної уваги та постійного вдосконалення. Як відомо, він включає три основні складові: правовий, організаційний та технічний захист інформації.
На протязі останнього часу було прийнято цілу низку нормативно-правових актів, у тому числі і міжнародних, які безпосередньо стосуються захисту інформації.
Перш за все, слід згадати новий Кримінальний кодекс України, який набрав чинності у вересні 2001 року, де комп’ютерним злочинам присвячено розділ XVI "Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж", який складається з:
ст. 361. Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж;
ст. 362. Використання, привласнення, вимагання комп’ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем;.
ст. 363. Порушення правил експлуатації автоматизованих електронно-обчислювальних систем.
Важливою подією у боротьбі з транснаціональними комп’ютерними злочинами стало підписання нашою державою, разом із 30 іншими країнами, 23 листопада 2001 року Європейської конвенції про кіберзлочинність, в якій досить чітко визначені види комп’ютерної злочинності та шляхи взаємодії урядів щодо боротьби з нею.
6 грудня 2001 року Президент України підписав Указ № 1193/2001, який передбачає внесення змін у законодавство, що регулює питання боротьби з кіберзлочинами.
З метою організації протидії "комп'ютерному тероризму", в тому числі поширенню через глобальні та національні мережі зв'язку ідеології тероризму, пропаганди насильства, війни і геноциду Постановою Кабінету Міністрів України від 14 грудня 2001 р. N 1694 заплановано розробити з урахуванням рекомендацій Парламентської Асамблеї Ради Європи щодо боротьби з міжнародним тероризмом проекти Законів України "Про моніторинг телекомунікацій", "Про захист інформації в мережах передачі даних", "Про регулювання українського сегменту мережі Інтернет" [4].
Щодо організаційного аспекту протидії комп’ютерним злочинам, то слід відмітити створення у 2001 році Управління по боротьбі зі злочинами в сфері високих технологій при МВС України. За час функціонування підрозділом порушено 40 кримінальних справ (для порівняння до створення такого підрозділу в 2000 році було порушено 7 кримінальних справ за ст. 198-1 Кримінального кодексу України, що діяв раніше).
Невідкладним завданням на сьогодні є створення Міжвідомчого центра по боротьбі з комп'ютерними злочинами, що передбачено Указом Президента України Про рішення Ради національної безпеки і оборони України від 31 жовтня 2001 року "Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України". На базі МЦБКЗ слід організувати контактний пункт для отримання повідомлень про кіберзлочини та оперативної допомоги жертвам, лабораторію для проведення комп’ютерних експертиз. Центр може стати місцем для організації семінарів, практикумів у системі підготовки фахівців по захисту інформації. Якщо сьогодні на створення та функціонування МЦБКЗ не виділити достатніх фінансово-матеріальних ресурсів – завтра втрати економіки держави від комп’ютерної злочинності будуть набагато більшими.
Щодо технічного захисту інформації, то одним з перспективних напрямів тут є використання криптографічних систем, розвиток яких передбачено Указом Президента № 1193 від 6 грудня 2001 року. Проте, на шляху використання вітчизняних розробок існує кілька перешкод. По-перше це відсутність Закону про електронно-цифровий підпис, що ставить під сумніви законність використання таких систем. По-друге - ліцензування роботи по розробці криптосистем і проведення їх сертифікації вимагає значних коштів, що не може не відзначитися на вартості кінцевого продукту і під силу далеко не всім організаціям. А тому, на мою думку, потрібна відповідна програма для підтримки вітчизняних розробок, надання грантів тощо.
Комплексне вирішення зазначених проблем дозволить отримати переваги, які надає електронний банкінг при високому рівні безпеки банківських інформаційних систем.
Література:
1. Пособие для следователя. Расследование преступлений повышенной общественной опасности. Под ред. Н.А. Селиванова.- М.: “Лига Разум”. - 1999. - С. 420
2. Н.Курило Віртуальний злочинець? Розкритий і знешкоджений! // Крок. - 2001 - № 19.
3. Комп’ютерна злочинність. Навчальний посібник. – Київ: Атіка, - C 89.
4. Постанова КМ України від 14 грудня 2001 р. N 1694 Про затвердження Програми реалізації положень Варшавської конференції щодо спільної боротьби проти тероризму