Аналогичная ситуация, но связанная уже с компонентами правового риска, возможна, если функциональные характеристики СЭБ и поддерживающей ее БАС недостаточны для гарантированного обеспечения информационной безопасности. При этом просчеты нередки не только из-за того, что имеются неконтролируемые информационные сечения между теми или иными системами и подсистемами в кредитной организации или в ИКБД, но часто из-за того, что не прогнозировались ошибки, допускаемые клиентами.

Руководству кредитной организации, принимая решение о переходе к ДБО через открытые системы (в том числе — через Интернет), целесообразно, по сути, провести некоторые специализированные исследования, в том числе в части оценки зависимости этой организации от «третьих лиц», присутствующих в ИКБД, прежде всего от провайдеров разного рода. Организация отношений с ними также может относиться к стратегическим решениям, так как известно, скажем, немало примеров сетевых атак, ориентированных на финансовые учреждения, но осуществлявшихся через компьютерные системы других компаний. Такая атака типа «распределенный отказ в обслуживании»[46] имела место и в отношении уже упоминавшейся кредитной организации, причем обращение ее специалистов к провайдерам с просьбой помочь парировать ложный трафик нашли отклик далеко не у всех таких компаний. Те, кто отказался помочь, ссылались на контрактные обязательства, которые касались только обеспечения конкретных каналов (линий) связи, их пропускной способности, поддержки серверов и т. п., но не содействия в организации сетевой защиты и участия в ней. В итоге этой кредитной организации пришлось пересматривать, а точнее, строить заново свою «политику отношений» с провайдерами. Кстати, это до настоящего времени «больной» вопрос для многих кредитных организаций, особенно тех, кто работает в условиях недостаточно развитой региональной инфраструктуры и отсутствия конкуренции между различными провайдерами (но тем не менее берется за ДБО!).

Таким образом, возможны существенно различные сценарии возникновения угроз надежной банковской деятельности в части компонентов стратегического риска, связанных с применением ДБО, и такие сценарии целесообразно рассматривать, разрабатывая модели потенциальных угроз эффективной реализации ключевых решений, принимаемых руководством кредитной организации по направлению внедрения информационных технологий. Тем более принятию недостаточно продуманных руководящих решений в части перехода к ДБО должно препятствовать ТЭО (почему это в основном и важно). Впрочем, следует заметить, что разработка систем поддержки принятия решений или, как иногда говорят, информационных систем управления[47] пока не стала распространенной практикой в российском банковском секторе.

Причины, приводящие к возникновению компонентов операционного риска при ДБО, наиболее разнообразны по сравнению с другими видами банковских рисков. От них зависят возможные текущие и перспективные финансовые потери, обусловленные ошибками при выполнении банковских операций (что может привести к неправильной реализации учетных и расчетных процедур), мошенническими действиями в отношении кредитной организации (включая несанкционированные транзакции, хищения финансовых средств в электронной форме и пр.), нарушением непрерывности (доступности) и (или) переходом автоматизированных систем кредитной организации, используемых для осуществления банковской деятельности, в «нештатные» режимы функционирования (вследствие возможных аварий, отказов и сбоев оборудования как самой кредитной организации, так и ее провайдеров, в каналах связи и т. п., из-за чего возможны потери клиентских транзакций, данных и невыполнение ею обязательств перед своими клиентами). К этому же примыкают случаи несанкционированного сетевого доступа злоумышленников к информационно-процессинговым ресурсам кредитной организации.