Aercom.by - Новости безопасности в Беларуси и СНГ

13 декабря 2017 г., среда

Отраслевые мероприятия (Беларусь)

30 ноября, 2017

СКУД SIGUR — практический семинар

14 ноября, 2017

Состоялись технические семинары от Axis

28 сентября, 2017

Итоги «Центр безопасности. 2017»

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Информационная безопасность: как снизить банковские риски (РФ)
15 апреля, 2011

Сегодня банки вынуждены сами защищаться от всевозможных рисков как криминального, так и не криминального характера, причем эта защита, разумеется, должна соответствовать требованиям регулятора. С распространением услуги интернет-банкинга ситуация только усугубилась. Как видно, победить в этой игре может только та финансовая организация, которая полностью оснащена с точки зрения информационной безопасности.

Сложность защиты информации в банковском секторе определяется не только огромными массивами обрабатываемых данных и изощренностью средств, применяемых злоумышленниками для доступа к ним. Она характеризуется еще и тем, что банки, являясь частью единой финансовой системы государства, должны соответствовать жестким требованиям безопасности, но реализацию этих требований государство полностью возложило на сами кредитные организации.

ИТ-инфраструктура крупного универсального банка включает до нескольких сотен информационных систем, каждая из которых может стать слабым звеном с точки зрения безопасности. Риски в банковской сфере высоки, разнообразны и связаны не только с криминалом, но и с потерей информации и оперированием недостоверными данными в результате технических сбоев или влияния человеческого фактора.

Именно поэтому в ряде банков создаются целые управления, единственная задача которых – обеспечение информационной безопасности. Ее решения требует комплексного подхода, который включает правовые, организационные, технические, кадровые и другие аспекты.

В прессу попадают случаи ограбления инкассаторов, но ни один грабитель не нанесет такой ущерб, на который способен злоумышленник, получивший доступ к чужим счетам, или инсайдер, «сливающий» конфиденциальную информацию конкурентам.

Скачок в интернет

Эти риски минимизируются защитой информационных систем банка от несанкционированного доступа. Требования к безопасности данных постоянно повышаются, причем случаются периоды скачкообразного роста, один из которых произошел относительно недавно и связан с активным развитием интернет-банкинга. Долгое время банки решали вопросы безопасности данных, не выходя за пределы собственной информационной сети (центрального офиса, филиалов, банкоматов). Затем был сделан первый шаг в интернет: появились программы «клиент-банк» для юридических лиц, доступ к которым был крайне ограничен. И, наконец, в один прекрасный момент финансовые организации оказались перед лицом новых значительных рисков, когда в интернет вышли фронт-офисные системы, обслуживающие физических лиц.

Дистанционное обслуживание должно быть простым и удобным для клиента, иначе эта услуга не станет массовой и не принесет банку ту прибыль, ради которой она вводилась. Оптимальный для клиента вариант – доступ на защищенную часть сайта банка с авторизацией по паролю, и банки сейчас успешно его реализуют. Но чем проще доступ к услуге, тем сложнее обеспечить безопасность данных и не допустить незаконных транзакций.

Ситуация, когда злоумышленник может получить доступ к чужому счету с любого компьютера без взлома специализированного клиентского ПО, без преодоления физических средств защиты типа токенов, говорит о доступности атакующих технологий и снижении их стоимости. При этом стоимость информационных систем возрастает.

Враг внутри

На стоимость ИС влияют и системы защиты от неправомерных действий собственных сотрудников, которые могут нанести ущерб множеством способов от компрометации клиентской базы до присвоения активов банка. Инсайдеры – настоящая головная боль для акционеров и служб безопасности, поскольку все средства разграничения доступа к электронным данным и к бумажным документам, защиты от копирования на диски и флэшки не работают на сто процентов. Существуют системы оперативного слежения за действиями сотрудников, но не придумана еще абсолютная техническая защита от изготовления лишней копии документа и выноса ее в кармане, фотографирования монитора на мобильный телефон или от непреднамеренного разглашения конфиденциальной информации в разговорах с коллегами. Эта часть задачи в основном ложится на плечи сотрудников служб безопасности и информационной безопасности банка.

ИТ со всех сторон

Также банки обязаны выполнять требования регуляторов, например, в части своевременного предоставления обязательной отчетности, защиты персональных данных, противодействия отмыванию средств и финансированию терроризма. Соответственно, необходимо поставить дорогостоящие специализированные системы, которые смогут на лету проводить мониторинг большого числа событий, реагировать на них и быстро формировать отчетность. Если эти требования не будут выполняться, организация имеет шансы пополнить список из более 1600 банков, чьи лицензии уже были отозваны ЦБ, в том числе и по указанным причинам.

Рынок предлагает большое число систем комплексной защиты информации (СЗКИ), но возникает проблема их сертификации. Системы защиты постоянно развиваются и совершенствуются в соответствии с новыми требованиями бизнеса, а сертификация их ФСТЭК и ФСБ России, естественно, отстает от этого процесса. Поэтому перед банками часто стоит выбор: использовать не новую, но сертифицированную систему, или приобрести систему без сертификата, но более эффективную и полностью отвечающую требованиям конкретного банка по функционалу и совместимости с имеющейся инфраструктурой. В этом случае банк вынужден начать долгую и дорогую процедуру сертификации СЗКИ, причем без гарантированного положительного результата.

Еще один аспект безопасности не связан с защитой от криминала и относится к обеспечению целостности и непротиворечивости данных. Для защиты банка от финансовых потерь данные должны правильно вводиться, доставляться без искажений, быть согласованными с другими данными и надежно храниться. При этом необходимо обеспечить полную прозрачность всех процессов движения данных с возможностью детализации до конкретного счета, клиента или сотрудника, ответственного за транзакцию. В большинстве случаев это реализуется созданием единого хранилища данных с дополнительными системами, отвечающими за контроль качества информации, а также внедрением автоматических процедур ее мониторинга, архивации и восстановления после сбоев.

Где искать защиту?

Обеспечение информационной безопасности, как правило, зависит от потребностей бизнеса, требований регулятора и существующей ИТ-инфраструктуры банка.

Защита данных начинается с аудита существующей ситуации и разработки общей концепции, политик и корпоративных стандартов управления информационной безопасностью. Цель этих мероприятий – создание системы обеспечения информационной безопасности. Стандарт Банка России СТО БР ИББС–1.0–2008 определяет ее как совокупность системы информационной безопасности (защитные меры, средства и процессы) и системы управления информационной безопасностью (часть системы управления банка, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ).

К созданию системы обеспечения информационной безопасности должны быть причастны не только служба ИБ, ИТ-служба, но и топ-менеджмент, юридическая служба и другие структуры. Связано это с многогранностью задач, требующих решения.

Поскольку обеспечение безопасности – это непрерывный процесс, то для него требуется непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД), описанный в стандарте.

В ходе планирования в первую очередь определяются цели и масштаб СУИБ, оцениваются риски и предлагается план работы по их минимизации. Далее план создания СУИБ реализуется с учетом корректировок, принятых на стадиях проверки и действия. Поскольку этот цикл непрерывный, проверки могут проводиться в любое время и с любой периодичностью в зависимости от ситуации.

Результатом должна стать система информационной безопасности, покрывающая все основные классы угроз и соответствующая требованиям бизнеса, регулятора и ИТ. В состав системы ИБ могут входить следующие компоненты: подсистема управления ИБ; межсетевой экран; подсистема разграничения доступа к электронным ресурсам; подсистема защиты от вторжений, а также подсистема защиты внутренних сетевых ресурсов. Невозможно обойтись и без таких компонентов, как подсистема защиты web-ресурсов; антивирусная защита; контроль трафика и подсистема криптографической защиты информации. Не менее важными являются подсистемы защиты от физического доступа (PKI, защита от копирования…) и мониторинга средств защиты и отчетов безопасности.

Выбор конкретных продуктов зависит от ситуации. Наиболее известны комплексные и специализированные решения компаний ArcSight, Check Point, Cisco Systems, InfoWatch, Max Patrol, RSA, Websense, «Аладдин» и многих других.

CNews: Какими характеристиками с точки зрения ИБ должна обладать банковская инфраструктура, чтобы быть наименее подверженной рискам?

Сергей Березин: К вопросам ИБ, как и к любой другой безопасности, надо подходить комплексно. В целом, информационная безопасность – это как минимум на 60% продуманная система организационно-технических мероприятий, и лишь потом, в период реализации – разного рода ИТ-продукты по поддержке ИБ. Поэтому ошибочным будет мнение, что приема на работу опытного CIO или CSO будет вполне достаточно для решения вышеуказанных задач, и можно будет лишь средствами ИТ кардинально обезопасить банк от инцидентов ИБ. Однако, поскольку в этом материале мы рассматриваем именно ИТ-составляющую ИБ, постараюсь прокомментировать эту тему под данным углом зрения, хотя все равно придется обращаться к бизнес первопричинам.

Сергей Березин: Ключевыми технологиями в ИТ-инфраструктуре банков должны стать централизация, интеграция и виртуализация

Если посмотреть на современную ИT–систему практически любого из российских банков, то вы обнаружите там десятки, а то и сотни одновременно функционирующих информационных систем, — в том числе, унаследованные от прежних слияний и поглощений. При этом образуется сложный и трудно управляемый ИT-ландшафт, который как раз и служит той «питательной» средой, что рождает непредсказуемые дыры в управляемости и, как следствие, проблемы с ИБ.

При этом сама по себе безопасность не должна быть фетишем, самоцелью, которая достигается установкой все новых и новых продуктов ИБ. Высокий уровень ИБ — это естественный результат грамотно построенной ИТ-инфраструктуры банка в целом и отлаженных и сбалансированных организационных процедур, причем не только в ИТ. Образно выражаясь, добротно построенной крыше не страшен никакой дождь, а если она худая, — то и никаких тазиков не хватит.

Ключевыми технологиями в ИТ-инфраструктуре банков должны стать централизация, интеграция и виртуализация. Правильно, когда все приложения АБС интегрируются общей информационной шиной и централизованно исполняются на серверах головного офиса. При этом сотрудники банка со своих рабочих мест получают доступ к АБС с помощью средств виртуализации десктопов (ранее это называлось удаленным доступом к ПО). Сегодня функциональность этих средств, предлагаемых на рынке тандемом Citrix и Microsoft, достигла очень высокого уровня. Благодаря виртуализации, сотрудники на рабочих местах во всех филиалах, операционных офисах и в уполномоченных агентствах работают в защищенной среде с единой версией приложений и данных прямо на серверах ЦОД банка. Это существенно сужает периметр информационной защиты, — ведь на локальных компьютерах служащих не хранится никаких данных, — соответственно, риск их утери или фальсификации значительно снижается. Для банков с большим числом филиалов такой подход к ИТ-инфраструктуре особенно важен, т.к. чем больше рабочих мест, тем больше точек потенциальной уязвимости ИБ, а продукты Citrix позволяют разом закрыть целый класс уязвимостей.

Известно, что подобная ИТ-инфраструктура со средствами виртуализации рабочих мест с помощью программных продуктов Citrix сегодня установлены в Сбербанке, Газпромбанке, МДМ-Банке и целом ряде других финансовых учреждений.

CNews: Насколько, на ваш взгляд, часты утечки банковской информации? С чем это связано?

Сергей Березин: Инциденты ИБ случаются в банках ежедневно, но сведения о них не принято афишировать. Это логично, поскольку с репутационной стороны любой банк в глазах клиентов стремится быть безупречным. Достаточно намеренно или случайно допустить утечку информации об инцидентах ИБ, как на следующий день перед дверями банка может уже бушевать толпа вкладчиков, желающих немедленно вернуть назад свои деньги.

Как результат, мы знаем только о тех инцидентах ИБ, которые озвучиваются в СМИ. Наиболее громкий случай, который наверно все помнят, – это процесс над машинистом московского метрополитена Алексеем Лепехиным по иску «Банка Москвы» в 2009 г. Господин Лепехин получил через интернет-портал банка доступ к ссудному счету банка. В одночасье оказавшись богатым человеком, Алексей начал покупать новые иномарки и недвижимость, сняв за полгода со счета 85,5 млн руб. Кстати, как ни удивительно, но уголовного преследования за пользование такими суммами неосновательного обогащения Алексей мог бы избежать, будь он не машинистом метро, а реальным миллионером. Тогда его адвокаты вполне могли бы доказать, что человек просто не заметил лишних денег и потратил их, полагая, что они поступили законно. Отличное подтверждение народной поговорки, что «деньги к деньгам», не правда ли?

CNews: Насколько популярны в банках DLP-системы?

Сергей Березин: Работа систем предотвращения утечек конфиденциальной информации из информационной системы (англ. Data Leak Prevention, DLP) строится на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в потоке конфиденциальной информации (логины, пароли) срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Говоря о популярности DLP-систем в отечественных банках, сначала следует упомянуть существующую до сих пор расплывчатость формального определения, что, собственно, считать DLP-системой. Поэтому можно быть правым, говоря как и о повсеместном внедрении DLP-систем, так и о недостаточном проникновении этого класса продуктов в ИТ-системы банков.

Мощные DLP-системы должны обладать такими свойствами, как многоканальность, учет и содержания, и контекста, наличие средств активной защиты и унифицированного менеджмента политиками безопасности. Если какой-либо из перечисленных функциональностей в конкретном продукте нет или она представлена слабо, то это все равно будет называться DLP-системой. На рынке сегодня представлены около двух десятков отечественных и зарубежных продуктов, обладающих признаками DLP-cистем, включая комплексные продукты от InfoWatch, Perimetrix и WebSence. Кстати, факт установки последней из упомянутых DLP-систем в ВТБ активно пиарился в прессе.

CNews: Какие проекты по обеспечению банковской ИБ с участием вашей компании были реализованы за последний год?

Сергей Березин: Конфиденциальность сведений о проектах в области обеспечения банковской ИБ является одним из регламентных средств по обеспечению ИБ. Зная, какой системный интегратор осуществлял проект ИБ в конкретном банке, с помощью пресловутых голливудских «6 рукопожатий» всегда можно выйти на кого-либо из конкретных специалистов, исполнителей. А поскольку этот человек по роду своей деятельности досконально изучил средства ИБ банка, на него можно разными способами воздействовать, используя для успешного взлома информационной системы банка. Разумеется, BCC Group как крупный системный интегратор регулярно выполняет проекты ИБ для финансовых учреждений, в том числе и для банков из ТОР-10.

Источник: www.cnews.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.