Влияние безопасности интернет-банкинга на конкурентоспособность банка

Основные формы электронной коммерции формата B2C, которые используют российские банки, - системы электронного банкинга (интернет-банкинг) и электронные площадки продаж банковских продуктов.

Рынок электронных платежей в настоящее время демонстрирует завидные темпы роста. По оценкам, за 2012 г. объем рынка вырос на 24% и составил 1,811 трлн. руб., из них 896 млрд. - платежи без использования платежных терминалов. Бурный рост и значительная маржинальность данного рынка продолжают привлекать банковские организации к активному участию. При этом, осваивая инструменты новой экономики, банки сохраняют суть своей деятельности, но меняют многие принципы ее осуществления: от организации операционной деятельности до технологий взаимодействия с клиентом, все более приближаясь к форматам субъектов электронной коммерции.

К началу 2013 г. все крупные банки РФ предоставляют своим клиентам на разном уровне доступ к услугам интернет-банкинга. При этом если раньше большинство интернет-банков предоставляли в основном бесплатные информационные услуги и сервисы перевода средств между счетами внутри банка, то сейчас большинство из них развиваются в сторону универсальных сервисов, функционирующих в пространстве электронной коммерции, с возможностью внешних платежей и любых доступных розничных операций с карточного счета, которые могут приносить банкам самостоятельную комиссионную прибыль, и по функциональности обеспечивающих все потребности клиента в расчетах и платежах. Площадки интернет-банкинга для коммерческих банков превращаются из экспериментального имиджевого продукта в самостоятельный коммерческий продукт, который все в большей степени определяет привлекательность банка для розничного клиента и подчас становится одной из точек "входа" клиента, т.е. тех структурных узлов, которые непосредственно привлекают клиента к обслуживанию в данном банке. При этом наибольшее внимание на доступный и удобный интернет-банкинг обращают именно клиенты, которых можно отнести к премиальному сегменту: потенциальные клиенты с достаточным уровнем дохода - как правило, успешные жители крупных городов.

Крупнейшие системы интернет-банкинга банков РФ в 2012 г.

Как самостоятельный вид продукта на рынке электронных платежей интернет-банки испытывают конкуренцию с исторически более распространенными независимыми системами электронных платежей и электронных денег. Однако, несмотря на то что в последнее время сектор электронных денег рос быстрее, чем сектор интернет-банкинга, по мнению ряда экспертов, последний имеет значительно больший потенциал роста, чем иные системы электронных платежей. На это указывают ряд обстоятельств, в частности:
1) по уровню использования интернет-банкинга Россия сильно отстает не только от развитых стран, но и от многих восточноевропейских стран;
2) в России наблюдается неуклонный рост количества розничных клиентов банков, растет проникновение розничного банковского продукта и, в частности, банковских карт. Результаты всероссийского опроса Национального агентства финансовых исследований показывают, что в течение 2012 г. доля банковских клиентов увеличилась до 77% населения РФ;
3) происходит институционализация рынка электронных платежей и электронных денег. Вступивший в силу 1 октября 2012 г. Закон "О национальной платежной системе" <6>, нацеленный на институционализацию рынка электронных платежей, определил, что все эмитенты электронных денег должны быть либо банками, либо небанковскими кредитными организациями. Эти положения дают преимущества существующим банковским структурам на данном рынке. Многие независимые операторы рынка электронных платежей отмечают усилившееся давление со стороны банков, начинающих активно предлагать собственные продукты и заинтересованных в приобретении действующих операторов;
4) привлекательность механизма интернет-банкинга для самого банка имеет множество аспектов. Кроме явных и прямых доходов от качественного интернет-банка - а это и комиссия за годовое подключение, комиссии с внешних платежей и конвертаций, экономия на фронт-офисе и офлайновых представительствах, - коммерческий банк получает и косвенную выгоду: рост оборота по карточным счетам клиентов, использующих возможность электронных платежей, привлечение клиентов к накоплению на данных счетах и появлению на них остатков, которые могут привлекаться банком в обычной банковской деятельности, использование интернет-банка как торговой и рекламной площадки для иных продуктов банка (системы биржевой торговли, страхование и т.д.). Также при практически неизбежном для современного розничного банка открытии интернет-банкинга банк приобретает новые управленческие и организационные навыки в условиях современных, динамичных экономических отношений;
5) заинтересованность клиентов в одном из основных преимуществ интернет-банкинга - в обороте реальных средств в безналичной форме, облегченная конвертация их в наличную форму без значительных конверсионных дополнительных комиссий;
6) более низкие издержки функционирования интернет-банка, чем у независимой ЭПС;
7) наличие у большинства существующих интернет-банков возможности для расширения базы получателей платежей. Заинтересованность субъектов электронной коммерции в приеме платежей в национальной валюте, без сложных конвертаций электронных денег, в условиях динамичного роста сферы электронной коммерции дает интернет-банкам новых крупных получателей электронных платежей. По оценкам экспертов Pricewaterhouse Coopers, за пять лет (с 2008 по 2012 г.) объем электронной торговли в России вырос с 3,5 млрд. до 10,4 млрд. долл. США, при этом растет и доля электронных безналичных расчетов в сфере электронной торговли.

Интернет-банки с более развитым и гибким функционалом показывают более стабильный рост операций. При возможности малозатратного перевода средств с банковского счета в электронные деньги и увеличении числа субъектов электронной коммерции, принимающих оплату на банковский счет, банки смогут покрывать все операции, осуществляемые независимыми электронными платежными системами. Эти факторы определяют увеличение предложения в области интернет-банкинга, высокую скорость запуска новых банковских проектов в данной сфере.

Использование банком интернет-банкинга приводит к изменению профиля рисков банка, значительно расширяя "периметр безопасности" банка и включая новые факторы риска, характерные в большей степени для деятельности субъектов электронной коммерции, чем для традиционной банковской деятельности. Внедрение такого инновационного продукта, как интернет-банкинг, может спровоцировать ситуацию, когда банк не справится с управлением рисками, свойственными продуктам интернет-экономики, не успеет осознать себя субъектом новой экономической среды, в полной мере отследить новые виды отношений с клиентами.

Функционирование в сети Интернет сопряжено со значительными нефинансовыми рисками - техническими и информационными в операционной деятельности банка, репутационными, правовыми. При этом в операционной деятельности усиливаются угрозы, имеющие одновременно и технический, и человеческий характер.

К чисто техническим рискам можно отнести неработоспособность технологических комплексов современного банка в силу внутренних технических причин, что в рамках обычного для банка серьезнейшего отношения к собственной автоматизации раньше происходило крайне редко.

Однако при разработке и функционировании современных интернет-банков в условиях открытой сети происходит изменение ситуации с данным видом рисков. Так, при разработке систем интернет-банкинга желание многих банков в сжатые сроки запустить данную услугу приводит к значительному росту ошибок этапа разработки. Зачастую некрупные банки для разработки интернет-банкинга прибегают к услугам временных групп или разработчиков решений в области электронной коммерции, не являющихся проверенными и надежными партнерами. До сих пор на технических порталах можно встретить объявления о найме временных разработчиков для разработки интернет-банка. В данном случае наиболее безопасными альтернативами разработке собственного интернет-банкинга являются покупка пакетных интернет-банков от проверенных разработчиков или участие в общих системах интернет-банкинга (Handybank, Faktura.ru), провайдерами которых являются десятки в основном некрупных и региональных банков. В последнем случае у банка снижается влияние на используемые технологии, происходит передача одного из клиентских бизнес-процессов банка третьему лицу, соответственно, возрастают некоторые виды правового и информационного риска. Однако данный метод предоставляет банку ряд дополнительных выгод:
- некрупный банк, не имеющий широкой клиентской базы и не нацеленный на ее быстрое приобретение, экономит средства на введение интернет-банкинга и снижает инвестиционные риски введения интернет-банкинга как самостоятельного проекта в деятельности банка;
- в управлении банком со сложившимся профилем деятельности не приходится создавать новые чужеродные компетенции по управлению современным технологическим продуктом;
- банк гарантированно избавляется от повторения общих технических недочетов и ошибок: неполная протестированность функционала продукта, несоответствие расчетной нагрузки системы растущему количеству клиентов и ордеров в системе;
- банку предоставляется продукт заведомо и постоянно актуальный - подрядчик со своей стороны обеспечивает соответствие интернет-банка вновь появляющимся требованиям регулятора, современным запросам клиентов в новых сервисах, совершенствующимся отраслевым стандартам;
- технологическая безопасность внешних процессов интернет-банкинга возлагается на максимально компетентного в этой области исполнителя;
- у банка появляется опытный технологический партнер, помимо прочего, разделяющий с банком ответственность за технологические риски интернет-банкинга и даже способный провести определенный внешний аудит технических интерфейсов банка и их производительности;
- на рынке мультибанковских систем существует конкуренция, поэтому цены вхождения в мультибанковские структуры не сопряжены со значительным инвестиционным риском.

В условиях конкуренции систем электронных платежей и институционализации рынка многие банковские структуры вступают в партнерство с существующими системами электронных платежей и электронных денег, однако при кажущейся заинтересованности обеих сторон есть определенные препятствия для таких слияний, например, в виде разницы в отношении к клиентской базе у банков и традиционных эмитентов электронных денег. В декабре 2012 г. стало известно о договоренности о покупке Сбербанком 75-процентной доли крупнейшего российского эмитента электронных денег, оператора рынка электронных денег "Яндекс. Деньги". Планы осуществления этой первой крупной сделки такого рода показывают, что "Яндекс.Деньги" не начнут существовать в пространстве бренда Сбербанка, они будут самостоятельным бизнес-подразделением, брендом и электронной площадкой и не будут пока активно конвергироваться с собственным интернет-банкингом и бизнес-процессами Сбербанка, оставаясь конкурентным платежным механизмом и диверсифицируя продукты Сбербанка в области электронных платежей. Данное приобретение стоит рассматривать скорее не как слияние-поглощение, а как покупку части бизнеса, партнерство, способ маркетингового расширения банком клиентской базы. Таким образом, участие банков в кооперации с существующими системами электронных платежей намечается прежде всего в безопасных для самого банка формах, с сохранением рисков новой для банка структуры внутри нее, не сопряжено со значительным снижением собственных рисков банка в области электронных платежей за счет партнерства.

В профиле технологических рисков появляются новые факторы и субъекты, находящиеся вне банковского контроля, например, интернет-провайдер. Если в части обеспечения стабильного интернет-канала провайдер обязан исполнять договорные требования, то при возникновении форс-мажорных ситуаций (например, критический уровень загруженности самого канала "мусорными" обращениями в рамках DDOS-атак на сайты банка) действия провайдера, как правило, не регламентированы и не подлежат контролю со стороны банка. Известны случаи, когда банки, имеющие разные информационные ресурсы в рамках одного канала, испытывая критичную нагрузку на один из своих сетевых ресурсов, не могли предоставить клиентам доступ к интернет-банку.
Негативные события, происходящие при использовании интернет-банкинга, случаются в интернет-пространстве с представителями соответствующей аудитории, соответственно, легкость и оперативность распространения информации в данной среде может повлечь иные репутационные издержки для банка, чем аналогичный случай, происходящий с клиентом в среде офлайновой, в которой ущерб может быть нивелирован без оперативной и широкой огласки. В данном случае для управления репутационным риском и погашения репутационных издержек банк должен быть готов к более быстрой реакции и к использованию иных налаженных каналов и связей в области публичной информации, чем в своей традиционной деятельности.

При этом репутационный ущерб наносят уже не только события, вызывающие непосредственный функциональный отказ при проведении операций или компрометацию персональных данных, но и сравнительные интерфейсные неудобства конкретного интернет-банка, такие как сложная навигация, несовременное дизайнерское решение сайта интернет-банка, излишне требовательное обеспечение безопасности проводимых операций. Для предотвращения финансовых или репутационных издержек, возникающих в спорных случаях (например, хакерская атака на компьютер пользователя), банку необходимо тщательно продумать разграничение ответственности между банком и пользователем в форс-мажорных обстоятельствах и зафиксировать его в договоре банковского обслуживания.

Выработка подробных унифицированных стандартов безопасности, обеспечивающих стабильный уровень безопасности банковской деятельности в области интернет-банкинга, затруднена недостатком открытой информации о реализации новейших угроз, динамичным развитием данной области, многофакторностью угроз в ней. В силу этого в данный момент руководство банков в области управления рисками интернет-банкинга может опираться на небольшое число нормативных актов и стандартов, не предлагающих подробные модели и процедуры обращения со специфичными факторами рисков. Среди этих актов 14 принципов управления рисками в сфере банковских услуг Базельского комитета, письма Банка России о рисках при дистанционном банковском обслуживании. Также необходимо учитывать рекомендации из области платежных систем и электронной коммерции (например, Visa E-commerce Merchant's Guide to Risk Management) и ориентироваться на международные стандарты безопасности в области электронных платежей, разработки программного продукта и электронной коммерции (ISO/IEC 27001:2005, ISO 9001:2008, PCI DSS).

С учетом масштабов и угроз деятельности современных интернет-банков банкам необходимо выделять подсистемы управления рисками, отслеживающие риски именно интернет-банкинга, рассматриваемого как выделенный бизнес-процесс, которые были бы не просто глубоко компетентны в данном вопросе, но и удовлетворяли следующим специфическим требованиям:
- способность к интенсивному обучению и адаптации, внедрению новейших зарубежных отраслевых рекомендаций;
- обращение с абстрактными, непроявившимися и малознакомыми типами рисков;
- максимально динамичная и проработанная реакция на негативные события;
- способность оперативно самостоятельно взаимодействовать не только с ключевыми элементами банковской структуры, но и с внешними технологическими и информационными партнерами банка.

Руководство банка должно осуществлять непрестанный мониторинг данных структур управления рисками, ревизию и актуализацию программы управления рисками интернет-банкинга с точки зрения последних международных рекомендаций и новейшего отраслевого опыта.