ФорумФотоальбомСправочная информацияКарта сайтаНаписать намНа главную
Сибирская школа финансов и банковского дела - Неофициальный сайт
Негосударственное (частное) Образовательное Учреждение Высшего Профессионального Образования


ААА № от 22.07.2010 (рег. № 0132)

BB № от 03.06.2010 (рег.№ 0472)

ЧЕЛОВЕЧЕСКИЙ ФАКТОР -СЛАБОЕ ЗВЕНО

Человеческий фактор — слабое звено

Оксана Дяченко "Банковское обозрение", №9, сентябрь 2006 г.
Сетевая безопасность в банках больше всего страдает от персонала
Банки предпочитают не афишировать сбои в работе системы сетевой безопасности. Поэтому если таковые и случаются, то становится известно лишь о самых громких случаях. С технической точки зрения банкам сегодня предлагается довольно широкий ассортимент технологий и продуктов. Однако это еще не решает проблемы. Важнейшим здесь становится человеческий фактор.
Рынок сетевых решений
Рынок сетевых решений для банковского сектора характеризуется несколькими основными чертами: насыщенностью, динамичным развитием, плотной концентрацией игроков среди IT-компаний и высокой степенью конкуренции. В настоящее время этот рынок прошел стадию первоначального насыщения и, по словам Сергея Земкова, директора по корпоративным продажам в России, странах СНГ и Балтии компании «Лаборатории Касперского», растет вглубь, когда каждый производитель в рамках предлагаемых продуктов предоставляет пользователям новые функции, обеспечивающие большую защиту и удобство.
Появляется новая технология и на ее основе создается решение. Решение адаптируется под конкретный целевой рынок и проходит цикл жизни порядка 3–5 лет, отмечает Виталий Томилко, ведущий инженер-конструктор отдела сетей компании «Открытые технологии».
Антон Крячков, директор по продукции компании Aladdin, рассказывает, что существует два подхода к построению инфраструктур на основе сетевых решений. Один из них — «софтверный» — предполагает интеграцию комплекса программных решений. А второй в своей основе имеет именно сетевое оборудование, необходимое для построения не локально-вычислительных сетей, а сетей передачи данных. Эксперт компании Aladdin считает, что технические специалисты банков ориентированы как раз на второй подход.
Сетевые технологии, предлагаемые на российском рынке, в достаточной мере удовлетворяют потребности банков, уверен Антон Крячков. Вопрос лишь в том, как выбрать необходимый продукт или решение, соответствующее специфике того или иного банка и оптимально вписывающееся в его инфраструктуру, подчас весьма разноплановую. Например, в банке одновременно могут работать продукты совершенно разных производителей, не всегда идеально совместимые друг с другом.
Интересные решения
По мнению Константина Соколова, руководителя направления информационной безопасности компании «Микротест», наиболее перспективными являются решения, основанные на высокопроизводительном мультисервисном оборудовании с расширенным функционалом по обеспечению информационной безопасности.
Специалисты компании Aladdin, учитывая профиль компании и потребности клиентов и из банковской сферы, одной из наиболее востребованных и передовых технологий называют фильтрацию почтового контента и web-трафика проактивными методами. Речь идет о превентивном выявлении вредоносного контента (к которому можно отнести и спам, и вирусы, и троянов, и программы-шпионы, и др.) по аномальному поведению в сети и фильтрации как входящих, так и исходящих информационных потоков внутри сети. Подобные решения должны устанавливаться не на конечных машинах пользователей и даже не на серверах, а на самом высоком уровне — gateway, входе в сеть. Только таким образом можно гарантировать безопасность и «чистоту» сети, но при условии, что на остальных уровнях, включая серверный, уровень рабочих станций и каждый компьютер банка, также будут установлены соответствующие антивирусные продукты, причем лучшие в своем классе. В этой связи специалисты прогнозируют переход от «чистых» антивирусных систем к системам обеспечения контент-безопасности.
Недоверчивые банки
Компаниям, работающим на рынке сетевых решений и занимающихся проблемами сетевой безопасности, приходится в процессе работы сталкиваться с различными трудностями.
Максим Гарусев, начальник отдела продуктов и услуг системной интеграции дирекции по развитию продуктов и услуг компании Equant, рассказывает, что основная трудность для их компании, как для сервис-провайдера, предлагающего управляемые услуги по безопасности, это высокий уровень недоверия со стороны банков к услугам по безопасности третьих сторон. «Банки традиционно стараются сохранить все подобные функции под полным собственным контролем, причем не всегда это может быть оправданно. Этим их подход отличается от промышленных предприятий, которые гораздо охотнее отдают многие функции на аутсорсинг. Правда, банки обязаны хранить не только свою информацию, но и информацию клиентов, что действительно предъявляет к банковской среде повышенные требования по защите», — говорит специалист.
Константин Соколов («Микротест») считает, что наибольшую трудность вызывает «неоднозначная реакция на необходимость изменения сложившегося корпоративного уклада кредитной организации (зачастую весьма значительного, затрагивающего организационную структуру) в угоду соблюдению режима информационной безопасности». Причем с данной трудностью сталкивается как организация, проектирующая и внедряющая систему защиты информации, так и служба, отвечающая за информационную безопасность в банке.
Алексей Раевский, генеральный директор компании SecurIT, главную трудность видит в необходимости соблюдения системного подхода, заключающегося в оценке рисков, связанных с информационной безопасностью. В 2004 году было принято международное соглашение Базель II, которое требует от кредитных организаций резервирования капитала на покрытие операционных рисков, частью которых являются угрозы информационной безопасности. «О том, что такое Базель II, какие выгоды и какие проблемы оно может принести большинству российских банков, уже много говорили и писали, — отмечает Алексей Раевский. — На мой взгляд, дело даже не в том, что совместимость с Базель II — весьма затратное мероприятие. Проблема заключается в отсутствии у банковских специалистов по информационной безопасности должной квалификации по организации управления рисками и в слабом понимании топ-менеджментом специфики данного вопроса».
Проблемы сетевой безопасности
Эксперты отмечают, что в последнее время ситуация с информационной безопасностью в банках значительно улучшилась. Положение дел, при котором было возможно воровство денег из банков с использованием фальшивых авизо, осталось в далеком прошлом, и с тех пор существенно усовершенствовались и бизнес-процессы, и технические средства, их обеспечивающие, подчеркивает Алексей Раевский (SecurIT).
И если сейчас не всегда возможно предотвратить злоупотребления со стороны ответственных лиц, то практически всегда можно установить, кто именно и как нарушил существующие правила.
Информационная безопасность — это процесс, которым надо заниматься постоянно. «Появляются новые угрозы, и надо своевременно и адекватно на них реагировать, — говорит Алексей Раевский. — Кроме того, во всем мире банки стараются хранить в безопасности не только денежные средства, но и информацию о своих клиентах, об их счетах и операциях по ним, а об этом в некоторых российских банках помнят в последнюю очередь».
Дмитрий Бутмалай, руководитель отдела сетей передачи данных IBS, делит проблему сетевой безопасности на две составляющие — защиту периметра сети и внешних подключений, а также обеспечение безопасности внутри сети. «Если задаче защиты периметра сети и внешних подключений во многих банках уделяется значительное внимание, то решения по обеспечению внутренней безопасности только начинают внедряться в некоторых банках», — подчеркивает эксперт.
«Наряду с проблемой сетевой безопасности одним из важных аспектов является обеспечение физической безопасности сети и инфраструктуры. Под физической безопасностью понимается в данном случае не только защита серверных и коммуникационных узлов от несанкционированного доступа, но и защита от других внешних угроз», — рассказывает Игорь Обухов, системный инженер компании АРС. — Существует множество причин, вызывающих нарушение стабильности работы IT-инфраструктуры — от обычных неполадок до серьезных энергетических аварий, таких как, например, «блэкауты», которые происходили в течение двух последних лет в России, США, Канаде, Франции, Великобритании, Италии и других странах. Кроме прямого ущерба также велик риск повреждений оборудования, простоя систем, и как следствие серьезных моральных и финансовых потерь. Для некоторых компаний, прежде всего в банковской, страховой, информационной сферах, это иногда может означать гибель бизнеса».
«Люди не роботы»
С технической точки зрения для обеспечения сетевой безопасности в банках предлагается широкий спектр разнообразных технологий и продуктов. Однако зачастую их бывает недостаточно из-за так называемого человеческого фактора — непреднамеренных и преднамеренных действий сотрудников кредитных организаций. С этой проблемой тесно связана другая, отмечает Сергей Земков («Лаборатории Касперского»), — отсутствие четкого регламента на использование тех или иных программных средств и на действия пользователей, что приводит к значительному усложнению контроля за их действиями и чрезмерным трудозатратам подразделений IT-безопасности и IT-администрирования.
По мнению Виталия Томилко («Открытые технологии»), основная проблема защиты информационных ресурсов — это персонал: «Люди не роботы, и никакие инструкции не могут их регламентировать. Человеческий фактор был и остается самым слабым звеном информационной безопасности».
Со своими коллегами согласен Григорий Долинский, руководитель отдела информационной безопасности компании Verysell Projects. Самым уязвимым звеном в сетевой безопасности банка он называет рабочие компьютеры сотрудников. «Несмотря на активные меры, принимаемые банками для защиты информации самостоятельно и с помощью компаний-интеграторов, их корпоративные системы пока еще не находятся в полной безопасности. Среди причин такого положения дел можно назвать ограниченное финансирование (даже если оно вполне достаточное для внедрения необходимых решений, то многие сотрудники банков получают не очень высокую зарплату и у потенциальных злоумышленников имеется возможность их подкупа)», — рассказывает Григорий Долинский.
Печальные последствия
Как правило, информация о печальных последствиях, к которым приводят нарушения и сбои в работе сетевой безопасности банков не публикуется и не афишируется. Ни один банк не решится на подобную откровенность. И все же на рынке прекрасно известно, что подобные случаи встречаются.
К сожалению, в российском законодательстве отсутствуют положения, обязывающие владельцев персональной информации сообщать об инцидентах, которые привели или могли привести к утечке информации, отмечает Алексей Раевский (SecurIT). Поэтому если говорить о российских банках, то известно только о самых громких случаях. Характерный пример — появление в марте 2005 года на черном рынке базы данных проводок Банка России. Причина утечки официально не называлась, однако анонимные источники говорили о хищении магнитной ленты с резервной копией этой информации.
Нередко подобные инциденты случаются и в западных банках. Например, в июне 2005 года крупнейший в мире Citigroup сообщил об утере нескольких магнитных лент, которые перевозились из офиса банка в Нью-Джерси в кредитное бюро в Техасе.
В результате информация о 3,9 млн клиентов банка, включая их номера социального страхования и данные по счетам и платежам, оказалась неизвестно в чьих руках. Кроме ущерба репутации в данном случае банк потратил немалые средства на уведомление по почте пострадавших клиентов и на мониторинг их счетов, поскольку информация, которая содержалась на ленте, могла позволить злоумышленникам воспользоваться денежными средствами на счетах клиентов банка.
Аналогичные случаи пропажи или утери носителей с конфиденциальной информацией в течение 2005–2006 годов происходили с такими известными банками, как UBS, Bank of America, ABN Amro Bank, People’s Bank, кредитным бюро LexisNexis и т. д. Это говорит о том, что, несмотря на наличие определенных процедур оборота носителей с конфиденциальной информацией, эти процедуры могут давать сбой, и информация может попасть в посторонние руки, отмечает Алексей Раевский (SecurIT). «В таких случаях одних организационных мер недостаточно, — подчеркивает эксперт. — Если бы соответствующие службы позаботились о шифровании лент, которые могут попасть за пределы контролируемой территории, они избавили бы свои компании от ущерба репутации и дополнительных расходов».
Сергей Земков («Лаборатории Касперского») без ссылки на конкретную кредитную организацию также привел пример печальных последствий несоблюдения требований информационной безопасности: «Обычно комплексная система защиты строится так, чтобы ее отдельные блоки частично перекрывали друг друга. Но если нарушения коснулись нескольких блоков, то потерь не избежать. Так, бреши в настройках антивирусной защиты позволили злоумышленнику внедрить в сеть банка троянскую программу и с ее помощью получить доступ к базе идентификационных данных системы дистанционного обслуживания. Из-за отсутствия многофакторной аутентификации по украденному паролю злоумышленник авторизовался в системе, перевел на подставной счет в другой банк и обналичил значительную сумму денег. Когда пропажа обнаружилась, оказалось, что для данной системы настроено только оперативное, а не полное архивирование, поэтому данные о транзакциях не сохранились. Банку пришлось смириться с потерей и отлаживать комплексную систему защиты».

 

© 1992 - 2010 СШФБД
Вузы Новосибирска, университеты Новосибирска, учебные заведения Новосибирска.
«»
г. Новосибирск, ул. , 7. Приёмная комиссия: , контакты