Система угроз безопасности банка

Изучение видов преступных посягательств на безопасность банка является обязательной частью разработки мер защитного характера. Четкие представления о характере и видах указанных посягательств позволяют выстроить адекватную систему мер их выявления, предупреждения и расследования.

Системное описание угроз преступных посягательств (далее – угрозы), которым подвергается банк, призвано выявлять индивидуальные особенности каждой угрозы и давать полное описание возможных связей и отношений между угрозой и элементами структуры банка, подлежащими защите.

Основным результатом разработки системной характеристики банковских угроз является построение обобщенной модели, отображающей присущие угрозам специфические обстоятельства и взаимосвязи, которые могут проявиться в реальной ситуации[1].

Описание угроз следует начинать применительно к их связям с элементами структуры банка, в отношении которых возникает угроза. Основная опасность для банка заключается в угрозе потери (либо неполучения) имущества. Угроза потери имущества в своей крайней форме может привести к прекращению существования банка. В подавляющем большинстве случаев потеря имущества происходит в процессе осуществления банком своей уставной деятельности и непосредственно связана с нарушениями порядка функционирования банка. Такие нарушения следует рассматривать как угрозы порядку функционирования банка, которые являются промежуточными между потенциальной угрозой потери имущества и реализацией этой угрозы. С позиций описания причинной связи между "основной опасностью" и угрозой ее реализации они выступают в качестве "сопутствующих" либо "дополняющих" угроз.

Перечисленные выше элементы системной характеристики банковских угроз являются исходными и могут включать в себя по мере их "развертывания" практически все виды связей и отношений между потенциальными угрозами и реальными ситуациями, с которыми встречается банк.

Классификация угроз по отношению к банку и составляющим его структурным элементам позволяет выделить следующие существенные с точки зрения криминалистики виды угроз (в наиболее общем виде): угрозы имуществу и угрозы инфраструктуре (названные блоки структуры банка и составляющие элементы их подробно описаны в предыдущем параграфе). Особенности блоков и составляющих их элементов формируют специфические черты у других элементов характеристики безопасности банка (таких как "способ реализации угроз", "лица, причастные к реализации угроз", "последствия реализации угроз" и др.). Вполне очевидны, например, различия между механизмом реализации угроз, подвергающих опасности денежные средства банка, и механизмом реализации угроз в отношении деловой репутации либо порядка управления деятельностью банка. Специфические особенности механизма реализации угроз закономерно связаны с особенностями личностных и социальных характеристик субъектов, причастных к реализации угроз. Так, лица, причастные к угрозам в отношении порядка деятельности банка, порядка совершения банковских операций, как правило, являются сотрудниками банка (закономерная связь между спецификой объекта посягательства и особенностями лица, причастного к реализации угрозы). А субъекты, причастные к реализации, например, угроз в сфере ссудной (кредитной) деятельности банка, в большинстве случаев в штате банка не состоят, однако нередко обладают преступным опытом. Специфические особенности структурных элементов банковских угроз оказывают существенное влияние на характер мер, призванных обеспечивать защиту интересов банка. Иными словами, свойства структурных элементов банка являются определяющими как для способа реализации угроз, так и для разработки мер защиты банка.

Классификация угроз по отношению к видам деятельности банка. Представление об "угрозах деятельности банка" относится преимущественно к организации деятельности банка в целом, включая отдельные ее направления. С точки зрения организации защиты банка от угроз в виде преступных посягательств имеет значение разграничение его деятельности на "операционную", включающую совершение банковских операций, и "внеоперационную" – не связанную непосредственно с банковскими операциями.

Непосредственным предметом преступных посягательств на операционную деятельность является установленный специальными нормативными актами порядок совершения банковских операций и входящих в них направлений деятельности банка. Практика правоохранительной деятельности свидетельствует о том, что угрозам преступных посягательств в сфере операционной деятельности банка в большей или меньшей степени подвергается порядок осуществления практически всех выполняющихся банком операций.

Следует отметить, что конечной целью нарушений порядка совершения этих операций в подавляющем большинстве случаев является преступное завладение денежными средствами, которые используются в этих банковских операциях. От того, в каком виде банковской деятельности используются денежные средства (и в каких элементах структуры банковских активов они обособлены), зависят характер (способы совершения) и распространенность преступных посягательств на них.

Дальнейшая систематизация угроз операционной деятельности банка по степени распространения позволяет выявить группы посягательств на безопасность банка, объединенные в специфические подвиды, например: угрозы в сфере кредитной деятельности банка, угрозы в сфере расчетно-кассового обслуживания и др.

К числу подвидов операционной деятельности банка следует отнести не только сами банковские операции, но и деятельность по их непосредственному обеспечению (информационному, правовому, техническому, технологическому и т.д.). Угрозы, которым подвергается процесс обеспечения банковских операций, признаются отечественной и зарубежной наукой о банковском деле в качестве самостоятельных видов угроз и имеют собственные наименования. В их числе "угроза преступных посягательств в сфере правового обеспечения конкретных сделок"[2], "угроза преступных посягательств в сфере информационного обеспечения сделок", "угроза преступных посягательств в сфере технологического обеспечения банковских операций" и т.д. Каждый из них имеет свою внутреннюю структуру, которая по мере необходимости может быть детализирована.

Непосредственным предметом преступных посягательств на внеоперационную деятельность банка может служить порядок деятельности банка, выполняемой вне банковских операций, а также имущество и приравненные к нему объекты гражданских прав, которые используются в этой деятельности. Преступные посягательства в указанных случаях могут быть направлены против собственности банка (носить характер разбойных нападений, краж или уничтожения имущества банка, вымогательства) либо посягать на инфраструктуру банка (на порядок деятельности банка, его информационное и кадровое обеспечение, нематериальные блага, деловую репутацию и деловые связи банка с партнерами). Действия, связанные с реализацией внеоперационных угроз, в большинстве случаев совершаются посторонними по отношению к банку лицами. Однако участие сотрудников банка в подобного рода посягательствах на интересы банка полностью не исключается. Лица из числа персонала банка могут действовать в указанных случаях как самостоятельно, так и в соучастии с посторонними.

По мере детализации угроз до уровней правового описания появляются новые специфические основания для их классификации. При этом в зависимости от объекта посягательства и регулирующей отрасли права они приобретают качество преступлений, административных правонарушений и служебных проступков, посягающих на имущество и инфраструктуру (порядок функционирования) банка.

В соответствии с отраслями права, охраняющими объект посягательства, они могут быть представлены, как:

а) преступления, предусмотренные УК РФ, посягающие:

• на имущество банка (преступления против собственности): кража (ст. 158), мошенничество (ст. 159), присвоение или растрата (ст. 160), грабеж (ст. 161), разбой (ст. 162), вымогательство (ст. 163), хищение предметов, имеющих особую ценность (ст. 164), причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165), причинение ущерба путем умышленного уничтожения или повреждения имущества (ст. 167), причинение ущерба путем уничтожения или повреждения имущества по неосторожности (ст. 168);

• па инфраструктуру (порядок функционирования) банка: незаконное получение кредита (ст. 176), злостное уклонение от погашения кредиторской задолженности (ст. 177), незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183), неправомерный доступ к компьютерной информации (ст. 272), создание, использование и распространение вредоносных компьютерных программ (ст. 273), нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274), изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг (ст. 186), злоупотребление полномочиями (ст. 201), коммерческий подкуп (ст. 204);

б) правонарушения, предусмотренные КоАП РФ, в том числе посягающие:

• на имущество банка: уничтожение или повреждение чужого имущества, если эти действия не повлекли значительного ущерба (ст. 7.17), мелкое хищение (ст. 7.27);

• на инфраструктуру (порядок функционирования) банка: нарушение правил защиты информации (ст. 13.12), разглашение информации с ограниченным доступом (ст. 13.14), нарушение порядка представления статистической информации (ст. 13.19), незаконное получение кредита (ст. 14.11), воспрепятствование должностными лицами кредитной или иной финансовой организации осуществлению функций временной администрации (ст. 14.14), осуществление дисквалифицированным лицом деятельности по управлению юридическим лицом (ст. 14.23), нарушение порядка работы с денежной наличностью и порядка ведения кассовых операций, а также нарушение требований об использовании специальных банковских счетов (ст. 15.1), нарушение порядка открытия счета налогоплательщику (ст. 15.7), нарушение срока исполнения поручения о перечислении налога или сбора (взноса) (ст. 15.8), неисполнение банком решения о приостановлении операций по счетам налогоплательщика, плательщика сбора или налогового агента (ст. 15.9), неисполнение банком поручения государственного внебюджетного фонда (ст. 15.10), грубое нарушение правил ведения бухгалтерского учета и представления бухгалтерской отчетности (ст. 15.11), недобросовестная эмиссия ценных бумаг (ст. 15.17), неправомерное использование инсайдерской информации (ст. 15.21), нарушение законодательства о банках и банковской деятельности (ст. 15.26);

в) дисциплинарные проступки, предусмотренные ТК РФ, в том числе посягающие:

• на имущество банка: совершение по месту работы хищения (включая мелкое) чужого имущества, растраты, умышленного его уничтожения или повреждения, установленных вступившим в законную силу приговором суда или постановлением органа, уполномоченного на применение административных взысканий (подп. "г" п. 6 ст. 81);

• на инфраструктуру (порядок функционирования) банка: прогул (отсутствие на рабочем месте без уважительных причин более четырех часов подряд в течение рабочего дня) (подп. "а" п. 6 ч. 1 ст. 81), появление па работе в состоянии алкогольного, наркотического или иного токсического опьянения (подп. "б" п. 6 ч. 1 ст. 81), разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. "в" п. 6 ч. 1 ст. 81), совершение виновных действий работником, непосредственно обслуживающим денежные или товарные ценности, если эти действия дают основание для утраты доверия к нему со стороны работодателя (п. 7 ч. 1 ст. 81), принятие необоснованного решения руководителем организации (филиала, представительства), его заместителями и главным бухгалтером, повлекшего нарушение сохранности имущества, неправомерное его использование или иной ущерб имуществу организации (п. 9 ч. 1 ст. 81), однократное грубое нарушение руководителем организации (филиала, представительства), его заместителями своих трудовых обязанностей (п. 10 ч. 1 ст. 81), представление работником работодателю подложных документов или заведомо ложных сведений при заключении трудового договора (п. 11 ч. 1 ст. 81).

В целях разработки и реализации мер правовой, организационной и экономической защиты банка названные противоправные посягательства подвергаются дальнейшему структурированию в рамках криминалистических характеристик видов преступлений.

Классификация угроз по лицам, причастным к их реализации. На практике угроза банковской деятельности реализуется с участием конкретных лиц, имеющих то или иное отношение к банковской деятельности. Указание на наличие такой связи и описание ее особенностей служит важным элементом классификации угроз, имеющим существенное теоретическое и практическое значение. Использование сведений о свойствах личности субъектов, причастных к реализации банковских угроз, представляется наиболее перспективным направлением повышения эффективности выявления, предотвращения преступных посягательств на интересы банка, а также локализации их вредных последствий.

С точки зрения системного подхода категория "лица, причастные к реализации угроз" является самостоятельным элементом характеристики банковских угроз. Об этом свидетельствуют присущие данной категории лиц индивидуальные особенности, а также специфические связи и отношения с другими элементами названной характеристики.

Исходя из общих положений уголовного права и криминалистики, "лицо, причастное к реализации угроз", является одним из ведущих элементов описания события преступного посягательства. Его ОГЛАВЛЕНИЕ оказывает решающее влияние на правовую оценку события и характер мер по предупреждению потенциального или возмещению причиненного ущерба. Таким образом, сведения об элементе характеристики банковских угроз, условно названном "субъект угрозы", имеют существенное научное и практическое значение.

В самом общем виде информация о личности должна включать в себя сведения об отношении лица к банку (сотрудник или посторонний – "производственный признак"). Дальнейшее структурирование сведений об участниках банковских операций по производственному признаку выявляет практическую целесообразность разграничения на тех, кто входит в персонал банка, и на тех, кто не входит в число сотрудников банка, однако участвует в его операциях, связан с ним договорными отношениями (клиенты, контрагенты, корреспонденты), а также на тех, кто не имеет к банку никакого отношения (посторонние).

В свою очередь, исследование элемента "персонал банка" свидетельствует о практической значимости выделения в самостоятельные элементы структуры таких категорий персонала, как: руководство банка (лица, принимающие управленческие решения); лица, участвующие в выполнении банковских операций (средний персонал); лица, участвующие в технологическом обеспечении банковских операций: деятельности технических и программных средств обработки и передачи информации (технический персонал).

Из числа "субъектов угроз", не входящих в число сотрудников банка и не связанных с банком какими-либо отношениями, целесообразно выделить три основные категории. Это юридические лица (недобросовестные конкуренты, организации, собирающие информацию ограниченного доступа и совершающие другие действия, противоречащие интересам банка); физические лица (криминальные элементы) и неформальные группы (организованные преступные группы).

Классификация преступных посягательств по отношению субъекта к собственным действиям, создающим угрозу интересам банка. Практические потребности защиты банков порождают необходимость изучения особенностей отношения субъектов к собственным действиям, создающим угрозу банку. Описание отношения субъекта к собственным действиям, создающим угрозу деятельности банка, присутствует в науке о банковском деле, а также в методических и нормативных документах, посвященных банковской деятельности. Например, применяемый в методических и нормативных документах термин "ошибка" свидетельствует об отсутствии преступного умысла, а термин "мошенничество" – наоборот, об умышленном характере действий. Однако в качестве самостоятельного элемента описания банковских угроз (рисков) субъективное отношение причастных к ним лиц в науке о банковском деле не исследуется.

В то же время указанный элемент является весьма важным для решения задач уголовного судопроизводства и обеспечения потребностей криминалистики. Изучение свидетельствует об уголовно-правовой и криминалистической значимости выявления таких видов субъективного отношения лица к собственным действиям, как преступный умысел, неосторожность (легкомыслие или небрежность), невиновность.

Определенный практический интерес представляют мотивы и цель, которыми руководствовался субъект при совершении указанных выше действий. В наиболее общем виде мотивы могут быть сведены в три группы:

а) субъект действовал исходя из собственных интересов или интересов третьих лиц, не считаясь с интересами банка;

б) субъект руководствовался враждебными по отношению к банку мотивами;

в) субъект действовал в интересах банка (в том числе ложно понятых).

Цель, которой руководствовался субъект при совершении посягательств на интересы банка, с определенной долей точности находит свое отражение в последствиях реализованных угроз. Результатом посягательств на интересы банка чаще всего является причиненный ему имущественный ущерб. Результатом надо считать также и удовлетворение преступником каких-то своих потребностей, желаний, страстей, стремлений. Информация об этом указывает на путь, ведущий к преступнику, очерчивает круг подозреваемых.

В обобщенном виде цели преступных посягательств на интересы банка можно свести в две основные группы.

Первая – завладение имуществом (правом на имущество) банка с целью обращения его в свою собственность. Вторая – ограничение деятельности банка-конкурента либо его устранение с рынка финансовых услуг. Обе названные цели, как правило, достигаются поэтапно. Наиболее распространенными промежуточными целями являются снижение финансовых возможностей банка путем разрушения клиентских связей, срыва переговоров и сделок, распространения дезинформационных материалов порочащего характера, умышленного вовлечения в заведомо убыточные проекты. В более жестком варианте для устранения банка-конкурента с рынка финансовых услуг могут иметь место уничтожение его имущества, разрушение элементов инфраструктуры (в том числе путем противоправных посягательств на кадровый состав – угрозы, вымогательство, вербовка, внедрение, похищение; на оборудование, компьютерные сети, программы и т.п.).

Классификация преступных посягательств по степени тяжести последствий позволяет выявить следующие виды ущерба, причиненного безопасности банка:

• восполнимый ущерб – потери имущества и элементов инфраструктуры, которые банк может восполнить за счет собственных средств без угрозы своему существованию и без перевода банка во внештатный режим работы (финансовые потери, снижение доходности, обесценение активов или увеличение обязательств, недостижение установленных целевых ориентиров деятельности, ухудшение деловой репутации и разрушение деловых связей);

• условно восполнимый ущерб – потери имущества и управления, создающие угрозу существованию банка, которые он не может устранить без привлечения внешних средств. Эти последствия выражаются в неспособности банка исполнить требования федеральных законов, регулирующих банковскую деятельность, а также нормативных актов Банка России или удовлетворить требования кредиторов по денежным обязательствам и (или) исполнить обязанность по уплате обязательных платежей. Внешними инструментами восполнения потерь в данных случаях могут служить заемные финансовые средства, привлеченный для восстановления управления новый персонал (вплоть до введения внешнего управления), приобретение новых технических средств обеспечения банковских операций и т.д. Размеры внешнего заимствования не должны выходить за пределы, установленные законодательством и нормативными актами Банка России. В противном случае появляются основания для отзыва у заемщика лицензии на осуществление банковских операций. Для возмещения условно восполнимых потерь банк вынужден переходить на внештатный режим работы;

• невосполнимый (катастрофический) ущерб – потери имущества и инфраструктуры банка, возместить которые не представляется возможным, а его причинение влечет ликвидацию или реорганизацию банка.