Уже в начале 90-х годов кредитные организации начали понимать, что банковский бизнес малоэффективен и достаточно рискован без решения задач безопасности. Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, то есть вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов.
Столкнувшись с подобными проблемами, финансисты начали искать способы их разрешения за счет снижения информационных рисков. В результате появились первые системы защиты, разработанные и созданные банками в буквальном смысле слова «на коленке», то есть второпях, на ходу и собственными усилиями. Однако уже к концу 90-х, осознав важность проблемы, кредитные организации стали постепенно заменять свои устаревшие системы защиты информации (СЗИ) на современные. Построение такой СЗИ включает в себя целый комплекс мероприятий — от аудита банка в области информационной безопасности до создания межфилиальных систем защиты данных.
В 90% банков полностью автоматизированы все бизнес-процессы, однако далеко не все из них используют СЗИ. Многие банки откровенно недовольны ситуацией, сложившейся на этом рынке, сетуя на отсутствие разнообразных предложений, а также новых стандартов, методик и критериев оценки безопасности. Определенный процент кредитных институтов (не более 15%) склоняется к самостоятельной разработке СЗИ, остальные предпочитают совместные разработки либо обращаются за помощью к специалистам. Те создают для конкретного банка как отдельные модули безопасности (например, только по защите вкладов), так и комплексные системы.
Сами банкиры весьма неохотно говорят о своих успехах и проблемах в области обеспечения информационной безопасности, так как почти у каждого из них с ней связано несколько неприятных моментов. Тем не менее солидным кредитным организациям приходится тратить на СЗИ около 10% от своих годовых затрат.
Пароль один на всех. Один из способов защиты данных — разработка концепции прохождения и регистрации конфиденциальной информации. Здесь самое важное — определить максимально безопасные варианты обмена файлами. Информационные потоки требуется оптимизировать, выделить самые безопасные способы файлового обмена и обязать всех сотрудников использовать только их, а также разработать четкие правила работы по отделам и подразделениям банка. Ни для кого не секрет, что внутри банка информация курсирует различными способами: от переноса ее в распечатанном виде из кабинета в кабинет до пересылки по электронной почте. Как правило, пользователи не обращают никакого внимания на защиту информации, передают друг другу свои пароли, хранят данные в общедоступных директориях, открытых любому пользователю. Считается, что внутри банка информация как бы уже изначально защищена его стенами. «Это весьма распространенное заблуждение, — рассказал «Ф.» директор департамента систем информационной безопасности компании «Ланит» Игорь Ляпунов, — на самом же деле в этот период данные достаточно уязвимы, поскольку банк всегда является открытой системой и мошенникам совершенно незачем тратить деньги на дорогостоящее оборудование, если есть возможность взять со стола любого работника дискету с нужным файлом».
Поэтому при создании концепции информационной безопасности специалисты банка в первую очередь оценивают наличие ситуаций, при которых возможна утечка данных непосредственно с рабочего места специалиста, и стараются по возможности их минимизировать. Причем сами пользователи, как правило, очень активно пытаются избежать жестких рамок, в которые их загоняют дотошные «безопасники». Так, например, как рассказал «Ф.» один из банкиров, пожелавший остаться неназванным, в одно время у них в отделе бухгалтерского учета и отчетности вообще не было паролей, так как они мешали неопытным пользователям работать с компьютером. Поэтому необходимо следить за тем, чтобы правила информационной безопасности для рядовых сотрудников были удобными и понятными и не мешали им в выполнении своих прямых обязанностей. «Правила безопасности не должны вызывать отвращения у тех, кто должен их выполнять, — подтвердил источник, — иначе пользователи все равно рано или поздно найдут способ обойти запреты и тщательно спланированная система, на которую были потрачены большие деньги, будет давать сбои из-за халатности одного мелкого клерка».
Для защиты данных внутри банка используются системы идентификации пользователя, определяющие подлинность его личности и наличие прав доступа к конкретной информации. Здесь используются различные пароли, позволяющие входить в локальную сеть банка. Они могут выбираться самим пользователем, присваиваться ему администратором безопасности или самой системой защиты информации. Кроме того, существуют различного рода устройства идентификации, например «таблетки», представляющие собой круглые металлические пластинки, и карты доступа — простые (не банковские) пластиковые карты с чипом. На них система безопасности при помощи особого алгоритма зашифровывает и наносит личные данные пользователя и уровень его доступа к банковской системе. Эти электронные «ключи» срабатывают при контакте со считывающим устройством, установленным на дверях в секретные помещения, на серверах, пользовательских компьютерах.
Стопроцентное опознание. Одной из последних разработок является система биометрической аутентификации пользователя (технология Biolink), которая «опознает» клиента по отпечаткам его пальцев. Такой подход к защите информации позволяет исключить сразу несколько проблем. Например, делает невозможным доступ в систему злоумышленника, похитившего идентификатор («таблетку» или карту) или узнавшего пароль, и позволяет не бояться слабости парольной защиты. Это серьезная проблема, так как обычно сотрудники банка делятся друг с другом своими паролями, пишут их на видном месте. В большинстве случаев разгадать их не составляет труда, так как обычно это или имя, или дата рождения пользователя или его ближайших родственников — в крайнем случае кличка любимой собаки.
Система персональной аутентификации по биометрическим параметрам позволяет экономить значительные средства банка на постоянные изменения паролей пользователей, их забывших или разгласивших, — на долю таких случаев приходится 40-60% от общего числа обращений в службу технической поддержки пользователей. Кроме того, сокращается время (и соответственно затраты) на регулярную смену паролей. При использовании технологии Biolink в этом просто нет необходимости. Также эта технология сокращает затраты на приобретение большого количества резервных идентификаторов взамен утраченных, испорченных или вышедших из строя. Использование Biolink позволяет обеспечить доступ в систему конкретного человека, а не абстрактного пользователя, знающего пароль. Кроме того, эта технология защищена от подделок, поскольку хранит в памяти не сам отпечаток пальца сотрудника, а только его электронно-цифровой шаблон, каждый раз сверяемый с оригиналом. Biolink рекомендуется устанавливать на такие точки входа в систему банка, как, например, его расчетный или процессинговый центры, а также службы авторизации клиентов. Сама система персональной аутентификации состоит из программного обеспечения и устройства, сканирующего отпечаток одного из пальцев.
Подпись на дискете. В качестве традиционных методов защиты внутрибанковской информации является использование электронно-цифровой подписи (ЭЦП) — цифрового ключа, однозначно идентифицирующего пользователя. В этом случае при передаче какого-либо конфиденциального документа его создатель, пользуясь определенной программой, формирует из текста документа и хранящегося отдельно на электронном носителе секретного ключа (зашифрованный особым образом набор символов) файл. Он свободно передается по любым каналам связи и пересылается по электронной почте, но документ, защищенный таким образом, нельзя изменить. Прочесть его можно только при помощи специальной программы.
Многие банки в последнее время стали тратить деньги на установку дорогостоящих (от $30-100 тыс.) устройств, монтируемых на входе в банковскую систему и анализирующих работу всех точек доступа. Они способны самостоятельно вычленять из всех процессов доступа те, которые не соответствуют заданным параметрам безопасной работы. Устройства выделяют из всех журналов просмотра корпоративной почты «неразрешенные» входы. Например, ведется просмотр почты с незарегистрированного сервера, значит, кто-то посторонний проник в локальную сеть и пользуется банковской информацией. Однако, чтобы защита сработала, администратор безопасности должен максимально корректно определить параметры, по которым система защиты будет отслеживать входы в локальную сеть, — в противном случае туда не смогут попасть «свои» люди. Так, например, в одном из банков при стандартной проверке был зафиксирован неразрешенный доступ к корпоративной почте. Выяснилось, что один из сотрудников, находясь за границей, решил просмотреть почту через свой ноутбук, не зарегистрированный администратором безопасности. Прочитать письмо менеджеру так и не удалось, в результате чего сорвалась важная сделка.
Внешняя защита. Наиболее уязвимыми местами утечки информации традиционно являются точки подключения к интернету и другим электронным сетям. Именно через эти «узкие» места в банковскую сеть стремятся проникнуть хакеры. Здесь, как правило, банки устанавливают межсетевые экраны (firewall), фильтрующие сетевой трафик, не допуская несанкционированного проникновения, а также системы Content Security, устанавливаемые на уровне серверов и рабочих станций. Они обеспечивают комплексную защиту корпоративных сетей и почтовых серверов банка. Content Security способна самостоятельно приспосабливаться к изменяющимся условиям и удобна тем, что управление всеми процессами происходит из одного места, что позволяет быстро распознавать и отражать постоянно меняющиеся попытки несанкционированного проникновения. Такая система, установленная на почтовый сервер банка, постоянно сканирует и фильтрует все сообщения, очищает письма от нежелательных приложений, сверяет адреса отправителей с «черным списком», отклоняет поступления спама, ссылок на порнографические сайты и даже самостоятельно отражает хакерские атаки.
Системы информационной безопасности позволяют объединить головной офис банка и его филиалы в единую сеть, использующую открытые каналы связи без риска утраты или копирования конфиденциальной и финансовой информации. Таким образом, времена, когда данные передавались из основного офиса в филиал курьером на электронном носителе, дискете или лазерном диске, что часто можно было наблюдать в 90-е годы, давно позади. Теперь это все происходит в считанные секунды, и не надо ждать несколько дней, пока, например, произойдет пополнение счета в отдаленном филиале.
КОММЕНТАРИИ
Евгений Джура, руководитель департамента информационной безопасности Росевробанка:
— Информационная безопасность у нас обеспечивается на трех уровнях — организационном, технологическом и техническом. Организационный уровень — это разработка положений и регламентов, определяющих правила обеспечения информационной безопасности, обучение сотрудников, проведение проверок, учет прав доступа сотрудников к информационным ресурсам. В частности, существует положение об информационной безопасности. С ним знакомятся все вновь поступающие на работу сотрудники, и затем сдают экзамен. На технологическом уровне анализируются бизнес-процессы банка. По результатам анализа определяются уязвимые места, и делается все возможное для исправления недочетов. На техническом уровне используются широко распространенные методы, в том числе защита периметра сети, средства обнаружения вторжения, антивирусные системы, системы фильтрации спама. У нас есть понимание того, что не существует одного универсального решения, позволяющего полностью ликвидировать угрозы информационной безопасности банка, и поэтому разрабатывается комплекс решений, который охватывает все три уровня.
Андрей Дмитриев, начальник управления автоматизации Локо-банка:
— Мы используем целый комплекс мер по обеспечению IT-безопасности. Разработана концепция информационной безопасности, которая является документом, регламентирующим деятельность банка по защите своих информационных сетей. Установлено современное программно-аппаратное обеспечение: межсетевые экраны, система антивирусной защиты почты и пользовательской информации, оборудование для обязательного резервного копирования данных. Информационный отдел постоянно проверяет журналы доступа в систему и анализ протоколов обмена на предмет обнаружения внешних атак. Регулярно на все компьютеры сети устанавливаются исправления и обновления операционных систем и прикладных программ, что снижает риски потери информации из-за ошибок программного обеспечения. Для предотвращения возможных мошеннических операций с банковскими приложениями, имеющими сообщения с внешними сетями передачи данных, в них применяются сертифицированные криптоалгоритмы, исключающие подлог финансовых документов. Все системы IT-безопасности регулярно модернизируются, что, конечно, требует существенных финансовых вливаний.
Игорь Илюхин, начальник управления по связям с общественностью банка «Авангард»:
— Наши клиенты активно пользуются услугой заказа кредитных карт через интернет — порядка 30% заявок заполняются на нашем сайте. Естественно, и банк, и клиент заинтересованы, чтобы данные, указываемые на этой страничке, не стали добычей мошенников. Безопасность соединения и передачи информации обеспечивается с помощью шифрования обмена данными между клиентским компьютером и нашим сервером. Банк прошел специальную процедуру удостоверения подлинности доменного имени своего сайта и оформил цифровой сертификат SSL — Secure Soket Lauer.
Юрий Терехин, директор департамента финансовых институтов компании «ФОРС-центр разработки»:
— Системы безопасности банков обычно ограничиваются криптованием (шифрованием) данных, наличием паролей, ЭЦП, контрольных сумм платежей. Основной недостаток таких систем — отсутствие четкого разграничения функций (ролей) сотрудников. Это означает, что многие из них могут выйти за рамки своих полномочий и совершить несанкционированный платеж. Этого недостатка лишены встроенные системы безопасности с уровнем С2, когда одну операцию проводят четыре человека: администратор системы (он дает право на совершение операции), операционистка (набирает платежку), контролер (проводит авторизацию) и его коллега из отдела последующего контроля (он проверяет правильность операции). Так что провести «левый» платеж они могут только если договорятся между собой. Уровень С2 поддерживает, например, система Activebank, разработанная британской компанией Financial Objects. На прошлой неделе «ФОРС-центр разработки» получил право на эксклюзивную разработку, поставку, внедрение и поддержку Activebank в России. Стоит Activebank от 150 тыс. фунтов стерлингов плюс ежегодная плата за сервисное обслуживание.
Идентификация — определение соответствия конкретной личности заданным параметрам. Аутентификация — идентификация личности на основании его уникальных биометрических данных (например, отпечатка пальца, сетчатки глаза).
Журнал «Финанс.» № 44 (85) 22-28 ноября 2004 — Главная тема
Наталия Терновая
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.