Posibniki.com.ua Банківська справа Безпека банківської діяльності 7.2. Управління інформаційними ризиками в діяльності банків


< Попередня  Змiст  Наступна >

7.2. Управління інформаційними ризиками в діяльності банків


Пошук заходів з попередження шкоди, заподіяної від реалізації інформаційних загроз, може бути забезпечено через систему управління інформаційними ризиками.

Зазначена система управління має забезпечувати не тільки надійний захист інформаційних ресурсів, а й сприяти ідентифікації інформаційних ризиків, виявленню факторів та умов їх появи й забезпечувати їх мінімізацію у процесі діяльності суб’єкта гос подарювання.

Процес управління інформаційними ризиками передбачає проведення процедур аналізу, оцінювання, контролю і мінімізації ризиків.

Аналіз ризиків передбачає їх визначення та оцінювання. Під час визначення ризиків установлюють, які саме інформаційні ризики можуть існувати чи існують в діяльності суб’єкта господарювання (у нашому випадку банку) або в процесі проведення ним конкретної комерційної (банківської) операції, як вон и можуть вплинути на діяльність чи операцію та яка існує ймовірність настання негативних наслідків від дії ризику.

Оцінювання інформаційного ризику передбачає визначення обсягу шкоди, яку може зазнати суб’єкт унаслідок вияву зазначеного ризику.

Контроль інформаційних ризиків передбачає проведення заходів щодо з’ясування умов, за яких такі ризики можуть бути мінімальними, суттєвими або значними.

Мінімізація інформаційних ризиків передбачає вжиття заходів, спрямованих на зниження ймовірності негативного впливу ризиків, їх уникнення або з меншення їх розміру. Одним з напрямів мінімізації інформаційних ризиків, коли неможливо їх уникнути, може бути розподіл їх вартості в часі, аби зменшити одночасний тиск ризику в певні моменти діяльності суб’єкта чи здійснення ним певної операції.

Найпоширенішим варіантом мінімізації інформаційних ризиків є передання їх іншому суб’єкту, передусім за рахунок страх ування ризиків.

Ураховуючи значну роль інформації в діяльності банків, система управління їх інформаційними ризиками має включати певні підсистеми:

• підсистему захисту інформації;

• підсистему збирання інформації та інформаційних досліджень;

• підсистему протидії інформаційному впливу;

• управляючу підсистему.

Основними завданнями підсистеми захисту інформації банку мають бути: виявлення інформації, що підлягає захисту, визначення місць зосередження та носіїв інформації, яка підлягає захисту, визначення можливих способів несанкціонованого доступу до такої інформації, розроблення й упровадження організаційних, правових, технічних, програмних, криптографічних та апаратних заходів захисту інформації.

З огляду на те, що в банках зо середжені доволі значні обсяги інформації з обмеженим доступом (банківська, комерційна таємниці, конфіденційна інформація), та те, що банки є єдиними (крім державних режимних установ) серед суб’єктів підприємницької діяльності, на кого в законодавчому порядку покладено захист чужих таємниць (клієнтів банків), питання аналізу, контролю та мінімізації втрати інформації для банків є доволі важливими. Звідс и головним в аналізі ризиків втрати інформації є виявлення способів несанкціонованого доступу до інформації банку та її найбільш уразливих носіїв.

Під час проведення такого аналізу слід виходити з того, що інформація банку зосереджена переважно в двох групах її носіїв: комп’ютерній інформаційній мережі та у працівників банку. Тобто несанкціонований доступ до інформації може бути здійснено, з одного боку, через технічні й програмні засоби, а з другого — за допомогою засобів інтелектуального та психологічного характ еру. Оскільки поведінка людей, зокрема працівників банку, є доволі непередбачуваною, а телекомунікаційні системи банку в умовах значного розвитку штучного інтелекту є уразливими, можна говорити, що ризики втратити банками їх інформацію зосереджені головним чином на таких її носіях, як персонал і телекомунікаційні системи.

Оцінювання ризиків втрати інформації в банку передбачає визначення вартості інформаційних рес урсів, щодо яких існує ризик втрати, та самого ризику як імовірності реалізації певної загрози, у цьому разі пов’язаної з втратою інформації. Вартість інформації оцінюється через її комерційну цінність, яка, у свою чергу, визначається через розміри збитків (шкоди), які можуть настати у зв’язку з її втратою, обсягом (перспект ивами) вигоди, яку може отримати банк, використовуючи наявну в нього інформацію, а також витрати, пов’язані з виробленням, отриманням і захистом такої інформації. Щодо банківської таємниці, то її цінність може бути визначена через обсяги залучених коштів від клієнтів банку, інформацію про комерційну та фінансову діяльність яких він зберігає.

На оцінювання власн е ризику як імовірності реалізації певної загрози щодо відповідної інформації банку впливає кілька показників. Головними серед них є привабливість інформації для суб’єктів загроз, її цінність, актуальність, доступність, рівень захисту. Через ці показники визначається рівень критичності інформації. Скажімо, для інформації про фінансову діяльність клієнтів банку рівень критичності може бути доволі високий, незважаючи на вжиття банком заходів її захисту. Це насампе ред пов’язане з тим, що доступ до такої інформації має значна кількість осіб (операціоністи, бухгалтерські працівники, працівники кредитного та інших підрозділів банку, працівники його телекомунікаційних систем, служби безпеки), а в проведенні платежів задіяно дуже багато технічних засобів та інформаційних мереж, за допомогою яких така інформац ія передається. Ризик доступу до зазначеної інформації буде тим вищим, чим активніше

здійснює свої фінансові операції клієнт (проведення платежів, отримання кредитів, операції з цінними паперами, валютою, пластиковими платіжними засобами). Крім того, береться до уваги ділова активність клієнта, його роль і місце на ринку, конкурентна поведінка. У цьому разі інформація про клієнта банку буде доволі привабливою для його конкурентів і вони намагатимуться її отримати.

Якщо клієнт обслу говується лише в одному банку, то ризик посягань на його інформацію підвищується порівняно з тим, коли свої фінансові операції він диверсифікує в різних банківських установах. Виходячи з цього ймовірність реалізації загроз, як і, власне, ризик втрати інформації, може бути високою (коли всі зазначені вище показники набувають суттєвої актуальності), середньою (за ум ов високої актуальності хоча б одного показника) і звичайною (для клієнтів банку, які не відрізняються високою активністю на ринку).

Контроль ризиків втрати інформації в банку забезпечується проведенням періодичних перевірок та аналізом стійкості інформаційної його системи до внутрішніх і зовнішніх загроз, своєчасного виявлення уразливих місць в її захисті. Крім того, на основі постій ного моніторингу інформаційного середовища діяльності банку виявляють ознаки небезпек і загроз банківській інформації. Особливу увагу приділяють виявленню суб’єктів (як фізичних, так і юридичних осіб), взаємовідносини банку з якими можуть створювати для нього певні ризики втрати інформації, а також суб’єктів, діяльність яких може бути спрямована на несанкціоноване оволодіння банк івською інформацією.

Тут слід звернути увагу і на ризики, що випливають з поведінки персоналу як одного з небезпечних джерел витоку банківської інформації. У цьому разі персонал банку можна розглядати як активний елемент інформаційної системи банку, здатний бути не тільки творцем і джерелом інформації, а й суб’єктом протиправних дій щодо інформ аційних об’єктів. Працівники банку можуть як володіти інформацією, так і поширювати її в межах своїх функціональних обов’язків. Крім того, вони здатні її аналізувати, узагальнювати, робити відповідні висновки, а за певних умов — розголошувати, продавати, незаконно використовувати або незаконно передавати третім особам. На можливість посягань на інформацію банку з боку його праців ників вказують результати досліджень іноземних фахівців щодо структури

виробничих колективів (рис. 7.3). Тобто зі 100% працівників банку 75% можуть здійснити посягання на банківську інформацію.

Рис. 7.3. Структура виробничих колективів за критерієм готовності до посягань на інформацію суб’єкта господарювання

Рис. 7.3. Структура виробничих колективів за критерієм готовності до посягань на інформацію суб’єкта господарювання

Питання мінімізації ризику втрати інформації є доволі серйозним для банків, однак чи всі ризики необхідно мінімізувати, і якщо так, то до якого ступеня? З досвіду відомо: хоч як банки чи інші суб’єкти намагалися виключити ризик втрати інформації, зробити це майже неможливо. Крім того, керівництво банків повинно бути орієнтоване на певний ризик втрати інформації, щоб виникнення яко їсь непередбаченої ситуації не стало проблемою, яку неможливо вирішити. У цьому разі банки завжди передбачатимуть дії на випадок втрати інформації, розраховувати свої можливості щодо ліквідації наслідків і бути готовими до неадекватного розвитку ситуації в інформаційних взаємовідносинах зі своїми клієнтами, акціонерами, партнерами та іншими суб’єктами.

Водночас дл я зниження (мінімізації) ризику втрати інформації банки мають вживати відповідних заходів, диференціюючи їх відповідно до певних загроз. Серед таких заходів насамперед мають бути: формування правових умов захисту інформації безпосередньо у банку. Під такими умовами слід розуміти розроблення нормативно-правових документів банку стосовно захисту всіх видів інформації (документованої, електронної, а також інформації, яка існує у вигляді знань працівників банку). Зазначеними документами мають регулюватися взаємовідносини банку з його працівниками, клієнтами, партнерами, іншими

створення системи захисту інформації, яка функціонує в банківській інформаційній мережі. Зазначена система має передбачати комплекс організаційних, технічних, апаратних, криптографічних заходів і забезпечувати гарантований захист від посягань на електронну інформацію банку; забезпечення контролю за носіями інформації, насамперед працівниками банку, стосовно дотримання ними встановленого режиму захисту інформації, своєчасне реагування на всі збої в захисті інформації, що зберігається та функціонує в інформаційних мережах банку; запровадження надійної системи документообігу в банку (службового та спеціального діловодства), яка виключала б можливість несанкціонованого доступу до банківських документів, їх втрати, знищення чи модифікації; забезпечення надійної охорони банків, особливо з погляду виключення можливості несанкціонованого доступу до них та їх винесення документів чи електронних носіїв інформації.

Отже, управління інформаційними ризиками з позиції мінімізації загроз утрати інформації в банку є доволі трудомістким і багатогранним процесом, який охоплює різні види організаційної, правової, інженерно-технічної, кадрової та безпосередньо інформаційної роботи.

Управління ризиками, що виникають у процесі формування банками інф ормаційного ресурсу, мають особливий характер. Річ у тім, що тут існує певна проблема, пов’язана з необхідністю суттєвого інформаційного забезпечення діяльності банків і відсутністю для цього відповідного правового регулювання. Нині в Україні немає законодавства, яке регулювало б права, умови та порядок доступу банків до джерел інформації, необхідної їм дл я забезпечення банківської діяльності. Відсутність такого законодавства створює безліч ризиків, що виникають у процесі інформаційного забезпечення насамперед банківських операцій. Аналіз ризиків, які можуть виникати під час формування інформаційного ресурсу банку за умов відсутності необхідного правового регулювання, показує, що найпоширенішими з них можуть бути ризик ві дсутності необхідної банку інформації, ризик отримання та використання неповної, необ’єктивної інформації, ризик дезінформації. Особливу небезпеку створюють ризики, які

виникають під час інформаційно-аналітичного дослідження клієнтів банків.

Ризик відсутності інформації може виникати, коли банку в короткі терміни потрібна буде конкретна інформація, або коли об’єкти й джерела певної інформації невідомі. Особливо такі ситуації можуть бути характерними у кредитній діяльності банків, під час проведення операцій із пластиковими платіжними засобами, а також у процесі пр ийняття управлінських рішень, особливо у процесі фінансового моніторингу сумнівних операцій та ідентифікації осіб, стосовно яких є підозра в легалізації (відмиванні) коштів, отриманих незаконним способом. Відсутність необхідної банку інформації призводить до прийняття необ’єктивних рішень і, як наслідок, до неефективних дій банку на ринку банківських послуг.

Ризик отримання та в икористання неповної та необ’єктивної інформації існує завжди, і саме такою ситуацією, як правило, характеризується діяльність банків. Ситуація невизначеності у прийнятті рішень є характерною для бізнес-діяльності, але тут важливим є те, щоб ризик використання такої інформації не призводив до неефективної діяльності та збитків. Тобто якщо ризик відсутності інформації є менш імовірн им для банків, то ризик отримання та використання неповної чи необ’єктивної інформації практично завжди має місце в діяльності банків. Водночас і перший, і другий ризики мають бути враховані при здійсненні конкретних дій чи проведенні банком конкретної операції.

Ризик дезінформації банку стосовно умов, суб’єктів, мети взаємовідносин з банком може ви никати через загострені взаємовідносини з конкурентами чи недобросовісну поведінку клієнтів. Річ у тім, що в перших двох випадках ризики (ризик відсутності інформації та ризик використання неповної чи необ’єктивної інформації) мають об’єктивний характер через те, що певні суб’єкти намагаються захистити свою інформацію, а банк, навпаки, — отримати її, водночас ризик дез інформації банку створюється певними суб’єктами штучно, з метою введення банку в оману. За таких умов ризик дезінформації зазвичай завжди матиме суттєві негативні наслідки для банку. Тому банки, забезпечуючи свою діяльність в інформаційному сенсі й формуючи свої інформаційні ресурси, повинні звертати особливу увагу на наявність ризику дезінформації.

Слід пам’ятати, що обс яги дезінформації різко зростають у так звані критичні періоди, які характеризуються:

? зростанням напруженості у відносинах із суб’єктами конфлікту; ? відсутністю об’єктивної інформації та невизначеністю ситуації в інформаційному середовищі банку; ? необхідністю інформації для прийняття швидких та адекватних рішень сторонами конфлікту.

За таких умовах виникає особлива небезпека дезінформуючого впливу на банк, оскільки дезінформація може будуватися на мінімальних обсягах об’єктивної інформації (рис.

7.4).

Рис. 7.4. Схема побудови дезінформаційних повідомлень в умовах загострення конфлікту

Рис. 7.4. Схема побудови дезінформаційних повідомлень в умовах загострення конфлікту

Особлива небезпека за таких умов полягає у тому, що дезінформаційний вплив здійснюється за допомогою незадіяних до цього джерел, які маскуються як внутрішні, тобто банківські, що сприяє підвищенню рівня довіри до такої інформації. Більше того, за умов загострення конфлікту дезінформація може подаватися з кількох джерел, до того ж упродовж певного періоду, тобто що до банку починає проводитися серйозна інформаційна кампанія.

Оцінювання ризиків, пов’язаних з формуванням інформаційного ресурсу, може визначатися через ціну (вартість) певної банківської операції, щодо якої здійснюється інформаційне забезпечення, або обсяги прибутку, які може отримати банк у разі прийняття рішення на основі об’єктивної інформації. Тобто ціна ризику визначається обсягом зроблених банком вкл адень та очікуваного прибутку. Водночас обсяги операцій чи прибутків не можуть повною мірою давати оцінку ризикам, пов’язаним з формування інформаційного ресурсу.

Такими обсягами може вимірюватися ризик відсутності інформації, тоді як на оцінювання інших ризиків суттєво впливатиме якість інформації, якою забезпечується певна операція чи рішення.

Показниками якості інформації є її достовірність, повнота та актуальність. Достовірною вважається інформація, отримана з двох і більше незалежних джерел або одного надійного джерела, а також та, об’єктивність якої підтве рджена додатковою перевіркою. Повною буде інформація, з якої можна скласти характеристику об’єкта, достатню для формування об’єктивного уявлення про нього. Актуальною вважається інформація, в якій на цей час має потребу банк. За таких умов інформація, яка є достовірною, повною та актуальною, вважатиметься якісною зі ступенем ризику її використання, який мож на прийняти. Інформація, щодо якої є сумніви стосовно її достовірності, з якої неможливо скласти необхідні характеристики про об’єкт зацікавленості та яка неповністю відповідає нагальним потребам банку, буде вважатись низької якості (неякісною). Усі інші характеристики якості інформації, які перебувають у межах від неякісної до якісної вважатимуться такими, що формують певний ризик використання інформації. Тобто під час використання якісної інформації ризики можуть бу ти мінімальними й вони можуть бути прийняті банком. За неякісної інформації ризики можуть бути доволі суттєвими, і за таких умов доцільно відмовитися від певних дій чи вжити додаткових заходів з підвищення якості інформації. В усіх інших випадках слід вживати заходів щод о мінімізації як інформаційних ризиків, так і ризиків, пов’язаних з тими чи тими діями банку.

Використання якісної інформації може формувати рівень ризику з коефіцієнтом від 0 до 0,2, неякісної — від 0,5 до 1,0. Усі інші коефіцієнти приймаються для інформації, яка за своєю якістю вища, ніж така, що може вважатися неякісною. За таких умов, оцін ювання ризику формування інформаційного ресурсу для інформаційного забезпечення певної банківської операції чи рішення визначатиметься як добуток від обсягу операції (угоди, рішення) та відповідного коефіцієнта якості інформації.

Контроль ризиків, пов’язаних з формуванням інформаційного ресурсу, передбачає проведення аналітичної роботи з усіма видами інформації, яку отримує банк і планує використати для забезпечення його ді яльності. Під час аналітичної роботи інформація узагальнюється, порівнюється, переперевіряється, відомості щодо яких є сумнів у їх достовірності, вилучаються з

інформаційного ресурсу. Уся інформація підлягає обробці, у результаті якої отримуються інформаційні дані, використання яких матиме мінімальний ризик для банку.

Крім того, з метою контролю ризиків, що можуть виникати під час формування інформаційного ресурсу, банки намагаються встановити постійні та надійні зв’язки з джерелами інформації, підтримувати стабільні взаємовідносини з ними. Водночас банки дбают ь про розширення мережі джерел інформації, аби забезпечити її отримання з якомога більшої кількості джерел і здійснювати контроль не лише за надходженням інформації, а й за поведінкою самих джерел.

Мінімізація ризиків, що виникають під час формування інформаційного ресурсу банку, інформаційного забезпечення його операцій та управлінських рішень, здійснюється через проведення відповідних заходів, переду сім інформаційного спрямування. Насамперед звертається увага на організацію інформаційно-аналітичної роботи в банку, яка повинна виконуватись як один з необхідних видів інформаційного забезпечення банківської діяльності. Ця робота має передбачати збирання та обробку інформації з різних джерел різними підрозділами банку. На жаль, у більшості банків цьому питанню не приділяють належної уваги, у кращому разі завдання інформаці йно-аналітичної роботи покладають на службу безпеки й цим обмежуються. Тому інформація зазвичай є неповною та односторонньо висвітлює події, явище, об’єкти. Коли ж у банку організовується інформаційно-аналітична робота як один з елементів його інформаційного забезпечення, то формування інформаційних ресурсів здійснюється системно на трьох інформаційних рівнях: інформація від маркет ингової діяльності, інформація від проведення інформаційного моніторингу і досліджень клієнтів та інформація, отримана від заходів комерційної розвідки. Крім того, така робота передбачає періодичне проведення в підрозділах банку інформаційного аудиту, під час якого виявляється необхідна для забезпечення конкретної діяльності банку та його операцій юридична, комерційна, фінансова, технологічна та інша інформація.

Уся інформація, отр имана від маркетингової діяльності, інформаційного моніторингу та аудиту, а також комерційної розвідки, узагальнюється, аналізується, за необхідності перевіряється й формується у відповідні бази даних. Тобто основними засадами мінімізації ризиків під час формування інформаційних ресурсів банку є створення власної інформаційної бази даних. Якраз зазначена база

має стати головним джерелом інформації для інформаційного забезпечення банківських операцій та управлінських рішень. Водночас така база має постійно поновлюватись і доповнюватись, щоб не допустити її старіння й формування певного ризику її використання.

Стосовно ж інформаційного забезпечення кожної конкретної банківської операції, особливо тих, які пов’язані з вкладанням коштів банку, банківськими гарантіями та зо бов’язаннями банків, останні зазвичай здійснюють інформаційно-аналітичні дослідження клієнтів незалежно від того, чи є відповідна інформація про цих клієнтів у базах даних банків, чи її немає (рис. 7.5). Інформаційно-аналітичне дослідження проводиться щодо правового статусу, фінансових можливостей, історії взаємовідносин з банками, судами, правоохоронними та податковими органами, комерційної діяльності відповідних клієнтів. По внота інформації про клієнта формує певний ризик взаємовідносин з ним. Зокрема, з практики діяльності банків відомо, що під час проведення кредитних операцій деякі банки України та Росії визначають так званий ризик помилки вибору позичальника, в основу якого покладено повноту інформації, що характеризує кожного конкретного позичальника. Так, низький ризик визначається за умов, коли наявніст ь інформації про позичальника становить не менш як 90%, необхідної банку. До позичальників з низьким ризиком відносять тих суб’єктів, щодо яких отримана інформація дає змогу зробити висновки про відсутність в їхній діяльності кримінальних зв’язків, стабільну комерційну діяльність, позитивну кредитну історію, багатопрофільну діяльність, наявність філій, хороший фінансовий стан.

Рис. 7.5. Складові інформаційного забезпечення банківських операцій

Рис. 7.5. Складові інформаційного забезпечення банківських операцій

Малий ризик визначається, коли банк отримав не менш як 80% необхідної йому інформації про позичальника й коли така інформація дає змогу характеризувати його як суб’єкта, у

діяльності якого немає кримінальних зв’язків, підтримується стабільна комерційна діяльність на основі перспективного бізнесу, що здійснюється за участі багатьох партнерів. Крім того, отримана інформація дає можливість дійти висновку про хороший фінансовий стан та позитивну кредитну історію позичальника.

Середній ризик визначають для позичальників, про яких банк отримав не менш як 70% необхідної йому інформації. У цьому разі інформац ійні характеристики можуть вказувати на діяльність позичальника в ризиковій сфері бізнесу, факти несвоєчасного повернення кредитів і сплати податків або відсутність досвіду роботи з кредитними коштами, велику кількість рахунків у різних банках, частина з яких (рахунків) є непрацюючими.

Високий ризик визначають для позичальників, про яких банк отримав не менше 60% необхідної йому інформації, що свідчить про факти непове рнення кредитів у діяльності позичальника, судові розгляди справ за позовами до позичальника, наявність кредиторських боргів, часту реорганізацію структури позичальника, велику плинність кадрів, нестійкий фінансовий стан, факти недобросовісної конкуренції, до яких вдається позичальник.

Дуже високий ризик визначається за умов, коли банк отримує менш як 60 % необхідної йому інформації про позичальника. До того ж ця інформація характеризує останнього як такого, у якого немає ознак реальної господарської діяльності, є непорозуміння з правоохоронними органами та факти недбалого ставлення до виконання своїх зобов’язань, а також з отриманої інформації неможливо скласти об’єктивний висновок про фінансовий стан позичальника та мож ливості й перспективи його підприємницької діяльності.

За такого підходу в сукупності з іншими видами ризику, які розраховуються у банку, можна буде зробити об’єктивний висновок щодо надійності позичальника в його взаємовідносинах з банком.

На жаль, в умовах відсутності правового регулювання збирання необхідної банкам інформації чимало з них ведуть таку роботу не над то успішно й з ризиком, який не завжди дає змогу ефективно використовувати отриману інформацію. За таких умов банки не повсякчас активно вдаються до такої роботи, а тому нерідко зазнають втрати від неправильно застосованої або недостатньої інформації під час прийняття тих чи тих рішень або

проведення банківських операцій. Особливо від цього потерпають кредитні операції банків, які найбільше потребують об’єктивної інформації.

У нинішніх умовах, коли інформаційні технології набули значного поширення в усіх сферах діяльності, великого значення набувають аналіз, оцінювання, контроль і мінімізація ризиків інформаційного впливу. Інформаційний вплив — це використання спеціальних інформаційних технологій з метою формування або зміни пове дінки окремих осіб чи груп осіб (колективів, соціальних груп) стосовно певних подій, об’єктів, діяльності. Формування або зміна поведінки залежно від того, на кого спрямована дія інформаційних технологій, може здійснюватися через застосування технологій маніпулювання індивідуальною або масовою свідомістю. Технології маніпулювання свідомістю здатні викликати в людей певне ставлення до суб’єкта чи організації (недо віру, розчарування, огиду та ін.), а також сформувати певну поведінку (страйки, демонстрації, саботаж, акти масової непокори, безлад). За таких умов основними видами ризику інформаційного впливу для банку можуть бути: ризик втрати іміджу банку на ринку банківських послуг; ризик конфліктних ситуацій із власним персоналом, клієнтами, акціонерами, державними орга нами; ризик блокування роботи банку через численні перевірки його діяльності.

Зауважимо, що здійснюючи свою діяльність, банки активно використовують можливості та умови інформаційного середовища, а тому можуть у будь-який час зазнати дії ризиків інформаційного впливу. Різке якісне зростання інформаційних технологій та інформаційних продуктів поступово формує нові способи застосування інформації як ви ду інтелектуальної зброї. Тому, здійснюючи аналіз ризиків інформаційного впливу, банки мають визначитися, з яким саме видом ризику вони можуть стикатися на певному етапі своєї діяльності або під час здійснення відповідної банківської операції. Слід зауважити, що ризики інформаційного впливу можуть мати постійний характер як результат певних відносин банків із різними суб’єктами, аб о формуватись як наслідок цілеспрямованої дії певних суб’єктів. В останньому разі найхарактернішими є так звані інформаційні атаки, коли з різних джерел одночасно або в невеликий проміжок часу в інформаційне середовище банку подається негативна для нього інформація. Найімовірніше, що інформаційні атаки можуть

здійснюватися за умов, коли банк перебуває в стані конфронтації або конкурентного суперництва чи протиборства з певними суб’єктами ринку або іншими особами. Якраз за таких умов ризик потрапляння банку в ситуацію активного нагнітання навколо нього негативної інформації буде доволі істотним. У цьому разі, як наслідок, виникають інші види ризиків, уже іншого характер у ? зниження або втрати іміджу, втрати клієнтів, зменшення обсягів операцій, отримання збитків. Основними формами інформаційних атак, унаслідок яких може виникати ризик зниження іміджу банку, є поширення чуток про недоліки в діяльності банку, порушення його ліквідності та платоспроможності, безпідставне акцентування уваги в засобах масової інформації та виступах на окремих негативних випадках і подіях, що відбулис ь у банку, особливо пов’язаних із втратою ним коштів, поширення недостовірної та компрометуючої інформації стосовно окремих посадових осіб банку, тенденційне висвітлення окремих фактів із діяльності банку, модифікація виступів, публікацій, викладених посадовими особами банку у процесі проведення інформаційних заходів (прес-конференцій, круглих столів, спеціальних телевізійних передач).

Основними мето дами, які використовуються в інформаційних технологіях впливу і внаслідок дії яких для банків може настати ризик втрати іміджу та інші види ризиків, є:

• інтрига — прихована послідовна система дій, яка через непряму мотивацію використовує сподівання, прагнення окремих людей, колективів чи соціальних груп на досягнення певної мети;

• ажіотаж ? нарощування інтенсивності інформаційних повідомлень, зокрема й резонансних, і створення інформаційного завантаження середовища банку відомостями сенсаційного характеру;

• мозаїка подій — штучно створені події, які «вбудовуються» в загальну тематику подій і подаються в інформаційне середовище банку;

• провокація — «вбудовані» в загальну тематику мозаїки подій, факти, неправдиві твердження, які породжують в уявлення суб’єктів інформаційного середовища доволі значні для них події та у зв’язку з цим можуть мотивувати їх до певної поведінки щодо банку;

• інсинуація — надання в інформаційне середовище певних відомостей з метою введення в оману його суб’єктів або ославлення певних подій, фактів чи осіб, пов’язаних з банком;

• інспірація — поширення інформації, здатної викликати у відповідних суб’єктів негативну реакцію щодо банку, його діяльності чи певних його посадових осіб (підбурювання);

• корекція — спеціально підібране доповнення інформаційних характеристик діяльності банку або подій, пов’язаних з ним, з метою формування чи утримання необхідного уявлення в суб’єктів інформаційного середовища про банк або зазначені події;

• інкорпорація — вбудова видуманих або дійсних подій у загальну тематику подання інформації.

Особливістю поведінки сучасної громадськості є підвищена чутливість до інформаційного впливу, насамперед сприйняття інформаційних продуктів, що мають сенсаційний характер. Така довіра до слова та образу, логічного твердження ґрунтується на поступовому впровадженні у свідомість громадян неправильної істини про непогрішимість тверджень та ідей, що проф есійно пояснюються (нав’язуються) суспільству різноманітними експертами, критиками, аналітиками, оглядачами, черговими «борцями за краще майбутнє» та іншими особами. Як наслідок — громадяни стають «затиснутими» компетентністю таких осіб і в умовах тотального інформаційного перевантаження загальною інформацією та інформаційного вакууму в необхідній їм інформації починають вірити в ті відомості, які подаються в інформаці йне середовище за допомогою відповідних технологій і методів. Тобто здійснюється відповідний вплив на свідомість, а отже, й на поведінку громадян, якими можуть бути працівники банку, його акціонери чи клієнти.

У такий же спосіб може поширюватись інформація, що створює ризик потрапляння банку в різні конфліктні ситуації. Ризик блокування роботи банку через численні пере вірки його діяльності створюється поширенням в інформаційному середовищі та безпосередньо в органах контролю і нагляду негативної інформації про діяльність банку.

Під час аналізу ризиків інформаційного впливу насамперед вивчаються умови взаємовідносин банку із зовнішнім інформаційним середовищем, окремими його суб’єктами та власним персоналом. У процесі вивчення виявляються найбільш критичні відносини, з яких може надхо дити відповідна загроза й з’являтися певні ризики інформаційного впливу. На підставі результатів вивчення зазначених умов прогнозуються ймовірність та можливі терміни появи відповідного ризику впливу.

Оцінювання ризиків впливу спрямовується на визначення сфери діяльності та взаємовідносин банку, щодо яких може поширюватися негативна для банку інформація в той чи той період його діяльності, і в такий спосіб виникати певний ризик.

Методик визначення розміру моральної чи матеріальної шкоди за результатами реалізації ризиків інформаційного впливу поки що не існує.

У процесі контролю ризикі в здійснюється моніторинг інформаційного середовища банку з погляду виявлення ознак, які можуть указувати на передумови появи або безпосередню появу ризиків інформаційного впливу.

Для мінімізації інформаційних ризиків впливу банки вдаються до таких заходів:

• періодичне поширення через різні інформаційні канали позитивної інформації про банк, оприлюднення його досягнень та активна реклама послуг;

• періодичне інформування інформаційного середовища банку, насамперед персоналу, акціонерів і клієнтів про результати роботи банку;

• формування банківського патріотизму у персоналу та акціонерів банку, пропаганда позитивного іміджу банку на ринку;

• проведення спеціальних інформаційних операцій стосовно зміни об’єктів інформаційного впливу, дезорієнтації суб’єктів, що вдаються до заходів впливу, контрпропаганди та антикопроментації.

Серед ризиків інформаційного впливу особливу небезпеку становить ризик потрапляння банку під дію інформаційного тероризму, що є нині доволі ймовірним. Ураховуючи відчутні наслідки, до яких можуть призвести дії інформаційного тероризму, банки не п овинні ігнорувати такий вид ризиків і мають виробляти відповідну політику щодо їх мінімізації. Насамперед має проводитися постійний аналіз та оцінювання таких ризиків. У процесі аналізу банки повинні визначити, наскільки уразливі до атак інформаційного тероризму їх комунікаційні системи та мережі, особливо засоби, мережі та інформації, які обслуговують платіжну систему. Має визначатися ступінь д оступності інформаційних систем і мереж для атак інформаційного тероризму. Крім того, вивчається діяльність банку з погляду її вразливості щодо інформаційних атак компрометуючими матеріалами, визначається критична межа, за якої пропаганда та реклама банку будуть неефективними під

впливом заходів інформаційного тероризму. Тобто встановлюється межа, за якою інформаційний вплив від актів тероризму призведе до руйнування іміджу банку, його взаємовідносин з клієнтами, породжуватиме конфліктні ситуації в банківських колективах та ін.

За результатами аналізу визначається ступінь уразливості діяльності банку та його інформаційних мереж і систем щодо атак інформаційного тероризму. Далі робиться при пущення про те, які саме ризики інформаційного тероризму найімовірніші для банку (ризик порушення роботи, руйнування інформаційних мереж і систем банку, вилучення електронної інформації, викрадення коштів тощо чи ризики втрати іміджу банку від атак компрометуючими матеріалами) та можливі періоди чи обставини, за яких такі ризики будуть найімовірнішими.

У процесі оцінювання ризиків інформаційного т ероризму визначається, які наслідки можуть настати для банку через інформаційні атаки терористів як з погляду економічного, так і з погляду іміджу банку. Тут можна формувати певні прогнози щодо таких наслідків (втрата клієнтів, звільнення провідних працівників з роботи в банку, втрата інформації, що має обмежений доступ, викрадення коштів з рахунків банку та його клієнтів, руй нування програмного забезпечення роботи інформаційної мережі банку та його інформаційних систем). Щодо конкретного визначення обсягу шкоди, завданої актами інформаційного тероризму, то тут поки що немає якихось підходів. Практично неможливо передбачити, а тим більше прорахувати обсяги можливої шкоди від таких дій. Тому під час оцінювання зазначених ризиків обмежуються можливими категоріями наслідків, які мо жуть наступи у зв’язку з інформаційними атаками терористів.

Під час контролю ризиків інформаційного тероризму виявляють ознаки підготовки терористичних актів, насамперед інформаційних атак. Крім того, вивчаються умови, за яких такі атаки можуть бути найімовірнішими, та з’ясовуються причини, що впливають на формування таких умов. Якраз виявлення та контроль за значених умов і причин і є основним предметом роботи з контролю ризиків інформаційного тероризму. Головне завдання контролю полягає в тому, щоб звузити велику різноманітність варіантів дій терористів і контролювати найбільш можливі та небезпечні.

Мінімізація ж зазначених ризиків здійснюється проведенням заходів захисту технічного, програмного, криптографічного,

апаратного, адміністративного, правового характеру власних інформаційних мереж і систем, а також заходів формування стійкого іміджу банку на ринку банківських послуг, пропаганди його послуг і реклами банківських продуктів. Крім того, проводиться низка заходів щодо згуртування колективів працівників банку, формування в них банківського патріотизму. Важливою частиною заходів мінімізації ризиків інформаційного тероризму є заходи з форму вання довіри до банку та його менеджменту з боку клієнтів та акціонерів.

На мінімізацію ризиків інформаційного тероризму мають спрямовуватися заходи з виявлення та перетинання інформаційних каналів, через які можуть здійснюватися інформаційні атаки.

Зауважимо, що дії, пов’язані з інформаційним тероризмом, є для банку не лише небезпечними, а й такими, від яких побуду вати гарантовану систему захисту, що виключала б можливість проведення актів інформаційного тероризму, майже неможливо. Тому банки мають передбачати заходи своєї поведінки на випадок здійснення таких актів, передусім спрямовані на забезпечення виживання в умовах інформаційних атак, а також заходи щодо ліквідації їх наслідків.

Підсумовуючи, зазначимо, що інформаційні ризики необхідно розглядати не як окремо взя ті, а разом з іншими ризиками банківської діяльності. Саме в такий спосіб можна прийняти правильне рішення щодо ризику проведення певної операції чи діяльності банку загалом: прийняти ризики, тобто погодитися на можливі втрати у процесі негативного впливу ризику; вжити заходів щодо зниження ризику; передати ризик іншому суб’єкту (компе нсацію можливих збитків покласти, скажімо, на страхову компанію або трансформувати інформаційний ризик в інші види ризику, з нижчим рівнем втрат). Водночас за певних умов інформаційні ризики можуть бути головними серед тих ризиків, яких зазнає банк у своїй діяльності.


< Попередня  Змiст  Наступна >
Iншi роздiли:
7.4. Система захисту інформації в банку
7.5. Протидія інформаційно-психологічному впливу в діяльності банку
Розділ 8 ІНФОРМАЦІЙНЕ ЗАБЕЗПЕЧЕННЯ ДІЯЛЬНОСТІ БАНКУ
8.1. Інформаційний ресурс банку і його характеристики
8.2. Інформаційно-аналітична робота в банку
Дисциплiни

Медичний довідник новиниКулінарний довідникАнглійська моваБанківська справаБухгалтерський облікЕкономікаМікроекономікаМакроекономікаЕтика та естетикаІнформатикаІсторіяМаркетингМенеджментПолітологіяПравоСтатистикаФілософіяФінанси

Бібліотека підручників та статтей Posibniki (2022)