upravljanje rizikom u elektronickom bankarstvu
DESCRIPTION
Upravljanje Rizikom u Elektronickom BankarstvuTRANSCRIPT
Bazelski odbor za nadzor banaka Načela upravljanja rizikom u
elektroničkom bankarstvu
srpanj 2003. BANKA ZA MEĐUNARODNE NAMIRE
2
SADRŽAJ
Sažetak........................................................................................................................
I.
Uvod...........................................................................................................................
A Izazovi upravljanja rizikom..................................................................................
B Načela upravljanja rizikom..................................................................................
II. Načela upravljanja rizikom u elektroničkom bankarstvu.......................................
A Nadzor kojim rukovodi odbor i menadžment (1. do 3. načela)..........................
B Kontrola sigurnosti (4. do 10. načelo)................................................................
C Upravljanje pravnim i reputacijskim rizikom (11. do 14. načelo)........................
Dodatak I. Dobre prakse kontrole sigurnosti u elektroničkom bankarstvu................
Dodatak II. Dobre prakse upravljanja eksternaliziranim sustavima i uslugama u
e-bankarstvu............................................................................................
Dodatak III. Dobre prakse za autorizaciju u aplikacijama e-bankarstva.....................
Dodatak IV. Dobre prakse za pisane revizijske tragove u sustavima e-bankarstva
Dodatak V. Dobre prakse za pomoć u očuvanju povjerljivosti informacija o
klijentu u e-bankarstvu............................................................................
Dodatak VI. Dobre prakse za kapacitet, poslovni kontinuitet i planiranje za slučaj
nepredviđenih okolnosti u e-bankarstvu..................................................
3
Skupina za elektroničko bankarstvo Bazelskog odbora za nadzor banaka
Predsjednik:
gosp. John Hawke, Jr – kontrolor financijskih institucija, Washington DC
Članovi:
Australian Prudential Regulation Authority, Australija gosp. Graham Johnson Commission Bancaire et Financière, Belgija gosp. Jos Meuleman
gosp. Koen Algoet Office of the Superintendent of Financial Institutions, Kanada gđa Judy Cameron
gosp. Abilash Bhachech Commission Bancaire, Francuska gosp. Alain Duchâteau Deutsche Bundesbank, Njemačka gosp. Sven Jongebloed Bundesanstalt für Finanzdienstleistungsaufsicht, Njemačka gosp. Stefan Czekay Hong Kong Monetary Authority, Hong Kong SAR gosp. Shu-Pui Li
gosp. Brian Lee Banca d'Italia, Italija gosp. Filippo Siracusano
gosp. Tullio Pra Bank of Japan, Japan gosp. Toshihiko Mori
gosp. Hiroaki Kuwahara gosp. Tomoko Suzuki
Financial Services Agency, Japan gosp. Koji Hamada gđa Yoko Ota
Commission de Surveillance du Secteur Financier, Luksemburg gosp. David Hagen gosp. Claude Bernard
De Nederlandsche Bank N.V., Nizozemska gosp. Erik Smid Monetary Authority of Singapore, Singapur gosp. Leon Chang
gosp. Enoch Ch'ng gosp Tony Chew
Banco de España, Španjolska gđa Maria Jesús Nieto Finansinspectionen, Švedska gđa Christina Westerling Federal Banking Commission, Švicarska gosp. Daniel Schmid Financial Services Authority, Velika Britanija gosp. Peter MacCormac Federal Reserve Bank of New York, SAD gosp. George Juncker
gđa Barbara Yelcich Office of the Comptroller of the Currency (OCC), SAD gosp. Hugh Kelly
gosp. Clifford Wilke Board of Governors of the Federal Reserve System, SAD gđa Angela Desmond
gosp. Jeff Marquardt Federal Deposit Insurance Corporation, SAD gđa Sandra Thomson European Central Bank gosp. Christian Fehlker Secretariat, Basel Committee on Banking Supervision, Bank for International Settlements
gosp. Laurent Le Mouël
4
Načela upravljanja rizikom u elektroničkom bankarstvu Sažetak Stalne tehnološke inovacije i međusobno tržišno natjecanje postojećih bankovnih organizacija, kao i nove organizacije koje su stupile na tržište, učinili su dostupnim širi asortiman bankarskih proizvoda i usluga te njihovu isporuku stanovništvu i poduzećima preko elektroničkih distribucijskih kanala, koji se skupno nazivaju e-bankarstvo. Međutim, brzi razvoj mogućnosti e-bankarstva, uz koristi, nosi sa sobom i rizike. Bazelski odbor za nadzor banaka očekuje da će bankarske institucije te rizike prepoznati, ublažavati i njima upravljati na razborit način, u skladu s osnovnim karakteristikama i izazovima usluga e-bankarstva. Te su karakteristike: još nezabilježena brzina promjena vezanih uz tehnološke inovacije i inovacije usluga klijentima, općeprisutan i globalan karakter otvorenih elektroničkih mreža, integracija aplikacija e-bankarstva s već postojećim računalnim sustavima te povećana ovisnost banaka o transakcijama koje osiguravaju potrebnu informacijsku tehnologiju. Iako ne dovode do stvaranja novih rizika, Odbor je zamijetio da su te karakteristike povećale i modificirale neke od tradicionalnih rizika povezanih s bankarskim poslovima, posebice strateški, operativni, pravni i reputacijski rizik, na taj način utječući na sveukupni rizični profil bankarstva. Na temelju tih zaključaka Odbor smatra da je postojeća opća načela upravljanja rizikom, koja i nadalje ostaju primjenljiva na poslove e-bankarstva, potrebno prepraviti i prilagoditi te, u nekim slučajevima, proširiti tako da odgovore na izazove upravljanja posebnim rizicima nastale zbog karakteristika e-bankarstva. U toj namjeri Odbor vjeruje da su odbor direktora i menadžment više razine banke dužni poduzeti mjere kako bi osigurali da njihove institucije preispitaju i modificiraju, gdje god je to potrebno, svoje postojeće politike i postupke upravljanja rizikom kako bi njima pokrili i tekuće i planirane poslove e-bankarstva. Odbor isto tako vjeruje da integracija aplikacija e-bankarstva s već postojećim sustavima podrazumijeva integrirani pristup upravljanju rizikom za sve bankarske poslove bankarskih institucija. Da bi olakšao taj razvoj, Odbor je utvrdio četrnaest Načela upravljanja rizikom u elektroničkom bankarstvu s ciljem da pomogne bankarskim institucijama u proširivanju njihovih postojećih politika i postupaka kontrole rizika tako da one obuhvate i poslove e-bankarstva. Ta Načela upravljanja rizikom nisu postavljena kao apsolutni zahtjevi pa čak ni kao "najbolja praksa". Odbor vjeruje da utvrđivanje previše detaljnih zahtjeva za upravljanje rizikom u području e-bankarstva može biti kontraproduktivno zbog same činjenice da bi oni mogli ubrzo postati zastarjelima, uzevši u obzir brzinu promjena vezanih uz tehnološke inovacije i inovacije usluga klijentima. Odbor je stoga radije odlučio izložiti nadzorna očekivanja i smjernice u obliku Načela upravljanja rizikom kako bi promicao sigurnost i zdravo poslovanje u e-bankarstvu, uz zadržavanje potrebne fleksibilnosti u provedbi, koja djelomično proizlazi iz brzine promjena u tom području. Nadalje, Odbor je svjestan da je rizični profil svake banke drukčiji te da zahtijeva posebno prilagođen pristup ublažavanju rizika, ovisan o opsegu poslova e-bankarstva, značajnosti prisutnih rizika, kao i spremnosti i sposobnosti institucije za upravljanje tim rizicima. To znači da uniformni pristup ("jedan pristup za sve") pitanjima vezanim uz upravljanje rizicima u e-bankarstvu ne može biti adekvatan. Zbog sličnih razloga Načela upravljanja rizikom koja je izdao Odbor nemaju namjeru utvrditi posebna tehnička rješenja ili standarde koji se odnose na e-bankarstvo. Tehnička rješenja moraju donijeti institucije i tijela koja propisuju standarde, usporedo s razvojem tehnologije. Međutim, ovo izvješće sadrži dodatke u kojima se navode neki primjeri tekuće i široko rasprostranjene prakse ublažavanja rizika u području e-bankarstva koje podržavaju Načela upravljanja rizikom. Zbog toga se očekuje da će se nacionalna nadzorna tijela poslužiti Načelima upravljanja rizikom i dobrom praksom utvrđenom u ovom izvješću kao sredstvom za rad, te da će ih provoditi uz prilagodbe, ako su potrebne, koje su primjerene posebnim nacionalnim
5
zahtjevima i pojedinačnim profilima rizika. U nekim područjima Odbor ili nacionalna nadzorna tijela naveli su Načela u prethodnim smjernicama za nadzor. Međutim, određena pitanja, kao što su upravljanje odnosima kod eksternaliziranja, kontrola sigurnosti, te upravljanje pravnim i reputacijskim rizikom, zahtijevaju detaljnije razrađena načela od onih utvrđenih do sada zbog jedinstvenih karakteristika i implikacija internetskih distribucijskih kanala. Načela upravljanja rizicima mogu se, da bi bila jasnija, razvrstati u tri široke kategorije pitanja, koje se često preklapaju, a to su: nadzor kojim rukovodi odbor i menadžment, kontrola sigurnosti te upravljanje pravnim i reputacijskim rizikom. Nadzor kojim rukovodi odbor i menadžment Budući da su odbor direktora i menadžment više razine odgovorni za razvoj strategije poslovanja institucije i uspostavu djelotvornog nadzora menadžmenta nad rizicima, od njih se očekuje da donesu eksplicitne, obrazložene i dokumentirane strateške odluke vezane uz pitanje hoće li banka i na koji će način pružati usluge e-bankarstva. Prvobitna odluka trebala bi obuhvaćati posebne odgovornosti, politike i kontrole za uklanjanje rizika, uključujući one koje proizlaze iz prekograničnog poslovanja. Očekuje se da djelotvoran nadzor od strane menadžmenta obuhvaća preispitivanje i odobravanje ključnih aspekata procesa kontrole sigurnosti banke, kao što je razvoj i održavanje infrastrukture sigurnosne kontrole koja na ispravan način štiti sustave e-bankarstva i podatke od internih i eksternih prijetnji. Taj bi nadzor isto tako trebao uključivati sveobuhvatan proces upravljanja rizicima povezanim s povećanom složenošću i sve većim oslanjanjem na eksternalizaciju i ovisnost o trećim stranama u obavljanju ključnih funkcija e-bankarstva. Kontrola sigurnosti Iako odbor direktora ima odgovornost pobrinuti se da se uspostave odgovarajući procesi kontrole sigurnosti u e-bankarstvu, za samu osnovu tih procesa potrebna je posebna pažnja uprave zbog povećanih izazova za sigurnost koje uzrokuje e-bankarstvo. To bi trebalo obuhvaćati odgovarajuća prava autorizacije i mjere provjere identiteta, kontrolu logičkoga i fizičkog pristupa, adekvatnu infrastrukturnu sigurnost u svrhu održavanja odgovarajućih granica i ograničenja za interne i eksterne poslove korisnika, kao i vjerodostojnost podataka o transakcijama, dokumentacije i informacija. Osim toga, potrebno je osigurati postojanje jasnih pisanih revizijskih tragova za sve transakcije e-bankarstva, a mjere za očuvanje povjerljivosti ključnih informacija e-bankarstva trebale bi odgovarati osjetljivosti takvih informacija. Iako se zaštita klijenata i propisi o zaštiti privatnosti razlikuju od jedne države do druge, banke općenito imaju jasnu odgovornost pružiti svojim klijentima određenu razinu sigurnosti u pogledu objavljivanja informacija, zaštite osobnih podataka o klijentima i mogućnosti poslovnog korištenja tih podataka, koja je približno jednaka razini koju klijenti očekuju kada se koriste tradicionalnim bankarskim distribucijskim kanalima. Kako bi banke svele na najmanju moguću mjeru pravne i reputacijske rizike povezane s poslovima e-bankarstva u zemlji i u inozemstvu, morale bi na adekvatan način objavljivati informacije na svojim web-stranicama te poduzimati odgovarajuće mjere kako bi osigurale usklađenost sa zahtjevima za zaštitu privatnosti klijenata koji se primjenjuju u državama u kojima banka pruža usluge e-bankarstva. Upravljanje pravnim i reputacijskim rizikom Kako bi se banke zaštitile od poslovnoga, pravnoga i reputacijskog rizika, usluge e-bankarstva moraju se pružati dosljedno i pravodobno, u skladu s visokim očekivanjima klijenata, uz konstantnu i brzu dostupnost i potencijalno veliku potražnju za transakcijama. Banka mora imati mogućnost pružati usluge e-bankarstva svim krajnjim korisnicima, te mora moći održavati takvu dostupnost u svim okolnostima. Efikasni mehanizmi za incidentne slučajeve isto su tako važni za minimiziranje operativnoga, pravnoga i reputacijskog rizika koji
6
proizlaze iz neočekivanih događaja, uključujući interne i eksterne prodore u sustav koji mogu utjecati na pružanje usluga e-bankarstva. Kako bi ispunile očekivanja klijenata, banke bi stoga trebale efikasno planirati kapacitete, poslovni kontinuitet i postupanje u slučaju nepredviđenih okolnosti. Banke bi isto tako morale izraditi odgovarajuće planove za incidentne slučajeve, uključujući komunikacijsku strategiju, koji osiguravaju kontinuitet poslovanja, kontroliraju reputacijski rizik i ograničavaju odgovornost povezanu s poremećajima u njihovim uslugama e-bankarstva.
7
Načela upravljanja rizicima u elektroničkom bankarstvu I. Uvod Bankovne organizacije već godinama pružaju usluge elektroničkog bankarstva svojim klijentima i poduzećima. Elektronički transferi sredstava, uključujući mala plaćanja i sustave za upravljanje gotovinom poduzeća, kao i javno dostupni automatizirani uređaji za podizanje gotovine i upravljanje računima stanovništva raširena su pojava u svijetu. Međutim, sve veće prihvaćanje interneta1 u svijetu kao distribucijskog kanala za bankarske proizvode i usluge osigurava bankama nove mogućnosti, kao i poboljšanje usluga za klijente. Stalne tehnološke inovacije i međusobno tržišno natjecanje postojećih bankovnih organizacija, kao i nove organizacije koje su stupile na tržište, učinili su dostupnim stanovništvu i poduzećima širi asortiman proizvoda i usluga elektroničkog bankarstva.2. To obuhvaća tradicionalne poslove kao što je pristup financijskim informacijama, dobivanje kredita i otvaranje depozitnih računa, kao i relativno nove proizvode i usluge, poput usluga plaćanja računa elektroničkim putem, personaliziranih financijskih portala, agregiranja računa3, te tržišta i burza za poduzeća. Unatoč značajnim koristima od tehnoloških inovacija, brzi razvoj mogućnosti e-bankarstva nosi sa sobom i rizike, a važno je da bankarske institucije prepoznaju te rizike i njima razborito upravljaju.4 Takav razvoj naveo je Bazelski odbor za nadzor banaka da 1998. godine provede preliminarno istraživanje implikacija upravljanja rizikom u poslovima e-bankarstva i elektroničkog novca.5 To preliminarno istraživanje pokazalo je jasnu potrebu da se više radi u području upravljanja rizikom u e-bankarstvu, a taj je zadatak povjeren radnoj grupi koju su činili bankovni supervizori i središnje banke, odnosno Grupi za elektroničko bankarstvo, koja je osnovana u studenome 1999. godine. Bazelski odbor objavio je Izvješće Grupe o upravljanju rizikom i pitanjima vezanim uz nadzor koja proizlaze iz razvoja e-bankarstva u listopadu 2000. godine.6 Izvješće prikazuje i procjenjuje glavne rizike povezane s e-bankarstvom, odnosno strateški rizik, reputacijski rizik, operativni rizik (uključujući rizik
1 U ovom izvješća termin internet uključuje sve povezane tehnologije koje omogućuju pristup mreži i otvorene telekomunikacijske mreže koje obuhvaćaju direktnu telefonsku vezu, javni World Wide Web i virtualne privatne mreže. 2 U ovom izvješća termin elektroničko bankarstvo, ili e-bankarstvo, obuhvaća bankarske proizvode i usluge stanovništvu, i one malih vrijednosti preko elektroničkih kanala, kao i elektronička plaćanja i ostale bankarske usluge poduzećima koje se pružaju elektroničkim putem. 3 Usluge agregiranja računa omogućuju klijentima dobivanje konsolidiranih informacija o svojim financijskim i nefinancijskim računima na jednom mjestu. Službenik zadužen za agegiranje u osnovi djeluje kao agent za klijente u pružanju konsolidiranih informacija o njegovim računima u nekoliko financijskih institucija. Klijenti daju tom službeniku potrebnu sigurnosnu zaporku ili osobni identifikacijski broj za pristup i konsolidaciju informacija o računima prije svega putem pretraživanja informacija s ekrana, što je proces koji uključuje izdvajanje podataka s web-stranica drugih financijskih institucija, često bez njihova znanja, ili putem ugovorno dogovorenih izravnih razmjena podataka između financijskih institucija. 4 Zbog brzih promjena u informacijskoj tehnologiji, opis takvih rizika nikada ne može biti sveobuhvatan. Međutim, rizici s kojima se suočavaju banke u e-bankarstvu općenito nisu novi i obuhvaćeni su rizičnim kategorijama utvrđenim u Osnovnim načelima za djelotvoran nadzor banaka Bazelskog odbora iz rujna 1997. Tim smjernicama utvrđeno je osam kategorija rizika, a to su kreditni rizik, rizik države i rizik transfera, tržišni rizik, kamatni rizik, rizik likvidnosti, operativni rizik, pravni rizik i reputacijski rizik. Osnovna načela dostupna su na web-stranicama BIS-a: http://www.bis.org. 5Upravljanje rizikom u elektroničkom bankarstvu i poslovima s elektroničkim novcem, ožujak 1998., dostupno je na web-stranici Banke za međunarodne namire: http://www.bis.org. 6 Inicijative Grupe za elektroničko bankarstvo i "Bijeli radovi", listopad 2000., dostupno na web-stranici BIS-a: http://www.bis.org.
8
sigurnosti i pravni rizik)7, te kreditni, tržišni i rizik likvidnosti. Grupa je zaključila da poslovi e-bankarstva nisu izazvali rizike koji već nisu bili identificirani u prijašnjem radu Bazelskog odbora. Međutim, uočeno je da e-bankarstvo povećava i modificira neke od tih tradicionalnih rizika, na taj način utječući na ukupni rizični profil bankarstva. Brzim uvođenjem tehnologije i tehnološkom složenošću poslova e-bankarstva posebno su povećani strateški rizik, operativni rizik i reputacijski rizik. A Izazovi upravljanja rizikom Grupa za elektroničko bankarstvo utvrdila je da osnovne karakteristike e-bankarstva (i općenito e-trgovanja) postavljaju nekoliko izazova pred upravljanje rizikom: • Brzina promjena povezanih s tehnološkim inovacijama i inovacijama usluga klijentima u
e-bankarstvu je bez presedana. Nekad su nove bankovne aplikacije uvođene tijekom relativno dugoga vremenskog razdoblja te tek nakon detaljnog testiranja. Danas se, međutim, banke susreću s pritiscima konkurencije za razvoj novih poslovnih aplikacija u vrlo kratkom vremenu – često prođe tek nekoliko mjeseci od ideje do proizvodnje. Zbog konkurencije pojačava se izazov za upravljanje u smislu da je teško osigurati provođenje adekvatne strateške procjene, analize rizika i preispitivanja sigurnosti prije uvođenja aplikacija e-bankarstva.
• Transakcijske web-stranice e-bankarstva i povezane poslovne aplikacije za stanovništvo i
poduzeća obično se integriraju što je više moguće s postojećim računalnim sustavima kako bi se omogućila izravnija obrada elektroničkih transakcija (engl. straight-through processing, STP). Takva izravna automatizirana obrada smanjuje mogućnost ljudske pogreške i prijevare karakteristične za ručnu obradu, no istodobno povećava ovisnost o zdravoj organizaciji i strukturi sustava, kao i o interoperabilnosti sustava i operativnoj skalarnosti.
• E-bankarstvo povećava ovisnost banaka o informacijskoj tehnologiji, na taj način
povećavajući tehničku složenost mnogih operativnih i sigurnosnih pitanja i dalje razvijajući trend prema većoj suradnji, povezanosti i eksternalizaciji uz pomoć trećih strana, od kojih su mnoge neregulirane. Takav razvoj dovodi do stvaranja novih poslovnih modela koji uključuju i banke i nebankarske subjekte, poput pružatelja internetskih usluga, telekomunikacijskih kompanija i drugih poduzeća koja se bave tehnologijom.
• Internet je svima dostupan i globalan po svojoj prirodi. To je otvorena mreža, kojoj
nepoznate strane imaju pristup omogućen s bilo kojeg mjesta u svijetu rutiranjem poruka preko nepoznatih lokacija i pomoću bežičnih uređaja koji se brzo razvijaju. To stoga uvelike povećava važnost sigurnosnih kontrola, tehnika provjere identiteta klijenata, zaštite podataka, postupaka ostavljanja pisanoga revizijskog traga i standarda zaštite privatnosti klijenta.
B Načela upravljanja rizikom Na temelju preliminarne studije Grupe za elektroničko bankarstvo, Odbor je zaključio da, iako su tradicionalna načela upravljanja rizikom u bankarstvu primjenljiva i na poslove e-bankarstva, složene karakteristike internetskoga distribucijskog kanala određuju da primjena tih načela mora biti organizirana tako da odgovara raznim on-line bankovnim poslovima i s time povezanim izazovima upravljanja rizikom. Zbog toga je Odbor uvjeren da su odbor direktora i menadžment više razine banke dužni poduzeti mjere kako bi osigurali da će njihove institucije preispitati i modificirati, gdje god je to potrebno, svoje postojeće politike i postupke upravljanja rizikom tako da njima odgovore i na potrebe tekućih i na potrebe
7 U ovom se izvješću koristi definicija operativnog rizika koju je dao Bazelski odbor, a koja obuhvaća rizik sigurnosti i pravni rizik (vidi Bazelski odbor za nadzor banaka, Novi sporazum o kapitalu, travanj 2003., stavak 607.: "rizik gubitka koji proizlazi iz neadekvatnih ili neuspješnih internih procesa, ljudi i sustava ili zbog eksternih događaja").
9
planiranih poslova e-bankarstva. Nadalje, budući da Odbor vjeruje da bi banke trebale prihvatiti integrirani pristup upravljanja rizikom za sve bankovne poslove, važno je da upravljanje rizikom poslova e-bankarstva postane sastavni dio cjelokupnog sustava upravljanja rizikom bankarske institucije. Da bi olakšao taj razvoj, Odbor je zatražio od Grupe za elektroničko bankarstvo da utvrdi ključna načela upravljanja rizikom koja bi pomogla bankarskim institucijama u proširivanju njihovih postojećih politika i postupaka kontrole rizika i na poslove e-bankarstva te da tako pridonesu promicanju sigurnoga i zdravog elektroničkog dostavljanja proizvoda i usluga. Načela upravljanja rizikom u elektroničkom bankarstvu, utvrđena u ovom izvješću, nisu postavljena kao apsolutni zahtjevi pa čak ni kao "najbolja praksa", već kao smjernice za promicanje sigurnoga i zdravog poslovanja u e-bankarstvu. Odbor vjeruje da utvrđivanje jako detaljnih zahtjeva za upravljanje rizikom u području e-bankarstva može biti kontraproduktivno, s obzirom na to da bi zahtjevi mogli brzo zastarjeti zbog brzih promjena vezanih uz tehnološke i proizvodne inovacije. Stoga su načela obuhvaćena u ovom izvješću zapravo očekivanja supervizora glede sveukupnoga supervizijskog cilja – očuvanja sigurnosti i zdravog poslovanja u financijskom sustavu, a nisu strogi propisi. Odbor smatra da bi takva supervizijska očekivanja trebala biti usmjerena i prilagođena distribucijskom kanalu e-bankarstva, no ne bi trebala biti bitno različita od onih koja se primjenjuju na bankovne usluge koje se pružaju preko drugih distribucijskih kanala. U skladu s tim, niže navedena načela većinom su izvedena i prilagođena nadzornim načelima koja su Odbor ili nacionalna nadzorna tijela već utvrdili proteklih godina. U nekim područjima, kao što je upravljanje eksternalizacijom, kontrola sigurnosti i upravljanje pravnim i reputacijskim rizikom, karakteristike i implikacije internetskoga distribucijskog kanala nameću potrebu za detaljnijim načelima od onih utvrđenih do sada. Odbor je svjestan da će banke morati razviti postupke upravljanja rizikom koji odgovaraju njihovom pojedinačnom profilu rizika, operativnoj strukturi i kulturi korporativnog upravljanja te koji su u skladu s posebnim zahtjevima i politikama upravljanja rizikom koje utvrde supervizori banaka u pojedinim državama. Nadalje, brojne prakse upravljanja rizikom u e-bankarstvu utvrđene u ovom izvješću, iako odražavaju trenutačnu dobru praksu za bankarsku djelatnost, ne bi se trebale smatrati sveobuhvatnima ili konačnima, s obzirom na to da se mnoge sigurnosne kontrole i ostale tehnike upravljanja rizikom nastavljaju brzo razvijati kako bi održale korak s novim tehnologijama i poslovnim aplikacijama. Ovim izvješćem ne namjeravaju se određivati posebna tehnička rješenja za eliminiranje pojedinih rizika ili propisivati tehnički standardi koji se odnose na e-bankarstvo. Bankarske institucije i razna tijela koja utvrđuju standarde trebaju kontinuirano rješavati tehnička pitanja, usporedo s razvojem tehnologije. Nadalje, s obzirom da banke nastavljaju rješavati tehnička pitanja vezana uz e-bankarstvo, uključujući pitanja sigurnosti, mogla bi se pojaviti razna inovativna i efikasna rješenja za upravljanje rizikom. Ta će se rješenja isto tako vjerojatno odnositi na pitanja povezana s činjenicom da se banke razlikuju prema veličini, složenosti i kulturi upravljanja rizikom te da se države razlikuju prema svojem zakonskom i regulatornom sustavu. Zbog toga Odbor ne vjeruje da je "jedan pristup za sve" upravljanju rizikom u e-bankarstvu adekvatan te potiče razmjenu dobrih praksa i standarda za eliminiranje dodatnih dimenzija rizika koje uzrokuje distribucijski kanal e-bankarstva. U skladu s tom supervizijskom filozofijom očekuje se da će se nacionalna nadzorna tijela koristiti načelima i dobrom praksom upravljanja rizikom utvrđenima u ovom izvješću kao sredstvom svoga rada te da će ih provoditi uz prilagodbu tako da odgovore na posebne nacionalne zahtjeve, gdje god je to potrebno, kako bi promicali sigurno i zdravo poslovanje u e-bankarstvu. Odbor je svjestan da je profil rizika svake banke drukčiji te zahtijeva pristup ublažavanju rizika koji odgovara njezinu opsegu poslova e-bankarstva, važnosti prisutnih rizika, te spremnosti i sposobnosti institucije za upravljanje tim rizicima. Te razlike potvrđuju potrebu da načela upravljanja rizicima iz ovog izvješća budu dovoljno fleksibilna kako bi ih sve relevantne institucije u raznim državama mogle prihvatiti. Nacionalna nadzorna tijela procijenit će
10
značajnost rizika povezanih s poslovima e-bankarstva u određenoj banci te je li bankin sustav upravljanja rizikom u skladu, i u kojoj mjeri, s načelima upravljanja rizikom u e-bankarstvu. II. Načela upravljanja rizikom u elektroničkom bankarstvu Načela upravljanja rizikom u e-bankarstvu, utvrđena u ovom izvješću, mogu se razvrstati u tri široke kategorije, koje se često preklapaju. Međutim, ta načela nisu razvrstana prema redoslijedu prioriteta ili važnosti. Budući da se to s vremenom može promijeniti, trebalo bi zadržati neutralnost i izbjeći takvo određivanje prvenstva. A Nadzor kojim rukovodi odbor i menadžment 8 (1. do 3. načela) 1. Djelotvoran nadzor poslova e-bankarstva od strane menadžmenta, 2. Uspostavljanje sveobuhvatnih procesa kontrole sigurnosti, 3. Temeljita analiza poslovanja (due diligence) i proces nadzora kojim rukovodi
menadžment pri eksternalizaciji i ostalim oblicima ovisnosti o trećim stranama. B Kontrola sigurnosti (4. do 10. načela) 4. Provjera identiteta klijenata koji se koriste uslugama e-bankarstva, 5. Neporicanje obveza i odgovornost za transakcije e-bankarstva, 6. Odgovarajuće mjere kako bi se osiguralo razdvajanje dužnosti, 7. Odgovarajuće kontrole provjere identiteta unutar sustava e-bankarstva, baza podataka i
aplikacija, 8. Integritet podataka, dokumentacije i informacija koji se odnose na transakcije e-
bankarstva, 9. Uspostava jasnih pisanih revizijskih tragova za transakcije e-bankarstva, 10. Povjerljivost ključnih informacija banke. C Upravljanje pravnim i reputacijskim rizikom (11. do 14. načela) 11. Odgovarajuće izvješćivanje za usluge e-bankarstva, 12. Povjerljivost informacija o klijentu, 13. Kapacitet, poslovni kontinuitet i planiranje za slučaj nepredviđenih okolnosti kako bi se
osigurala raspoloživost sustava i usluga e-bankarstva, 14. Planiranje postupaka za incidentne slučajeve. O svakom od prethodno navedenih pitanja detaljnije se raspravlja u sljedećim odjeljcima kako se oni odnose na e-bankarstvo i povezana načela upravljanja rizicima koja banke trebaju uzeti u obzir kako bi riješile ta pitanja. Ovisno o slučaju, dobre prakse koje je moguće razmotriti kao djelotvornu metodu eliminiranja tih rizika, također su ponuđene u odgovarajućim dodacima.
8 Izvješće se odnosi na strukturu menadžmenta sastavljenog od odbora direktora i menadžmenta više razine. Odbor je svjestan da među državama postoje značajne razlike u zakonskom i regulatornom okviru koji se odnosi na funkcije odbora direktora i menadžmenta više razine. U nekim je državama glavna funkcija odbora, ako ne i isključiva, nadzor izvršnog tijela (menadžmenta više razine, uprave) kako bi osigurao da izvršno tijelo ispunjava svoje obveze. Zbog toga se odbor direktora katkad naziva nadzorni odbor. U tim slučajevima odbor nema izvršne ovlasti. Nasuprot tomu, u drugim državama odbor ima šire kompetencije uključujući definiranje okvira upravljanja. Zbog tih razlika termini "odbor direktora" i "menadžment više razine" koriste se u Izvješću za utvrđivanje dviju funkcija koje donose odluke unutar banke, a ne koriste se kao pravno određenje.
11
A Nadzor kojim rukovodi odbor i menadžment (1. do 3. načela) Odbor direktora i menadžment više razine odgovorni su za razvoj poslovne strategije bankarske institucije. Potrebno je donijeti eksplicitnu stratešku odluku o tomu želi li odbor da banka pruža transakcijske usluge e-bankarstva prije početka ponude takvih usluga. Odbor bi posebno trebao osigurati da planovi e-bankarstva budu jasno integrirani u korporativne strateške ciljeve, da se provodi analiza rizika što se tiče predloženih poslova e-bankarstva, uspostavljaju odgovarajući procesi ublažavanja i praćenja rizika za utvrđene rizike, te da se provodi kontinuirano preispitivanje kako bi se ocijenili rezultati poslovanja e-bankarstva prema poslovnim planovima i ciljevima institucije. Osim toga, odbor i menadžment više razine trebali bi osigurati razmatranje i eliminiranje operativne i sigurnosne dimenzije rizika poslovnih strategija e-bankarstva institucije. Pružanje financijskih usluga preko interneta može značajno modificirati i/ili čak povećati tradicionalne bankovne rizike (npr. strateški, reputacijski, operativni, kreditni i rizik likvidnosti). Stoga je potrebno poduzeti mjere za odgovarajuću procjenu i modifikaciju, u svrhu prilagodbe uslugama e-bankarstva, postojećih procesa upravljanja rizikom banke, procesa kontrole sigurnosti, temeljite analize poslovanja (due diligence) i procesa nadzora eksternalizacije. 1. načelo: Odbor direktora i menadžment više razine trebali bi uspostaviti djelotvoran nadzor menadžmenta nad rizicima povezanim s poslovima e-bankarstva, uključujući uspostavu posebnih odgovornosti, politika i kontrola za upravljanje tim rizicima. Djelotvoran nadzor nužan je za obavljanje efikasne interne kontrole nad poslovima e-bankarstva. Osim posebnih karakteristika internetskoga distribucijskog kanala, o čemu se raspravlja u Uvodu, sljedeći aspekti e-bankarstva mogu biti značajan izazov za tradicionalne procese upravljanja rizikom: • Glavni elementi distribucijskog kanala (internet i povezane tehnologije) izvan su izravne
kontrole banke, • Internet olakšava pružanje usluga u više država, uključujući one u kojima institucija
trenutačno ne pruža usluge na fizičkim lokacijama, • Složenost pitanja koja su povezana s e-bankarstvom, te koja uključuju specijalistički
tehnički jezik i pojmove koji u mnogo slučajeva prelaze okvire tradicionalnog iskustva odbora i menadžment više razine.
U svjetlu jedinstvenih karakteristika e-bankarstva, odbor direktora i menadžment više razine trebali bi preispitivati nove projekte e-bankarstva koji mogu značajno utjecati na rizični profil banke i strategiju, te ti projekti moraju proći kroz odgovarajuću stratešku analizu i analizu troškova/nagrada. Bez odgovarajućega unaprijednoga strateškog preispitivanja i kontinuiranog planiranja procjena, banke su izložene riziku podcjenjivanja troškova i/ili precjenjivanja povrata od svojih inicijativa vezanih uz e-bankarstvo. Osim toga, odbor i menadžment više razine trebali bi osigurati da se banka ne upušta u nove poslove e-bankarstva ili u usvajanje novih tehnologija ako nema potrebnu stručnost za provođenje kompetentnog nadzora nad upravljanjem rizikom. Stručnost uprave i zaposlenika trebala bi odgovarati tehničkom karakteru i složenosti aplikacija e-bankarstva banke i povezanih tehnologija. Adekvatna stručnost nužna je bez obzira upravlja li se bankinim sustavima i uslugama e-bankarstva interno ili su povjereni trećim stranama. Procesi nadzora kojima rukovodi menadžment više razine trebali bi funkcionirati dinamički kako bi se djelotvorno interveniralo i kako bi se ispravio bilo koji bitan problem u sustavima e-bankarstva ili povreda sigurnosti koji se mogu pojaviti. Povećan reputacijski rizik povezan s e-bankarstvom zahtijeva budno praćenje operabilnosti sustava i zadovoljstva klijenata, kao i odgovarajuće izvješćivanje odbora i menadžmenta više razine o incidentnim slučajevima. Konačno, odbor i menadžment više razine trebali bi osigurati da njihovi procesi upravljanja rizikom za poslove e-bankarstva budu integrirani u sveukupni pristup upravljanja rizikom banke. Trebalo bi ocijeniti bankine postojeće politike i postupke upravljanja rizikom kako bi se osiguralo da budu dovoljno snažni za pokrivanje novih rizika koje uzrokuju tekući ili planirani
12
poslovi e-bankarstva. Dodatne mjere nadzora upravljanja rizikom koje bi odbor i menadžment više razine trebali uzeti u obzir uključuju: • Jasno utvrđenu sklonost riziku bankovne organizacije u odnosu na e-bankarstvo, • Uspostavljanje ključnih mehanizama podjele dužnosti i izvješćivanja, uključujući potrebne
postupke za nepredviđene okolnosti koje utječu na sigurnost banke, zdravo poslovanje ili reputaciju (npr. prodor u mrežu, narušavanje sigurnosti od strane zaposlenika te bilo kakva zloporaba računala)9,
• Uzimanje u obzir svih jedinstvenih faktora rizika povezanih s osiguravanjem sigurnosti, integriteta i raspoloživosti proizvoda i usluga e-bankarstva te zahtijevanje da treće strane kojima je banka eksternalizirala svoje ključne sustave i aplikacije poduzmu slične mjere,
• Osiguravanje provođenja odgovarajućih temeljitih analiza poslovanja i analize rizika prije nego što banka počne obavljati prekogranične poslove e-bankarstva.
Internet značajno olakšava sposobnosti banke za distribuciju proizvoda i usluga na gotovo neograničenom teritoriju, pa i preko nacionalnih granica. Takvi prekogranični poslovi e-bankarstva, posebno ako se obavljaju bez ikakve odobrene fizičke prisutnosti u "državi domaćinu", mogu izložiti banku povećanom pravnom riziku, regulatornom riziku i riziku države zbog značajnih razlika koje mogu postojati između pojedinih država u odnosu na izdavanje odobrenja za rad bankama, nadzor i zahtjeve za zaštitu privatnosti klijenata. Zbog potrebe izbjegavanja nenamjerne neusklađenosti sa zakonima ili propisima strane zemlje, kao i u svrhu upravljanja relevantnim faktorima rizika države, banke koje razmatraju ulaženje u prekogranične poslove e-bankarstva moraju u potpunosti ispitati te rizike prije poduzimanja takvih poslova te njima moraju efikasno upravljati10. Ovisno o opsegu i složenosti poslova e-bankarstva, opseg i struktura programa za upravljanje rizikom razlikovat će se između bankovnih organizacija. Resursi potrebni za nadzor nad uslugama e-bankarstva trebali bi odgovarati transakcijskoj funkcionalnosti i važnosti sustava, osjetljivosti mreže i osjetljivosti informacija koje se prenose. 2. načelo: Odbor direktora i menadžment više razine trebali bi preispitivati i odobravati ključne aspekte procesa kontrole sigurnosti banke. Odbor direktora i menadžment više razine trebali bi nadzirati razvoj i kontinuirano provođenje kontrole infrastrukture sigurnosti koja odgovarajuće štiti sustave i podatke e-bankarstva od internih i eksternih prijetnji. To bi trebalo uključivati uspostavu odgovarajućih prava autorizacije, kontrole logičkoga i fizičkog pristupa, te adekvatne sigurnosti infrastrukture za održavanje odgovarajućih ograničenja i restrikcija aktivnosti internih i eksternih korisnika. Zaštita imovine banke jedna je od skrbničkih dužnosti odbora, kao i jedna od osnovnih odgovornosti menadžmenta više razine. Međutim, to je i veliki izazov u okružju e-bankarstva koje se brzo razvija zbog složenih rizika sigurnosti povezanih s poslovanjem preko internetske mreže te s korištenjem suvremene tehnologije. Da bi se osigurala odgovarajuća kontrola sigurnosti za poslove e-bankarstva, odbor i menadžment više razine moraju utvrditi ima li banka sveobuhvatne procese sigurnosti, uključujući politike i procedure koje se odnose na moguće interne i eksterne prijetnje sigurnosti, u smislu sprječavanja i djelovanja u incidentnim situacijama. Ključni elementi djelotvornog procesa sigurnosti uključuju:
9 Osim zahtjeva za internim izvješćivanjem, procedure izvješćivanja o incidentnim situacijama također bi trebale propisivati izvješćivanje odgovarajućih nadzornih tijela. 10 Za podrobnije podatke vidi Bazelski odbor za nadzor banaka, Upravljanje i nadzor nad poslovima prekograničnog elektroničkog bankarstva, srpanj 2003.
13
• Dodjeljivanje eksplicitnih odgovornosti menadžmentu/zaposlenicima u pogledu nadzora nad uspostavom i održavanjem politika korporativne sigurnosti11,
• Dovoljna fizička kontrola za sprječavanje neautoriziranog fizičkog pristupa računalnom okružju,
• Adekvatna logička kontrola i procesi praćenja12 za sprječavanje neautoriziranoga internoga13 i eksternog pristupa aplikacijama i bazama podataka e-bankarstva,
• Redovito preispitivanje i testiranje sigurnosnih mjera i kontrola, uključujući kontinuirano praćenje aktualnog razvoja sigurnosti u bankarstvu, kao i instalaciju odgovarajućih dograđenih softvera, uslužnih paketa i ostalih potrebnih mjera.14
Dodatak I. sadrži nekoliko dodatnih dobrih praksa koje pomažu očuvati sigurnost e-bankarstva. 3. načelo: Odbor direktora i menadžment više razine trebali bi uspostaviti opsežnu i kontinuiranu temeljitu analizu poslovanja (due diligence) i procese nadzora za upravljanje eksternaliziranim odnosima banke i ostalim vrstama oslanjanja na treće strane koji podržavaju e-bankarstvo. Povećano oslanjanje na partnere i pružatelje usluga koji djeluju kao treće strane u obavljanju važnih funkcija e-bankarstva smanjuje izravnu kontrolu menadžmenta banke. U skladu s tim, potrebno je razraditi sveobuhvatan proces upravljanja rizicima povezanim s eksternalizacijom i ostalim vrstama oslanjanja na treće strane. Taj bi proces trebao obuhvaćati poslove trećih strana – partnera i pružatelja usluga – uključujući kooperante u eksternaliziranim poslovima koji mogu imati bitan utjecaj na banku. U prošlosti je eksternalizacija često bila ograničena na jednog pružatelja usluga za određenu funkciju. Međutim, posljednjih godina eksternalizirani odnosi banaka povećali su se i brojem i složenošću, što je izravna posljedica napretka u informacijskoj tehnologiji i pojave e-bankarstva. Složenost se još više povećava zbog činjenice da izdvojene usluge e-bankarstva mogu pružati i dodatni podugovaratelji (kooperanti) i/ili se mogu pružati u stranoj zemlji. Nadalje, kako aplikacije i usluge e-bankarstva postaju sve tehnološki naprednije i strateški značajnije, određena funkcionalna područja e-bankarstva ovise o malom broju specijaliziranih prodavatelja i pružatelja usluga – trećih strana. Takva kretanja mogu dovesti do povećane koncentracije rizika, što zahtijeva oprez i sa stajališta pojedine banke i sa stajališta bankarstva u cjelini. Ti čimbenici zajedno naglašavaju potrebu opsežne i kontinuirane procjene eksternaliziranih odnosa i drugih eksternih ovisnosti, uključujući s tim povezane implikacije za rizični profil banke i mogućnosti nadzora nad upravljanjem rizikom.15 Nadzor kojim rukovodi odbor i menadžment više razine nad eksternaliziranim odnosima i ovisnosti o trećim stranama trebao bi se posebno usmjeriti na ostvarivanje sljedećega: 11 To obično ne bi trebalo biti dio revizijske funkcije, koja je odgovorna za to da se djelotvorno provede funkcija nadzora nad sigurnošću. 12 Uključujući kontrolirana prava i povlastice pristupa, kao i kontinuirano praćenje pokušaja prodora u mrežu 13 Uključujući zaposlenike, vanjske suradnike i one s pravima pristupa na osnovi ugovora o eksternalizaciji 14 Uključujući mjere praćenja aktivnosti mreže, pokušaja pristupanja i izvješćivanja o ozbiljnim kršenjima sigurnosti 15 Takva bi procjena također trebala uzeti u obzir stupanj kontrole nad trećom stranom. Većinski dioničar u zajedničkom pothvatu može u mnogo slučajeva imati veću kontrolu nego na osnovi ugovornog odnosa s pružateljem usluga. Međutim, ne bi trebalo zaključiti na temelju takvih razlika da će kontrola dioničara nad zajedničkim pothvatom ili partnerstvom obavezno biti dovoljna, posebno ako tehnologije i usluge potrebne za funkcioniranje udruživanja osigurava manjinski dioničar. Takve su razlike većinom korisne za obranu teza da je procjene potrebno obavljati pojedinačno.
14
• Banka bi u potpunosti trebala biti svjesna rizika povezanih s upuštanjem u
eksternalizaciju ili sporazume o partnerstvu za svoje sustave ili aplikacije e-bankarstva, • Trebalo bi provesti odgovarajuće temeljito preispitivanje kompetentnosti i financijske
snage svakog pružatelja usluga ili partnera treće strane prije sklapanja ugovora za usluge e-bankarstva,
• Potrebno je jasno definirati ugovornu odgovornost svih strana u odnosu eksternalizacije16 ili partnerstva, na primjer odgovornost za dostavljanje informacija i primanje informacija od pružatelja usluga,
• Svi eksternalizirani sustavi i poslovi e-bankarstva trebali bi biti usklađeni s politikama upravljanja rizikom, sigurnosnim politikama i politikama o zaštiti privatnosti koje zadovoljavaju standarde same banke,
• Povremene neovisne interne i/ili eksterne revizije eksternaliziranih poslova trebalo bi provoditi barem u onoj mjeri koja bi bila potrebna kad bi se takvi poslovi obavljali interno,
• Trebali bi postojati odgovarajući planovi za slučaj nepredviđenih okolnosti za eksternalizirane poslove e-bankarstva.
U Dodatku II. navodi se nekoliko dobrih praksa za upravljanje eksternaliziranim sustavima e-bankarstva i drugim oslanjanjima na treće strane. B Kontrola sigurnosti (4. do 10. načela) Iako je odbor direktora odgovoran osigurati postojanje odgovarajućih procesa kontrole sigurnosti za e-bankarstvo, sama osnova tih procesa zahtijeva posebnu pažnju uprave zbog povećanih izazova za sigurnost koje uzrokuje e-bankarstvo.17 Sljedeća pitanja su posebno važna: • Provjera identiteta • Neporicanje odgovornosti • Integritet podataka i transakcija • Razdvajanje dužnosti • Kontrola autorizacije • Ostavljanje pisanih revizijskih tragova • Povjerljivost ključnih bankovnih informacija. 4. načelo: Banke bi trebale poduzimati odgovarajuće mjere za provjeru identiteta18 i ovlaštenja klijenata s kojima posluju preko interneta. U bankarstvu je važno potvrditi da su određena komunikacija, transakcija ili zahtjev za pristupom legitimni. U skladu s time, banke bi trebale koristi pouzdane metode provjere identiteta i ovlaštenja novih klijenata, kao i utvrđivanje identiteta i ovlaštenja postojećih klijenata koji žele započeti elektroničku transakciju. Utvrđivanje identiteta klijenta prilikom otvaranja računa važno je za smanjivanje rizika krađe identiteta, lažnih prijava za otvaranje računa i pranja novca. Ako banka ne uspije adekvatno identificirati klijenta, to može dovesti do toga da neovlaštene osobe steknu pristup računima
16 To bi također uključivalo podugovaratelje. 17 Na primjer, ako se odbor oslanja na prodavače usluga e-bankarstva treće strane, on mora osigurati da se ti prodavači adekvatno odnose prema tim pitanjima te da barem zadovoljavaju standarde same banke. 18 Provjera identiteta odnosi se u ovom izvješću na tehnike, postupke i procese koji se koriste za provjeru identiteta i ovlaštenja budućih i sadašnjih klijenata. Identifikacija se odnosi na postupke, tehnike i procese koji se koriste za utvrđivanje identiteta klijenta kada otvara račun. Autorizacija označava postupke, tehnike i procese koji se koriste kako bi se utvrdilo da li klijent ili zaposlenik ima legitiman pristup određenom bankovnom računu ili ovlaštenje za obavljanje transakcija po tom računu.
15
e-bankarstva te, naposljetku, do financijskih gubitaka i narušavanja reputacije banke zbog prijevare, otkrivanja povjerljivih informacija ili nenamjernog uključivanja u kazneno djelo. Utvrđivanje i provjeravanje identiteta pojedinca i ovlaštenja za pristup bankovnim sustavima u elektronički otvorenom mrežnom okružju može biti težak zadatak. Legitimna autorizacija korisnika može biti pogrešno prikazana pomoću nekoliko tehnika, opće poznatih pod nazivom "oponašanje" (engl. spoofing).19 Hakeri također mogu presresti korištenje interneta od strane legitimnih pojedinaca s autorizacijom pomoću "njuškala"20 (engl. sniffer) i obavljati poslove prijevarnoga ili kaznenoga karaktera. Osim toga, procesi kontrole provjere identiteta mogu se zaobići izmjenom baza podataka za provjeru identiteta. U skladu s tim, važno je da banke posjeduju formalne politike i postupke kojima se utvrđuju odgovarajuće metodologije kako bi se osiguralo da banka ispravno provjerava identitet i ovlaštenja pojedinca, agenta ili sustava21, pomoću sredstava koja su jedinstvena i koja što je više moguće isključuju neovlaštene osobe ili sustave.22 Banke mogu koristiti različite metode utvrđivanja identiteta, uključujući PIN-ove, lozinke, "pametne" kartice, biometriku te digitalne potvrde.23 Te metode mogu biti jednofaktorske ili multifaktorske (npr. koriste lozinku i biometričku tehnologiju24 za provjeru identiteta). Multifaktorska provjera identiteta općenito pruža veću sigurnost. Banka mora odrediti kojim će se metodama provjere identiteta koristiti na temelju procjene, od strane uprave, rizika koji stvara sustav e-bankarstva u cjelini ili njegove različite potkomponente. U toj analizi rizika trebale bi se ocijeniti transakcijske mogućnosti25 sustava e-bankarstva (npr. prijenos sredstava, plaćanje računa, uzimanje kredita, agregiranje računa i dr.), osjetljivost i vrijednost pohranjenih podataka vezanih uz e-bankarstvo te lakoća kojom klijent koristi metodu provjere identiteta. Robusni postupci identifikacije i provjere identiteta klijenata posebno su važni u prekograničnim poslovima e-bankarstva s obzirom na poteškoće koje se mogu pojaviti u elektroničkom poslovanju s klijentima preko nacionalnih granica, uključujući veći rizik oponašanja identiteta i veću poteškoću u obavljanju efikasnih provjera kreditne sposobnosti potencijalnih klijenata. Budući da se metode provjere identiteta dalje razvijaju, banke bi trebale pratiti i prihvaćati dobre prakse bankarstva, koje osiguravaju sljedeće:
19 Oponašanje označava oponašanje legitimnoga klijenta korištenjem njegova/njezina broja računa, lozinke, osobnoga identifikacijskog broja (PIN) i/ili adrese elektroničke pošte. 20 Njuškalo je uređaj koji može prisluškivati telekomunikacijski protok podataka, bilježiti lozinke i podatke u prijenosu. 21 Sustavi uključuju vlastite web-stranice institucije. 22 Sustavi moraju osigurati da posluju s pojedincima, agentima ili sustavima čiji je identitet provjeren te s valjanom bazom podataka za provjeru identiteta. 23 Banka može izdati digitalne potvrde klijentima korištenjem infrastrukture javnog ključa kako bi osigurala komunikaciju s bankom. O digitalnim potvrdama i infrastrukturi javnog ključa više se raspravlja u 5. načelu. 24 Biometrička tehnologija je automatizirano promatranje ljudskih fizioloških ili biheviorističkih karakteristika koja služi za identifikaciju i/ili provjeru identiteta osobe. Oblici biometričke tehnologije su snimak lica, prsta, šarenice, mrežnice, ruke, potpisa, glasa te dinamika pritiska na tipke. Biometrički sustavi identifikacije omogućuju jako dobru provjeru identiteta, no mogu stvarati veće poteškoće u provedbi od ostalih metoda identifikacije/provjere identiteta. 25 Efikasne mjere provjere identiteta mogu također smanjiti rizik poricanja, gdje autorizirani korisnik naknadno poriče da je autorizirao određenu transakciju (vidi također 5. načelo).
16
• Baze podataka za provjeru identiteta koje omogućuju pristup računima klijenata u e-bankarstvu ili osjetljivi sustavi zaštićeni su od namještanja ili iskrivljavanja. Svako takvo namještanje trebalo bi biti moguće otkriti te bi trebali postojati pisani revizijski tragovi za dokumentiranje takvih pokušaja.
• Provjereni izvor valjano autorizira svako dodavanje, brisanje ili promjenu sustava ili baze podataka za provjeru identiteta od strane pojedinca, agenta ili sustava.26
• Postoje odgovarajuće mjere za kontrolu veze sustava e-bankarstva tako da nepoznate treće strane ne mogu zamijeniti poznate klijente.
• Provjerena sesija e-bankarstva ostaje zaštićena tijekom cjelokupnog trajanja povezanosti ili, u slučaju prekida sigurnosti, nova sesija zahtijevala bi ponovnu provjeru identiteta.
5. načelo: Banke bi se trebale koristiti metodama provjere autentičnosti transakcije koje promiču neporicanje te uspostavljaju odgovornost za transakcije e-bankarstva. Neporicanje uključuje stvaranje dokaza o podrijetlu ili dostavljanju elektroničkih informacija koje štite pošiljatelja od lažnog poricanja od strane primatelja da su podaci primljeni, odnosno koje štite primatelja od lažnog poricanja od strane pošiljatelja da su podaci poslani. Rizik poricanja transakcije već postoji kod tradicionalnih transakcija, kao što su transakcije uz pomoć kreditnih kartica ili transakcije s vrijednosnim papirima. Međutim, e-bankarstvo povećava taj rizik zbog poteškoća pozitivnog utvrđivanja identiteta i nadležnosti strana koje započinju transakcije, zbog mogućnosti mijenjanja ili otimanja elektroničkih transakcija te mogućnosti tvrdnje korisnika e-bankarstva da su transakcije prijevarom izmijenjene. Kako bi se ublažili ti povećani rizici, banke se moraju u određenoj mjeri, ovisno o važnosti i vrsti transakcija e-bankarstva, potruditi da osiguraju sljedeće: • Sustavi e-bankarstva trebaju biti strukturirani tako da smanjuju vjerojatnost da će
ovlašteni korisnici započeti nenamjeravanu transakciju te tako da klijenti u potpunosti razumiju rizike povezane s bilo kojom transakcijom koju započinju.
• Za sve strane uključene u transakciju trebao bi biti sa sigurnošću utvrđen identitet, a provjereni kanali trebali bi se držati pod kontrolom.
• Podaci o financijskoj transakciji trebali bi biti zaštićeni od izmjene, a svaku izmjenu trebalo bi biti moguće utvrditi.
Bankovne su se organizacije počele koristiti različitim tehnikama koje pomažu da se ostvari neporicanje, te da se osigura povjerljivost i vjerodostojnost transakcija e-bankarstva, kao što su digitalne potvrde koje se koriste infrastrukturom javnog ključa.27 Banka može izdati digitalnu potvrdu klijentu ili drugoj ugovornoj strani kako bi omogućila njihovu jedinstvenu identifikaciju/provjeru identiteta i smanjila rizik poricanja transakcije. Iako je u nekim državama pravo klijenta na nijekanje transakcija zajamčeno posebnim zakonskim odredbama, u određenim državama donesena je regulativa koja omogućuje pravno prihvaćanje digitalnog potpisa. Kako se tehnologija nastavlja razvijati, vjerojatno je šire globalno prihvaćanje takvih tehnika.
26 U nekim slučajevima provjereni izvor može biti elektronički izvor. 27 U infrastrukturi javnog ključa svaka strana ima par ključeva: jedan privatni i jedan javni ključ. Privatni ključ je tajni, tako da ga upotrebljava samo jedna osoba. Sve se strane koriste javnim ključem. Privatnim ključem stvara se elektronički potpis na dokumentu, a parovi ključeva napravljeni su tako da je poruku šifriranu privatnim ključem moguće pročitati samo korištenjem drugog ključa. Banka može djelovati kao samostalno tijelo za izdavanje potvrda ili se može osloniti na neku drugu provjerenu treću stranu koja će povezati osobu ili subjekt s digitalnom potvrdom. Međutim, ako se banka za utvrđivanje identiteta želi osloniti na digitalnu potvrdu treće strane, ona mora utvrditi da je tijelo za izdavanje potvrda, prilikom izdavanja potvrde, koristilo istu razinu provjere identiteta koju bi i banka koristila za utvrđivanje identiteta osobe. Glavni nedostatak sustava provjere identiteta pomoću infrastrukture javnog ključa jest da je provedba toga sustava složena.
17
6. načelo: Banke bi trebale osigurati postojanje odgovarajućih mjera za promicanje adekvatnog razdvajanja dužnosti unutar sustava e-bankarstva, baza podataka i aplikacija. Razdvajanje dužnosti osnovna je mjera interne kontrole kojoj je svrha smanjivanje rizika prijevare u operativnim procesima i sustavima, te osiguravanje ispravne autorizacije, knjiženja i zaštite transakcija i imovine poduzeća. Razdvajanje dužnosti važno je za postizanje točnosti i vjerodostojnosti podataka i koristi se za sprječavanje prijevare od strane pojedinca. Ako su dužnosti adekvatno raspodijeljene, prijevaru je moguće počiniti samo u međusobnom dosluhu pojedinaca. Usluge e-bankarstva mogu zahtijevati modificiranje načina na koji se uspostavlja i održava razdvajanje dužnosti, s obzirom da se transakcije odvijaju preko elektroničkih sustava gdje se identiteti mogu lakše prikriti ili lažirati. Osim toga, operativne i transakcijske funkcije u mnogim slučajevima postale su uže i integrirane u aplikacije e-bankarstva. Stoga je potrebno preispitati kontrole koje su tradicionalno potrebne za održavanje podjele dužnosti te ih prilagoditi kako bi se osigurala odgovarajuća razina kontrole. Budući da je loše zaštićenim bazama podataka moguće lakše pristupiti preko internih ili eksternih mreža, potrebno je naglasiti važnost strogih postupaka autorizacije i identifikacije, sigurne i zdrave strukture izravnih obrada te adekvatnih pisanih revizijskih tragova. Opće prakse koje se koriste za uspostavljanje i održavanje podjele dužnosti unutar okružja e-bankarstva uključuju sljedeće: • Transakcijski procesi i sustavi trebali bi biti strukturirani tako da jedan te isti
zaposlenik/eksterni pružatelj usluga ne može pristupiti, autorizirati i dovršiti transakciju. • Podjelu dužnosti trebalo bi održavati između onih koji iniciraju statične podatke
(uključujući sadržaj web-stranice) i onih koji su odgovorni za provjeru njihova integriteta. • Sustavi e-bankarstva trebali bi se testirati tako da se osigura nemogućnost zaobilaženja
podjele dužnosti. • Podjelu treba održavati između onih koji razvijaju i onih koji upravljaju sustavima e-
bankarstva.28 7. načelo: Banke bi trebale osigurati postojanje odgovarajućih kontrola autorizacije i prava pristupa za sustave e-bankarstva, baze podataka i aplikacije. Da bi očuvale podjelu dužnosti, banke moraju strogo kontrolirati autorizaciju i pravo pristupa. Ako se ne osigura adekvatna kontrola autorizacije, pojedinci bi mogli izmijeniti svoja ovlaštenja, zaobići podjelu dužnosti i steći pristup sustavima e-bankarstva, bazama podataka i aplikacijama na koji nemaju pravo. U sustavima e-bankarstva, autorizacije i prava pristupa mogu se uspostaviti ili na centralizirani ili na distribuirani način unutar banke i najčešće se pohranjuju u bazama podataka. Zaštita tih baza podataka od namještanja ili iskrivljavanja stoga je nužna za djelotvornu kontrolu autorizacije. U Dodatku III. navodi se nekoliko dobrih praksa koje pomažu u uspostavljanju odgovarajuće kontrole nad autorizacijom i pravima pristupa sustavima e-bankarstva, bazama podataka i aplikacijama. 8. načelo: Banke bi trebale osigurati postojanje odgovarajućih mjera zaštite vjerodostojnosti podataka o transakcijama e-bankarstva, dokumentaciji i informacijama. Vjerodostojnost podataka odnosi se na osiguranje da informacija koja se prenosi ili koja je pohranjena ne bude izmijenjena bez autorizacije. Neočuvanje vjerodostojnosti podataka o
28 Ili trebaju postojati naizmjenične ublažavajuće kontrole.
18
transakcijama, dokumentaciji i informacijama može izložiti banku financijskim gubicima, kao i značajnom pravnom i reputacijskom riziku. Izravna obrada naloga u e-bankarstvu može otežati otkrivanje programskih pogrešaka ili prijevarnih radnji u ranoj fazi. Stoga je važno da banke uvedu izravnu obradu na način koji osigurava sigurnost i vjerodostojnost podataka. Budući da se e-bankarstvo obavlja preko javnih mreža, transakcije su izložene dodatnom riziku iskrivljavanja podataka, prijevare i lažiranja dokumentacije. U skladu s time, banke bi trebale osigurati postojanje odgovarajućih mjera za postizanje točnosti, potpunosti i pouzdanosti transakcija e-bankarstva, dokumentacije i informacija koje se prenose preko interneta, ostaju u internim bazama podataka banke ili ih prenose/pohranjuju pružatelji usluga treće strane u ime banke.29 Opće prakse koje se koriste za očuvanje integriteta podataka unutar okružja e-bankarstva uključuju sljedeće: • Transakcije e-bankarstva potrebno je provoditi tako da budu u velikoj mjeri otporne na
iskrivljavanje tijekom cijele obrade. • Dokumentaciju vezanu uz e-bankarstvo trebalo bi pohraniti, pristupati joj i modificirati je
tako da bude u velikoj mjeri otporna na iskrivljavanje. • Transakcije e-bankarstva i postupci vođenja dokumentacije trebali bi biti strukturirani tako
da bude gotovo nemoguće zaobići otkrivanje neautoriziranih promjena. • Trebaju postojati adekvatne politike kontrole promjena, uključujući postupke praćenja i
testiranja, u svrhu zaštite od bilo kakvih promjena u sustavu e-bankarstva koje mogu pogrešno ili nenamjerno dovesti u pitanje kontrole ili pouzdanost podataka.
• Bilo kakvo iskrivljavanje transakcija e-bankarstva ili dokumentacije trebalo bi otkriti pomoću funkcija obrade transakcija, praćenja i vođenja dokumentacije.
9. načelo: Banke bi trebale osigurati postojanje jasnih pisanih revizijskih tragova za sve transakcije e-bankarstva. Pružanje financijskih usluga preko interneta može bankama otežati primjenu i provedbu internih kontrola i održavanje jasnih pisanih revizijskih tragova ako se te mjere ne budu prilagođavale okružju e-bankarstva. Pred bankama je izazov da osiguraju ne samo provođenje djelotvornih internih kontrola u visokoautomatiziranom okružju već i neovisnu reviziju tih kontrola, posebno za sve ključne događaje i aplikacije e-bankarstva. Okružje interne kontrole banke može biti oslabljeno ako ona ne može očuvati jasne pisane revizijske tragove za svoje poslove e-bankarstva. To se događa zbog toga što je veliki dio, ako ne i sva dokumentacija i dokazi koji prate transakcije e-bankarstva u elektroničkom obliku. Pri određivanju gdje je potrebno očuvati jasne pisane revizijske tragove potrebno je uzeti u obzir sljedeće vrste transakcija e-bankarstva: • Otvaranje, promjene ili zatvaranje računa klijenta, • Svaka transakcija s financijskim posljedicama, • Svaka autorizacija koju dobije klijent za prekoračenje ograničenja, • Svako dodjeljivanje, modificiranje ili opoziv prava pristupa sustavima. U Dodatku IV. utvrđuje se nekoliko dobrih praksa koje pomažu osigurati postojanje jasnih pisanih revizijskih tragova za transakcije e-bankarstva. 10. načelo: Banke bi trebale poduzeti odgovarajuće mjere za očuvanje povjerljivosti ključnih informacija e-bankarstva. Mjere koje se poduzimaju za očuvanje povjerljivosti trebale bi odgovarati osjetljivosti informacija koje se prenose i/ili pohranjuju u bazama podataka. 29 Banke bi trebale osigurati da su sustavi za vođenje dokumentacije strukturirani i instalirani tako da omogućuju ponovno dobivanje dokumentacije koja je možda iskrivljena ili degradirana.
19
Povjerljivost je osiguranje da će ključne informacije banke ostati privatne, te da ih neće moći pregledavati ili koristiti neovlaštene osobe. Zloporaba ili neautorizirano objavljivanje podataka izlaže banku reputacijskom i pravnom riziku. Pojava e-bankarstva je dodatni izazov za sigurnost banke jer povećava rizik da će informacije koje se prenose preko javne mreže ili pohranjuju u bazama podataka biti dostupne neovlaštenim ili neprikladnim osobama ili iskorištene onako kako to klijent koji daje informacija nije namjeravao. Osim toga, povećano korištenje uslugama vanjskih pružatelja usluga može izložiti ključne bankovne podatke drugim stranama. Kako bi se odgovorilo na te izazove koji se tiču očuvanja povjerljivosti ključnih informacija e-bankarstva, banke moraju osigurati sljedeće: • da svi povjerljivi bankovni podaci budu dostupni samo pojedincima, agentima ili
sustavima koji su prošli propisanu autorizaciju i provjeru identiteta, • da se svi povjerljivi bankovni podaci čuvaju na siguran način i da budu zaštićeni od
neautoriziranog pregledavanja i modificiranja tijekom prijenosa preko javnih, privatnih ili internih mreža,
• da se standardi i kontrole banke za korištenje i zaštitu podataka poštuju kada treće strane imaju pristup podacima na osnovi eksternalizacije poslovanja,
• da se svaki pristup podacima do kojih je pristup ograničen bilježi te da se ulaže odgovarajući napor kako bi se postiglo da ti zapisi budu otporni na iskrivljavanja.
C Upravljanje pravnim i reputacijskim rizikom (11. do 14. načela) Posebna zaštita klijenata, te propisi i zakoni koji se odnose na privatnost razlikuju se od države do države. Međutim, banke općenito imaju jasnu odgovornost osigurati svojim klijentima određenu razinu sigurnosti što se tiče objavljivanja informacija, zaštite podataka o klijentu i njihove raspoloživosti u poslovanju, koja odgovara razini koju bi oni imali da poslove obavljaju preko tradicionalnih bankovnih distribucijskih kanala. 11. načelo: Banke bi trebale osigurati adekvatne informacije na svojim web-stranicama koje će omogućiti potencijalnim klijentima donošenje utemeljenog zaključka o identitetu banke i regulatornom statusu banke prije upuštanja u transakcije e-bankarstva. Da bi se minimalizirao pravni i reputacijski rizik povezan s poslovima e-bankarstva koji se obavljaju u zemlji i inozemstvu, banke bi trebale osigurati pružanje adekvatnih informacija na svojim web-stranicama koje bi omogućile klijentima donošenje utemeljenih zaključaka o identitetu i regulatornom statusu banke prije nego što se oni upuste u transakcije e-bankarstva. Među takvim informacijama koje bi banke mogle objavljivati na svojim web-stranicama su: • ime banke i lokacija njezina sjedišta (te lokalnih poslovnica ako je to potrebno), • identitet glavnoga nadzornog tijela banke, odgovornog za nadzor nad sjedištem banke, • način na koji klijenti mogu kontaktirati s bankinom službom za korisnike što se tiče
problema vezanih uz usluge, pritužbi, sumnja na zloporabu računa i dr., • način na koji klijenti mogu pristupiti ombudsmanu ili tijelu koje se bavi zaštitom potrošača
i koristiti se njihovim uslugama, • način na koji klijenti mogu ostvariti pristup informacijama o nacionalnim kompenzacijama
koje se primjenjuju ili o programu osiguranja depozita te o razini zaštite koju oni mogu pružiti (ili putokazi na web-stranice koje pružaju takve informacije),
• ostale informacije koje mogu biti korisne ili koje zahtijevaju određene države.30 30 Na primjer, banka možda želi odrediti države u kojima namjerava pružati usluge e-bankarstva, odnosno one države u kojima ne namjerava pružati takve usluge.
20
12. načelo: Banke bi trebale poduzeti odgovarajuće mjere za osiguranje usklađenosti sa zahtjevima za poštivanje privatnosti klijenata, primjenljivim u državama u kojima banka pruža proizvode i usluge e-bankarstva. Očuvanje povjerljivosti informacija o klijentu ključna je odgovornost banke. Zloporaba ili neautorizirano objavljivanje povjerljivih podataka o klijentu izlaže banku pravnom i reputacijskom riziku. Da bi odgovorile na te izazove koji se tiču očuvanja povjerljivosti informacija o klijentu, banke bi trebale uložiti adekvatne napore kako bi osigurale sljedeće: • Bankovne politike i standardi koji se odnose na privatnost klijenta trebale bi biti usklađene
su sa svim propisima i zakonima o privatnosti koji se primjenjuju u državama u kojima banka pruža proizvode i usluge e-bankarstva,
• Klijenti bi trebali biti upoznati s bankovnim politikama koje se odnose na privatnost i relevantnim pitanjima vezanim uz privatnost što se tiče korištenja proizvoda i usluga e-bankarstva,
• Klijenti bi trebali moći odbiti (povući) dopuštenje banci da dijeli s trećom stranom sve informacije o klijentovim osobnim potrebama, interesima, financijskom položaju ili bankovnom poslovanju u svrhu prodaje odnosa s klijentima drugim stranama,
• Podaci o klijentima ne bi se smjeli koristiti, osim u posebno dopuštene svrhe i ako su klijenti autorizirali njihovo korištenje31,
• Standardi banke za uporabu podataka o klijentu moraju se poštivati i onda kada treće strane imaju pristup podacima o klijentu na osnovi eksternalizacije poslovanja.
U Dodatku V. navodi se nekoliko dobrih praksa koje pomažu u očuvanju povjerljivosti informacija o klijentu u e-bankarstvu. 13. načelo: Banke bi trebale imati odgovarajući kapacitet, poslovni kontinuitet i planiranje za slučaj nepredviđenih okolnosti kako bi osigurale raspoloživost sustava i usluga u e-bankarstvu. Kako bi se banke zaštitile od poslovnoga, pravnoga i reputacijskog rizika, usluge e-bankarstva moraju pružati dosljedno i pravodobno u skladu s očekivanjima klijenata. Da bi se to postiglo, banka mora biti sposobna pružati usluge e-bankarstva krajnjim korisnicima iz primarnih izvora (npr. interni bankovni sustavi i aplikacije) ili sekundarnih izvora (npr. sustavi i aplikacije pružatelja usluga). Održavanje adekvatne raspoloživosti također ovisi o sposobnosti rezervnih sustava u slučaju nepredviđenih okolnosti za ublažavanje "napada" na usluge ili ostalih događaja koji bi mogli izazvati poremećaje u poslovanju. Izazov održavanja kontinuirane raspoloživosti sustava i aplikacija e-bankarstva može biti značajan s obzirom na mogućnost velike potražnje za transakcijama, posebno u najaktivnijim razdobljima. Osim toga, visoka očekivanja klijenata što se tiče kratkog vremena ciklusa obrade transakcija i stalne raspoloživosti (24 sata na dan X 7 dana u tjednu) također su povećala važnost adekvatnoga kapaciteta, poslovnoga kontinuiteta i planiranja za slučaj nepredviđenih okolnosti. Kako bi klijentima omogućile kontinuitet usluga e-bankarstva koji oni očekuju, banke trebaju osigurati sljedeće: • da se trenutačni kapacitet sustava e-bankarstva i buduća skalarnost analiziraju u svjetlu
sveukupne tržišne dinamike za e-trgovinu i predviđene stope prihvaćanja proizvoda i usluga e-bankarstva od strane klijenata32,
31 U nekim državama zakoni i propisi ne obvezuju banke da traže od klijenata dopuštenje za korištenje podataka o njima u interne svrhe. Međutim, oni mogu obvezivati banke da klijentima pruže mogućnost odbijanja davanja dopuštenja banci da dijeli takve informacije s trećom stranom ili s povezanim društvom. U drugim pak državama klijenti mogu imati pravo spriječiti banke da se koriste njihovim podacima bilo u interne bilo u eksterne svrhe. 32 Trebalo bi kontinuirano procjenjivati trenutačni i budući kapacitet ključnih distribucijskih sustava e-bankarstva.
21
• da se uvedu procjene kapaciteta obrade transakcija u e-bankarstvu, te da se provede njegovo testiranje na stres i povremeno ponovno preispituje,
• da postoje odgovarajući planovi za poslovni kontinuitet i slučaj nepredviđenih okolnosti za ključne sustave obrade i distribucije te se oni redovito testiraju.
U Dodatku VI. navodi se nekoliko dobrih praksa za kapacitet, poslovni kontinuitet i planiranje za slučaj nepredviđenih okolnosti. 14. načelo: Banke bi trebale izraditi odgovarajuće planove za incidentne slučajeve kako bi upravljale, riješile ili minimizirale probleme koji nastaju zbog neočekivanih događaja, uključujući interne i eksterne prodore u sustav koji mogu spriječiti pružanje usluga e-bankarstva. Djelotvorni mehanizmi za incidentne slučajeve važni su za minimiziranje operativnoga, pravnoga i reputacijskog rizika koji se javlja zbog neočekivanih događaja, kao što su interni ili eksterni prodori u sustav koji mogu utjecati na pružanje usluga e-bankarstva. Banke bi trebale izraditi odgovarajuće planove za incidentne slučajeve, uključujući komunikacijsku strategiju, koji omogućuju poslovni kontinuitet, kontroliraju reputacijski rizik, te ograničavaju odgovornost povezanu s poremećajima u njihovim uslugama e-bankarstva, uključujući one koji nastaju na osnovi eksternalizacije sustava ili poslova. Kako bi osigurale efikasno djelovanje u slučaju nepredviđenih incidenata, banke moraju izraditi sljedeće: • Planove za incidentne slučajeve da bi omogućile oporavak sustava i usluga e-bankarstva
u okviru različitih scenarija, poslovnih i geografskih lokacija. Analiza scenarija trebala bi obuhvatiti razmatranje vjerojatnosti pojave rizika i njegova učinka na banku. Sustavi e-bankarstva koji su eksternalizirani pružateljima usluga treće strane trebali bi biti sastavni dio tih planova.
• Mehanizme za utvrđivanje incidentnog slučaja ili krize čim se ona pojavi, procjenu njihove značajnosti i kontrolu reputacijskog rizika povezanog s bilo kakvim poremećajem u pružanju usluga33
• Komunikacijsku strategiju za adekvatno rješavanje pitanja vezanih uz vanjsko tržište i medije koja se mogu pojaviti u slučaju narušavanja sigurnosti, izravnih prodora u sustav i/ili pada sustava e-bankarstva
• Jasan proces za uzbunjivanje odgovarajućih regulatornih tijela u slučaju da dođe do značajnog narušavanja sigurnosti ili poremećaja
• Timove za incidentne slučajeve ovlaštene da djeluju u hitnim slučajevima i dovoljno kvalificirane za analizu sustava otkrivanja incidenta/djelovanja u slučaju incidenta te tumačenje važnosti odnosnog outputa
• Jasan zapovjedni lanac, koji obuhvaća interne i eksternalizirane poslove kako bi se osiguralo poduzimanje odgovarajućih hitnih mjera s obzirom na važnost incidentnog slučaja. Osim toga, potrebno je razviti i intenzivirati procedure interne komunikacije te uključiti izvješćivanje odbora, kada je to potrebno.
• Proces koji osigurava da sve relevantne eksterne strane, uključujući klijente banke, druge ugovorne strane i mediji, budu pravodobno i na odgovarajući način informirani o značajnim poremećajima u e-bankarstvu i nastavku poslovanja
• Proces za prikupljanje i čuvanje forenzičnih dokaza koji olakšavaju odgovarajuća naknadna preispitivanja svih incidentnih slučajeva u e-bankarstvu te pomažu u krivičnom gonjenju počinitelja.
33 Praćenje službe za pomoć i poslova podrške klijentima, te redovito preispitivanje pritužbi klijenata može pomoći u utvrđivanju nesuglasja između informacija koje su otkrivene i prijavljene putem uspostavljenih kontrola sigurnosti u odnosu na stvarne aktivnosti ometanja.
22
Dodatak I.
Dobre prakse kontrole sigurnosti u elektroničkom bankarstvu 1. Trebalo bi izraditi i održavati profile sigurnosti, te dodijeliti posebna prava za autorizaciju
svim korisnicima sustava i aplikacija e-bankarstva, uključujući sve klijente, interne bankovne korisnike i eksternalizirane pružatelje usluga. Također bi trebalo uvesti kontrole logičkog pristupa kako bi se podržala ispravna podjela dužnosti.34
2. Podaci i sustavi vezani uz e-bankarstvo trebali bi biti klasificirani prema njihovoj
osjetljivosti i važnosti, te u skladu s time zaštićeni. Odgovarajući mehanizmi, kao što su šifriranje, kontrola pristupa i planovi ponovnog dobivanja podataka, trebali bi se koristiti za zaštitu svih osjetljivih i visokorizičnih sustava e-bankarstva, poslužitelja, baza podataka i aplikacija.
3. Pohranu osjetljivih ili visokorizičnih podataka u sustavima stolnih i prijenosnih računala
trebalo bi minimizirati i odgovarajuće zaštititi šifriranjem, kontrolom pristupa i planovima ponovnog dobivanja podataka.
4. Trebala bi postojati dostatna fizička kontrola koja bi mogla spriječiti neautorizirani
pristup35 svim ključnim sustavima e-bankarstva, poslužiteljima, bazama podataka i aplikacijama.
5. Potrebno je služiti se odgovarajućim tehnikama za ublažavanje eksternih prijetnji za
sustave e-bankarstva, uključujući korištenje:
• Softvera koji skenira viruse na svim ključnim mjestima ulaska (npr. poslužitelji s daljinskim pristupom, proxy poslužitelj za elektroničku poštu) te na svakom sustavu stolnog računala,
• Softvera za otkrivanje uljeza i ostalih alata za procjenu sigurnosti kako bi se povremeno ispitala mreža, poslužitelji i sigurnosni programi (tzv. vatreni zidovi) za slučaj nedostataka i/ili narušavanja sigurnosnih politika i kontrola,
• Testiranja mogućnosti prodora u interne i eksterne mreže. 6. Trebalo bi primjenjivati stroge postupke preispitivanja sigurnosti na sve zaposlenike i
pružatelje usluga koji imaju osjetljivu funkciju.
34 Definicije standarda sigurnosti i kvalitete te oslanjanje na izdavanje potvrda mogu biti specifične za određenu instituciju ili pak standardizirane (npr. unutar nacionalnoga bankovnog sustava da bi se unaprijedila i njegovala razina sigurnosti poslova e-bankarstva). Banke isto tako mogu odlučiti uspostaviti prava pristupa na centralizirani ili distribuirani način. Na primjer, može postojati jedinstveno autorizacijsko tijelo odgovorno za određivanje prava pristupa za posebne subjekte, grupe ili funkcije unutar banke, ili može postojati nekoliko autorizacijskih tijela osnovanih za rješavanje raznih potreba unutar različitih poslovnih linija. 35 To bi trebalo obuhvaćati kontrole koje štite od neautoriziranog pristupa eksternih strana kao što su posjetitelji, vanjski suradnici ili tehničari, koji mogu imati pristup prostorijama iako možda nisu izravno uključeni u usluge e-bankarstva.
23
Dodatak II.
Dobre prakse upravljanja eksternaliziranim sustavima i uslugama u e-bankarstvu
1. Banke bi trebale razraditi odgovarajuće postupke za procjenu odluka o eksternaliziranju
sustava ili usluga e-bankarstva.
• Menadžment banke trebao bi jasno utvrditi stratešku svrhu, koristi i troškove povezane s upuštanjem u aranžmane eksternaliziranja s trećim stranama u e-bankarstvu.
• Odluka o eksternaliziranju ključnih funkcija ili usluga e-bankarstva trebala bi biti u skladu s poslovnom strategijom banke, utemeljena na jasno definiranim poslovnim potrebama te uzimati u obzir posebne rizike koje uključuje eksternaliziranje.
• Potrebno je da svi relevantni dijelovi banke razumiju način na koji će pružatelji usluga podržavati bankinu strategiju e-bankarstva te kako će je uklopiti u svoju poslovnu strukturu.
2. Banke bi trebale provoditi odgovarajuću analizu rizika i temeljitu analizu poslovanja (due
diligence) prije odabira pružatelja usluga e-bankarstva te naknadno, u odgovarajućim vremenskim razmacima.
• Banke bi trebale razmotriti razradu postupka za dobivanje prijedloga od nekoliko
pružatelja usluga e-bankarstva, kao i kriterija odabira između različitih prijedloga. • Nakon što je utvrđen potencijalni pružatelj usluga, banka bi trebala provesti
odgovarajuću temeljitu analizu poslovanja pružatelja usluga, uključujući analizu rizika njegove poslovne snage, njegove reputacije, politika upravljanja rizikom i kontrola te sposobnosti ispunjavanja obveza.
• Nakon toga banke bi trebale redovito pratiti i, prema potrebi36, provoditi temeljitu analizu sposobnosti pružatelja usluga da ispunjavanja svoje obveze vezane uz usluge i upravljanje rizikom dok je ugovor na snazi.
• Potrebno je da banke osiguraju izdvajanje adekvatnih resursa za nadzor nad aranžmanima eksternalizacije koji podržavaju e-bankarstvo.
• Odgovornosti za nadzor nad aranžmanima eksternalizacije e-bankarstva trebale bi biti jasno raspodijeljene.
• Banke bi trebale pripremiti odgovarajuće izlazne strategije upravljanja rizicima koji bi mogli nastati u slučaju da ona morati prekinuti ugovore o eksternalizaciji.
3. Banke bi trebale razraditi odgovarajuće postupke kako bi osigurale adekvatnost ugovora
koji se odnose na e-bankarstvo. Ugovori koji reguliraju eksternaliziranje poslova e-bankarstva trebali bi se, primjerice, usmjeriti na sljedeće:37
• Ugovorne obveze svake strane, kao i odgovornosti za donošenje odluka, uključujući
svako podugovaranje značajnih usluga, trebali bi biti jasno definirani. • Odgovornosti za pružanje i primanje informacija od pružatelja usluga trebale bi biti
jasno definirane. Informacije od strane pružatelja usluga trebale bi biti pravodobne i dovoljno opsežne da bi banka mogla adekvatno ocijeniti razinu usluga i rizike. Trebali bi biti određeni pragovi vrijednosti koji signaliziraju poremećaje u uslugama, narušavanje sigurnosti i ostale događaje koji mogu biti značajan rizik za banku te postupci koje je potrebno koristiti za izvješćivanje banke o tome.
36 Opseg kontinuiranog provođenja temeljite analize poslovanja trebao bi se zasnivati na važnosti eksternaliziranih poslova i opsegu sustava ili promjena u upravljanju rizikom tijekom vremena, uključujući bilo kakve naknadne aranžmane podugovaranja u koje se može upustiti pružatelj usluga. 37 Kao i kod drugih ugovora koje banka zaključuje, njezin pravni savjetnik ili direkcija pravnih poslova trebali bi preispitati sve uvjete iz ugovora koji se odnose na aranžmane eksternalizacije e-bankarstva.
24
• Odredbe koje se posebno odnose na pokrivenost osiguranjem, vlasništvo nad podacima pohranjenim na poslužiteljima ili u bazama podataka pružatelja usluga, kao i pravo banke na ponovno dobivanje podataka nakon isteka ili prekida ugovora trebale bi biti jasno definirane.
• Treba definirati očekivanu uspješnost poslovanja, u normalnim i izvanrednim okolnostima.
• Treba definirati adekvatna sredstva i jamstva, na primjer u okviru klauzula o reviziji, kako bi se osiguralo da pružatelj usluga bude usklađen s politikama banke.
• Trebaju postojati odredbe o pravodobnim i redovitim intervencijama i ispravcima u slučaju poslovanja pružatelja usluga ispod standarda.
• Kod prekograničnih aranžmana eksternalizacije treba odrediti državu čiji se zakoni i propisi primjenjuju, uključujući propise koji se odnose na privatnost i drugu zaštitu klijenata.
• Treba eksplicitno definirati pravo banke da provodi neovisna preispitivanja i/ili revizije sigurnosti, interne kontrole i poslovnog kontinuiteta te planova za slučaj nepredviđenih okolnosti.
4. Banke bi trebale osigurati provođenje povremenih neovisnih internih i/ili eksternih revizija
eksternaliziranih poslova, barem u onoj mjeri koja bi se zahtijevala da se ti poslovi obavljaju unutar kuće.38
• Za eksternalizirane poslove koji uključuju ključne ili tehnološki složene
usluge/aplikacije e-bankarstva, banke mogu organizirati povremena preispitivanja od strane neovisnih trećih osoba koja imaju dovoljnu tehničku stručnost.
5. Banke bi trebale sastaviti odgovarajuće planove za slučaj nepredviđenih okolnosti za
eksternalizirane poslove e-bankarstva.
• Banke bi trebale izraditi i povremeno testirati svoje planove za slučaj nepredviđenih okolnosti za sve ključne sustave i usluge e-bankarstva koji su eksternalizirani trećim stranama.
• Planovi za slučaj nepredviđenih okolnosti trebali bi obuhvaćati vjerojatne scenarije najgorih slučajeva u svrhu osiguravanja kontinuiteta usluga e-bankarstva ako dođe do poremećaja koji utječu na eksternalizirane poslove.
• Banke bi trebale formirati tim odgovoran za upravljanje oporavkom i za procjenu financijskog učinka poremećaja u eksternaliziranim uslugama e-bankarstva.
6. Banke koje pružaju usluge e-bankarstva trećim stranama trebale bi osigurati da njihovi
poslovi, odgovornosti i obveze budu dovoljno jasni kako bi institucije kojima se pružaju usluge mogle adekvatno provoditi svoju vlastitu djelotvornu temeljitu analizu poslovanja, kao i kontinuirani nadzor nad eksternaliziranim poslovima.
• Banke su odgovorne dostavljati instituciji kojoj pružaju usluge informacije potrebne
za utvrđivanje, kontroliranje i praćenje svih rizika povezanih s aranžmanom usluga e-bankarstva.
38 U bankama koje nemaju posebnu funkciju revizije unutar kuće, zaposlenici koji nisu uključeni u upravljanje eksternaliziranim poslovima trebali bi preispitivati djelotvornost nadzora nad aranžmanima eksternalizacije.
25
Dodatak III.
Dobre prakse za autorizaciju u aplikacijama e-bankarstva 1. Posebna prava autorizacije i pristupa trebala bi biti dodijeljena svim pojedincima,
agentima ili sustavima koji obavljaju poslove e-bankarstva. 2. Svi sustavi e-bankarstva trebali bi biti izgrađeni tako da omogućuju interakciju s valjanom
bazom podataka za autorizaciju. 3. Ni jedan pojedinac, agent ili sustav ne bi trebali biti ovlašteni mijenjati svoje osobno pravo
autorizacije i pristupa bazi podataka za autorizaciju u e-bankarstvu.39 4. Svako dodavanje od strane pojedinca, agenata ili sustava, ili promjene u pravima pristupa
bazi podataka za autorizaciju u e-bankarstvu trebali bi biti valjano odobreni od strane provjerenog izvora koji je za to ovlastilo adekvatno tijelo, te koji podliježe nadzoru koji mora biti primjeren i pravodoban te praćen pisanim revizijskim tragovima.
5. Trebaju postojati odgovarajuće mjere kako bi baze podataka za autorizaciju u e-
bankarstvu bile dovoljno otporne na iskrivljavanja. Svako takvo iskrivljavanje trebalo bi biti moguće otkriti pomoću kontinuiranih procesa praćenja. Trebaju postojati dovoljni pisani revizijski tragovi za dokumentiranje bilo kojeg iskrivljavanja.
6. Svaka baza podataka za autorizaciju u e-bankarstvu koja je iskrivljena ne bi se trebala
koristiti dok se ne zamijeni valjanom bazom podataka. 7. Trebaju postojati kontrole za sprječavanje promjena u razini autorizacije tijekom sesija
transakcija u e-bankarstvu, a svi pokušaji mijenjanja autorizacije trebali bi biti zabilježeni i prijavljeni upravi.
39 Budući da to možda nije izvedivo za administratore sustava, potrebno je uvesti druge stroge interne kontrole i podjele dužnosti u svrhu praćenja aktivnosti po tim korisničkim računima.
26
Dodatak IV.
Dobre prakse za pisane revizijske tragove u sustavima e-bankarstva 1. Potrebno je čuvati dovoljno zapisa o svim transakcijama e-bankarstva kao pomoć u
uspostavi jasnih pisanih revizijskih tragova i rješavanju sporova. 2. Sustavi e-bankarstva trebali bi biti strukturirani i instalirani za bilježenje i čuvanje
forenzičnih dokaza tako da zadržavaju kontrolu nad dokazima, te sprječavaju iskrivljavanje podataka i prikupljanje lažnih dokaza.
3. U slučajevima kada su za sustave obrade i povezane pisane revizijske tragove zaduženi
pružatelji usluga treće strane:
• banka bi trebala osigurati da ima pristup relevantnim pisanim revizijskim tragovima koje čuva pružatelj usluga,
• pisani revizijski tragovi koje čuva pružatelj usluga trebali bi zadovoljavati standarde
banke.
27
Dodatak V.
Dobre prakse za pomoć u očuvanju povjerljivosti informacija o klijentu u e-bankarstvu
1. Banke bi trebale upotrebljavati adekvatne tehnike šifriranja, posebne protokole ili druge
kontrole sigurnosti kako bi osigurale povjerljivost podataka o klijentu koji se koristi njezinim uslugama e-bankarstva.
2. Banke bi trebale izraditi odgovarajuće postupke i kontrole za povremenu procjenu svoje
infrastrukture zaštite klijenta i protokola za e-bankarstvo. 3. Banke bi trebale osigurati da njihovi pružatelji usluga treće strane imaju politike
povjerljivosti podataka i zaštite privatnosti koje su u skladu s politikama banke. 4. Banke bi trebale poduzeti odgovarajuće mjere informiranja klijenata koji se koriste
njezinim uslugama e-bankarstva o povjerljivosti i privatnosti njihovih informacija. Te mjere mogu obuhvaćati:
• Informiranje klijenata o bankinoj politici zaštite privatnosti, ako je to moguće na web-
stranicama banke. U takvim izjavama jezik mora biti jasan i sažet kako bi se osiguralo da klijent u potpunosti razumije politiku zaštite privatnosti. Duge pravne opise, iako su precizni, većina klijenata vjerojatno neće pročitati.
• Davanje uputa klijentima o potrebi zaštite njihovih lozinki, osobnih identifikacijskih brojeva (PIN-ova) i ostalih bankovnih i/ili osobnih podataka.
• Pružanje informacija klijentima što se tiče opće sigurnosti njihovih osobnih računala, uključujući koristi od uporabe softvera za zaštitu od virusa, kontrola fizičkog pristupa te osobnih sigurnosnih programa (tzv. vatreni zidovi) za statičnu internetsku vezu.
28
Dodatak VI.
Dobre prakse za opseg, poslovni kontinuitet i planiranje za slučaj nepredviđenih okolnosti u e-bankarstvu
1. Sve usluge i aplikacije e-bankarstva, uključujući one koje pružaju pružatelji usluga treće
strane, potrebno je utvrditi i kritički procijeniti. 2. Potrebno je provesti procjenu rizika za svaku ključnu uslugu i aplikaciju e-bankarstva,
uključujući implikacije bilo kakvih poslovnih poremećaja vezanih za kreditni, tržišni, pravni, operativni i reputacijski rizik te rizik likvidnosti.
3. Potrebno je utvrditi kriterije uspješnosti za svaku ključnu uslugu i aplikaciju e-bankarstva
te je potrebno pratiti razinu usluga u odnosu na te kriterije. Potrebno je poduzeti odgovarajuće mjere kako bi se osiguralo da sustavi e-bankarstva budu sposobni funkcionirati uz mali ili veliki opseg transakcija, te da uspješnost i kapacitet budu u skladu s bankinim očekivanjima budućeg rasta e-bankarstva.
4. Treba razmotriti razvoj alternativne obrade za upravljanje potražnjom kada se čini da
sustavi e-bankarstva dostižu definirane kontrolne točke kapaciteta. 5. Potrebno je sastaviti planove za kontinuirano poslovanje u e-bankarstvu kako bi se uzelo
u obzir oslanjanje na pružatelje usluga treće strane, te bilo kakva ovisnost o vanjskim subjektima, koja je potrebna za postizanje oporavka.
6. Planovi za slučaj nepredviđenih okolnosti u e-bankarstvu trebali bi sadržavati postupke
obnavljanja ili zamjene kapaciteta obrade, rekonstrukcije popratnih informacija o transakcijama te obuhvaćati mjere koje je potrebno provesti da bi se ponovno omogućila raspoloživost ključnih sustava i aplikacija e-bankarstva u slučaju poremećaja u poslovanju.