Проверка на входе

ПО СТАТИСТИКЕ, НАИБОЛЕЕ АКТИВНЫЕ ПОЛЬЗОВАТЕЛИ СИСТЕМ «КЛИЕНТ-БАНК» — ПРЕДПРИЯТИЯ, ВЫНУЖДЕННЫЕ ОСУЩЕСТВЛЯТЬ ЗНАЧИТЕЛЬНЫЙ ОБЪЕМ РАСЧЕТНЫХ ОПЕРАЦИЙ, КОТОРЫЕ ОБЯЗАТЕЛЬНО СЛЕДУЕТ ПРОВЕСТИ В СЖАТЫЕ СРОКИ.

Что значит «значительный объем»? Средний оператор связи или региональная торговая сеть могут обрабатывать тысячи платежных поручений ежедневно. Проделать такую работу «руками» нереально. Так что в подобных случаях сервисы «клиент-банк» просто не имеют разумной альтернативы. Кстати, об автоматизации бухучета мы упомянули не зря. Среди ключевых требований к решениям «клиент-банк» — прозрачная интеграция с наиболее распространенными бухгалтерскими программами.

Главный козырь систем «клиент-банк» — экономия времени, а значит и денег. Как известно, рассчетно-кассовые узлы ЦБ РФ работают до 22:00. И чем ближе время «Ч», тем выше стоимость проводок для банков и, соответственно, для их клиентов. Не зря один из трендов в сегменте решений «клиент-банк» — повсеместная доработка созданных ранее программных средств, с тем чтобы обеспечить работу в пакетном режиме для отправки платежных поручений. Все платежки автоматически проверяются на полноту ввода данных, а затем «одним залпом» отправляются на сервер банка. Нередко такой пакет может содержать тысячу, а то и более поручений, подготовленных за несколько утренних часов.

Подобный метод общения с банками позволяет последним снижать тарифы. Как следствие, компании начинают экономить на обслуживании постоянных платежей. Растущая популярность дистанционных средств управления корпоративными финансами привела к тому, что многие финансово-кредитные учреждения продлевают операционный день. Хорошим тоном считается закрывать прием электронных платежных поручений за час до конца работы расчетно-кассового центра, чтобы успеть отследить проблемы, вызванные «человеческим фактором».

Другой критерий оценки сервисов «клиент-банк» — количество вводимых разработчиками изменений. Ведь совершенных программных продуктов не существует. Если же финансово-кредитное учреждение открывает на своем сайте еще и специальный форум, где сбором обратной связи занимаются авторы системы, — это уже «живая» система, имеющая все шансы на симпатии со стороны клиентов.

Наконец, еще один краеугольный камень — качество работы с криптографическими ключами. Как правило, для одобрения той или иной транзакции требуются две электронные подписи — главбуха и генерального или финансового директора. По оценкам топ-менеджеров многочисленных компаний, возможность оперативно отказаться от выпуска ключа (а также его отзыва или гибкой настройки временного пароля для подчиненных) — крайне важная функция. Прежде всего для гендиректора. У руководителя всегда должна быть возможность не только эмитировать, но и отзывать такие ключи непосредственно со своего рабочего компьютера, причем в течение нескольких секунд. В нынешней нестабильной ситуации, когда многие сотрудники лишь имитируют лояльность, а при первой возможности готовы «насолить» работодателю за антикризисные сокращения зарплат и иные «несправедливости», подобная защита — гарантия сохранности корпоративных финансов.

Специфический функционал

За последние годы популярность дистанционного взаимодействия с банками при помощи электронных систем заметно возросла. Не случайно, открыв счет в банке, компании теперь все чаще подключаются и к этому сервису.

— Впрочем, есть и исключения, — отмечает Дмитрий Пономарев, начальник управления развития технологий пассивных операций Промсвязьбанка. — Это компании, которые как раз не горят желанием работать с системами дистанционного обслуживания. Обычно это предприятия, руководство которых не готово принять риски выхода в Интернет для проведения финансовых операций. Такая ситуация может возникать как по причине «режимности» предприятия, так и вследствие отсутствия службы, способной этими рисками управлять. Но и таким клиентам удаленная связь с банком все же доступна: контакты с расчетным центром могут осуществляться по выделенному каналу связи с помощью весьма ограниченного числа рабочих станций. Либо по старинке, через телефонную сеть по модему. Между прочим, некоторых руководителей «старой школы» именно такой подход очень успокаивает.

Кроме высокой скорости обработки проводок, корпоративным потребителям в системах «клиент-банк» доступны и другие, весьма востребованные функции. В частности, возможность управлять счетами группы предприятий с определенного рабочего места. Другие важные опции — оперативное получение сводной информации по счетам как небольшими компаниями, так и целыми холдингами, быстрая и стандартизованная работа по договорам о перечислении зарплаты (для таких платежей создаются шаблоны, которые автоматически выполняются один или два раза в месяц). Разумеется, все документы из банка можно получать в электронном виде, причем они будут заверены при помощи электронной цифровой подписи, а для ведения «бумажного» архива достаточно распечатки. Ведь все необходимые печати и подписи наносятся в банке в электронной форме. Кроме того, во многих случаях с помощью систем «клиент-банк» можно в «горячем» режиме задействовать кредитный лимит предприятия — овердрафт.

Сегодня крупные банки предлагают своим корпоративным клиентам несколько вариантов автоматизированных систем дистанционного обслуживания, адресованных как небольшим, так и крупным компаниям. «Обычно все версии позволяют осуществлять электронный обмен документами для совершения операций по счетам в рублях и иностранной валюте, — говорит Оксана Панченко, руководитель дирекции обслуживания и финансирования корпоративных клиентов, член правления Райффайзенбанка, — а также поддерживают получение выписок. Есть и возможности для интеграции с внешними ERP-системами предприятий. Клиенты же делают выбор системы, исходя из структуры бизнеса, объемов платежей и дополнительных требований к функциональности. Что касается стоимости обслуживания, то в среднем по рынку для клиентов малого бизнеса использование системы «клиент-банк» целесообразно и экономически выгодно уже при объеме операций от 30 платежей в месяц. При этом нужно учитывать, что комиссия банка за исполнение расчетного документа, полученного на бумажном носителе, как правило, выше, чем для документа, обработанного системой дистанционного обслуживания. Кроме того, банки устанавливают более продолжительный операционный день для обработки клиентских поручений, полученных в системе «клиент-банк». Это, естественно, выгодно клиентам».

В целом функциональность подобных решений уже достаточно обширна. Финансово-кредитные учреждения прилагают максимум усилий, чтобы у сотрудников бухгалтерий предприятий любого уровня не возникало насущной необходимости регулярно появляться в банковском офисе.

— Системы «клиент-банк» будут развиваться всегда, — утверждает Дмитрий Пономарев (Промсвязьбанк). — Этот процесс не закончится никогда, доработка и улучшение сервиса будут осуществляться постоянно. Ведь как только появляется новый банковский продукт, для него сразу же прорабатывается возможность дистанционного управления.

Экономический эффект от использования систем «клиент-банк» можно подсчитать буквально на пальцах. Первое и главное преимущество, как уже говорилось, — скорость. В крупных городах на личный визит в отделение банка потребуется никак не меньше часа. Тем временем благодаря использованию систем «клиент-банк» достаточно создать платежный документ, проверить реквизиты и отправить в адрес финансового учреждения. На все про все — от трех до шести минут (в самых сложных случаях).

Автоматизация позволяет снизить и стоимость транзакций. Ведение счета обходится сегодня в 500-800 рублей (в среднем за месяц). А вот стоимость обработки банком каждого поступающего платежного поручения прямо зависит от избранного канала связи. Для «бумаги» — в среднем 30 рублей. Для электронного запроса — 10-15.

Специалисты Энерготрансбанка подсчитали: для небольших компаний, проводящих ежедневно всего пять платежей, приблизительная экономия в денежном выражении при использовании системы «клиент-банк» составляет около 3,6 тысячи рублей в месяц. Очевидно, что крупные компании получают куда более ощутимый выигрыш. Тем более, солидный клиент всегда может выторговать у банкиров льготные условия обслуживания.

Посмотрим, из чего складываются затраты, связанные с эксплуатацией электронных решений «клиент-банк». За подключение к системе и выдачу комплекта программного обеспечения для самостоятельной настройки и генерации пары основных электронных ключей (которые будут использоваться для визирования операций) в российских банках ныне редко просят больше 1,5 тысячи рублей. Согласно стандартным условиям, с которыми можно ознакомиться на сайте финансово-кредитного учреждения или в ближайшем отделении, столько же придется доплатить за каждое дополнительное рабочее место. Однако для достаточно крупных клиентов такая услуга чаще всего оказывается бесплатной.

Стандартная стоимость эксплуатации составляет, в целом по рынку, от 700 до 1 тысячи рублей в месяц. За эти деньги компания получает ежедневные выписки по счету, может рассчитывать на оперативное разрешение спорных ситуаций с оформлением платежей, консультации по телефону и электронной почте, а также получать регулярные обновления программного обеспечения. Разве что следует учитывать, что за дополнительные работы (перегенерацию электронной цифровой подписи, перенос системы на другой персональный компьютер, ликвидацию отказа в работе системы, вызванного действиями пользователя, и т. п.) придется доплачивать (обычно 1–1,5 тысячи рублей за разрешение каждого инцидента). Наконец, плата за выдачу специализированного ключа-носителя информации («E-Token», в USB-исполнении) составит около 3 тысяч рублей.

На фоне ожидаемой (и легко просчитываемой) экономии — вполне разумные траты.

Это не страшно

Почему в таком случае системы «клиент-банк» не используются всеми без исключения предприятиями? Судя по отзывам экспертов, предпринимателей нередко волнуют вопросы безопасности и угрозы, суть которых они зачастую даже не способны четко сформулировать. Таков эффект демонизации хакеров, предстающих в образе вездесущих злых гениев.

В действительности все куда проще, а система «клиент-банк» — вовсе не открытая настежь дверь, в которую может войти кто угодно.

— Предприятиям в России пора учиться грамотно и спокойно управлять рисками в сфере информационной безопасности, — призывает Дмитрий Пономарев (Промсвязьбанк). — Ведь с точки зрения внешних угроз даже список поставщиков и потребителей, который может быть украден из бухгалтерской системы предприятия, способен серьезно повлиять на бизнес. Системы «клиент-банк» существенно повышают эффективность работы финансовой службы любого предприятия, Необходимо лишь правильно использовать этот сервис.

«С технической точки зрения системы «клиент-банк» защищены достаточно хорошо, — утверждает Алексей Шевченко, руководитель направления инфраструктурных решений российского представительства Eset. — Подобные решения используют защищенные соединения и средства шифрования для передачи данных, а также электронную цифровую подпись для валидации полученных платежных поручений. Так что основная проблема — это не риск взлома, а безопасность клиентских рабочих мест и пресловутый человеческий фактор».

В итоге внешние угрозы, в основном, представлены вредоносным софтом, главной задачей которого является не «порча» данных на компьютере, а — похищение данных пользователя (ключей, реквизитов и т. п.). Например, распознав ссылку на веб-интерфейс «клиент-банка», шпионская программа может «подставить» пользователю фальшивую страницу, накапливая данные о его счете, искажать данные счетов получателя платежа, а также имитировать невозможность установления связи с сервером банка при «заметании следов». Однако с подобными угрозами бизнес уже научился справляться. Причем не только благодаря хитроумным брандмауэрам и антивирусным программам, но и на уровне регламентов.

Кроме того, системы «клиент-банк» уже достаточно интеллектуальны, чтобы обеспечить топ-менеджмент исчерпывающими отчетами и оповещениями. В итоге финансовая служба и генеральный директор компании получают возможность оперативно контролировать риски мошенничества (как «внешнего», так и — со стороны сотрудников предприятия). Проще говоря, высшее должностное лицо предприятия в любой момент может выяснить, какие именно платежные документы подписывает при помощи ЭЦП заместитель или финансовый директор.

— Во многих системах реализован механизм дополнительного визирования платежных документов, — напоминает Дмитрий Пономарев. — В этом случае документ попадает в банк лишь после подписания первой и второй электронной подписью, а также подтверждения третьим лицом (например, финдиректором холдинга. — Прим. ред.). В «бумажной» технологии такой контроль руководителю просто недоступен.

Большинство систем можно настроить и на обнаружение подозрительных платежей (например, свыше определенной суммы и т. п.), проведение которых будет возможно лишь после окончания процедур проверки. «Со своей стороны, — продолжает Дмитрий Пономарев, — банки постоянно вводят новые методы противодействия мошенникам в системах дистанционного обслуживания, — как технические, так и аналитические». В частности, широкое применение находят т. н. антифродовые системы, отслеживающие аномальную активность клиентов и «странные», с точки зрения системы, платежи. Такие транз­акции могут приостанавливаться до авторизации и подтверждения «голосом» со стороны ответственного сотрудника компании-клиента.

Как следствие, случаи взлома систем «клиент-банк» крайне редки. «Для мошенников гораздо проще с помощью компьютерного вируса либо украсть реквизиты входа в систему, либо поменять экран системы на поддельный (т. н. фишинг), — подчеркивает Дмитрий Пономарев. — Таким образом, если компания пренебрегает элементарными методами безопасности, никакая защита не спасет». Однако продолжающийся подъем на рынке информационной безопасности свидетельствует: российские компании продолжают инвестировать в электронную защиту. Сегодня это важнее, чем грозные охранники при входе в офис.

Внутренние же угрозы при использовании систем «клиент-банк», как уже отмечалось, почти полностью связаны с человеческим фактором. «Мошенничество самих сотрудников компании контролировать достаточно сложно, — признает Стефан Танасе, ведущий антивирусный эксперт «Лаборатории Касперского». — К примеру, один лишний ноль, добавленный к счету на оплату, сулит любой компании немалые проблемы. Причем это может быть как результатом невинной ошибки, так и — преднамеренных действий». Но и такие риски можно «залатать» при помощи технологий. Вот почему постоянное развитие защитного аналитического инструментария систем «клиент-банк» не останавливается.

Большинство громких случаев враждебного использования систем «клиент-банк» связано с банальной безответственностью. В теории лишь авторизованный сотрудник должен иметь право на проведение платежей. И это тот случай, когда пренебрегать правилами не следует. «Наличие двухуровневой процедуры подтверждения подлинности личности в системах «клиент-банк» сегодня даже не обсуждается, — говорит Стефан Танасе («Лаборатория Касперского»). — Ведь комбинацию логина и пароля могут перехватить кейлоггеры. Потому-то к процессу аутентификации обязательно добавляется второй уровень защиты, что снижает вероятность получения доступа к счету кого бы то ни было, кроме истинного владельца аккаунта».

В качестве второго эшелона обороны используются как раз упомянутые USB-токены, гарантирующие соответствующий заданный уровень безопасности проведения транзакций. А вот популярный в «гражданских» системах «интернет-банк» метод авторизации при помощи SMS постепенно теряет свою привлекательность. «Скепсис специалистов в сфере информбезопасности связан с тем, — объясняет Стефан Танасе, — что в настоящее время появились новые способы дешифрования GSM-трафика. К тому же, как показала практика американских криптографов, уже не сложно установить фальшивую базовую станцию и контролировать с ее помощью трафик телефона.

Развитие «наступательных вооружений» всегда сопровождается новациями в деле обороны. Именно так развиваются события в сегменте услуг «клиент-банк». Разработчикам пока удается сдерживать натиск злоумышленников. А учитывая экономические преимущества дистанционных контактов предприятий с финансово-кредитными учреждениями, есть все основания полагать: такого рода услуги обречены на широкое распространение.