журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

Банковская деятельность

Банковские кризисы

БАНКОВСКАЯ РЕСТРУКТУРИЗАЦИЯ

Новые рыночные страны

ФИНАНСОВОЕ РЕГУЛИРОВАНИЕ

Банковские стратегии

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №3, 2002

СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Служба безопасности не спит

Банки принимают дополнительные меры по обеспечению безопасности своей информации

Вопросы безопасности активов и конфиденциальной информации всегда принадлежали к наиболее приоритетным заботам любых финансовых институтов. Однако сейчас, когда многие банки активно используют Интернет для предоставления финансовых услуг и связи с клиентами, а снять деньги со счета можно с помощью нажатия нескольких клавиш, эти вопросы требуют особого внимания и, вероятно, даже пересмотра всей системы банковской безопасности. Отвечая на эти потребности, разработчики информационных технологий щедро предоставляют банкам возможности для решения проблемы электронной безопасности. Эксперты не могут пока с уверенностью сказать, какой именно системе будет отдано предпочтение в этом году, однако вероятность того, что банки предпримут определенные шаги в этом направлении, очень высока.

Специалисты консалтинговой компании International Data Corp., например, склонны считать, что многие институты отдадут предпочтение различным криптографическим технологиям, которые, в основном, будут применяться для контроля доступа. Действительно, по мнению многих экспертов, управление доступом к информации должно стать основным пунктом приложения усилий большинства финансовых компаний, и авторизация пользователей играет в этом вопросе значительную роль. По словам Роберта Форниера, менеджера по смарт-картам компании RSA, работающей в области банковской безопасности, в настоящее время отмечается повышенный интерес банков к различным решениям такого рода, поскольку они дают возможность контролировать всех пользователей, получающих доступ к финансовой сети. Использование смарт-карт совместно с употреблением пин-кода или цифровой подписи дает банку 99.99% гарантии, что доступ получил авторизированный клиент.

Двойная авторизация, когда для доступа необходимо иметь материальный компонент и определенную информацию (например, смарт-карту и пин-код), стала весомым достижением в сфере банковской безопасности, значительно затруднившим возможность мошенничества и окупившим все затраченные усилия. Однако некоторым финансовым институтам уже недостаточно достигнутого уровня, и они начали эксперименты по замене авторизации с помощью пин-кода биометрическими способами аутентификации (с помощью отпечатков пальцев, сканирования радужной оболочки глаза, анализа звукового спектра голоса и т.д.), что позволит достигнуть практически 100%-ной безопасности.

Повсеместному внедрению биометрических способов защиты информации препятствуют несколько основных моментов, и, в первую очередь, – стоимость такого новшества. Большинство банков до сих пор уверены, что внедрение подобных методов авторизации, требующих значительных затрат в пересчете на одного клиента, будет им просто не по карману. Несмотря на это эксперименты продолжаются, и некоторые институты достигли значительных успехов на этом поприще. К числу успешных организаций принадлежит, например, Perdue University Credit Union. По словам Гейла Кёлера, вице-президента кредитного союза, внедрение таких методов защиты информации не намного дороже традиционных паролей и кодов.

Perdue University Credit Union начал внедрение и развитие биометрических методов в середине 90-х годов, внеся некоторые дополнения в существовавшие в то время технологии. Для этого институт установил в семи своих киосках самообслуживания сканеры отпечатков пальцев. В таких киосках любой клиент может получить полный пакет услуг, не отличающийся от тех, которые оказываются непосредственно в отделении, включая проверку кредитных ставок, просмотр и получение выписок о состоянии счета, покупку сертификатов, вложение денег на счет и снятие наличных.

К методу снятия отпечатков пальцев компания подошла не случайно. Во-первых, на момент внедрения этот способ принадлежал к наиболее разработанным из всех биометрических аналогов и был дешевле других. Сканер отпечатков пальцев стоит менее $200 за единицу, а после инсталлирования программного обеспечения и создания базы данных система не требует особых затрат на обслуживание. Кроме того, несмотря на довольно значительные первичные затраты биометрический механизм идентификации клиентов достаточно быстро себя окупает за счет уменьшения потерь от различного рода мошенничества. Из-за разнообразия функций киоски требуют повышенной безопасности, и биометрика ее обеспечивает. С 1997 года, когда система начала свое существование, и до конца 2001 года потери кредитного союза от мошенничества через киоски самообслуживания составили менее $10 тыс., в то же время убытки от махинаций с банкоматами, не защищенными такими системами, превысили их более чем в десять раз.

Информацию о возросшем спросе на новые системы безопасности подтверждает также компания IDC, занимающаяся разработкой подобных механизмов. Все большее количество банков решаются расширить традиционный пин-код дополнительными средствами защиты, для чего выбирают либо вариант на основе смарт-карт, либо применяя в какой-то мере биометрические методы. При этом, сегодняшний уровень развития информационных технологий позволяет внедрить эти методы за сравнительно невысокую цену.

Однако даже самые совершенные технологии безопасности будут бесполезными, если их своевременно не подвергнуть проверке и обновлению. Проблема многих банков и финансовых компаний состоит в том, что их базы данных постоянно находятся под угрозой взлома, поскольку они редко обновляют даже такие простые вещи как антивирусные программы. Эта практика приводит к тому, что большинство институтов принимают меры по устранению последствий лишь в случае появления проблемы, не уделяя должного внимания возможности ее предупреждения. Таким образом, по мнению некоторых аналитиков, банковская концепция предотвращения несанкционированного доступа часто сводится лишь к ответной реакции на свершившийся факт.

Решить этот вопрос достаточно просто, ведь на рынке присутствуют ряд ИТ-компаний, занимающихся тестированием и обновлением систем банковской безопасности. К их числу принадлежит, например, Vigilante Software, обслуживающая такие известные в Европе институты как Den Danske Bank и германский Commerzbank. Компания тестирует банковские системы на уязвимость и в случае обнаружения брешей в системе безопасности указывает на них, дает рекомендации по их устранению.

По словам Джима Ривиса, директора по маркетингу Vigilante Software, многие банки уже осознали необходимость пересмотра своего мнения о неуязвимости имеющихся у них систем безопасности. Это привело к тому, что многие из них уже предпринимают шаги по обновлению достаточно надежных, но не дающих полной гарантии программно-аппаратных средств защиты и их усилению дополнительными модулями управления доступом с регулярной проверкой уязвимость системы. По информации компании, необходимость применения таких мер уже осознали более 80% европейских крупных банков, что значительно превышает аналогичный показатель у небанковских организаций, среди которых лишь 40% считают необходимым принимать дополнительные меры безопасности.

Принимая во внимание все нюансы, которые необходимо учитывать для поддержания постоянно высокого уровня безопасности баз данных, центры информационных технологий банков могут не справиться с навалившимися на них новыми обязанностями. В связи с этим большинство аналитиков считают целесообразным разделение подразделений компьютерной безопасности и информационных технологий. Служба компьютерной безопасности, при этом, займется поддержанием необходимого уровня охраны, обновлением программного обеспечения, внедрением новых программ и технологий.

Результаты CERT/CC показывают, что из исследованных финансовых компаний:

71%регистрировали незаконные вторжения в компьютерную систему;

59%назвали Интернет основным источником попыток проникновения в нее;

35%зарегистрировали от 2 до 5 инцидентов за прошлый год;

19%зарегистрировали 10 и более инцидентов.

Все усилия банков по обеспечению безопасности информации кажутся оправданными на фоне значительных потерь банков от финансового мошенничества. По данным CERT/CC, при проверках систем безопасности бреши в системах регистрируются в 90% случаев, при этом, более 70% институтов уже реально подвергались различного рода махинациям (кражи конфиденциальной информации, финансовое мошенничество, повреждение баз данных). По данным исследования, средний ущерб от них превышает $1 млн.

Финансовые институты принимают все возможные меры для сокращению таких потерь, однако некоторые аналитики предупреждают, что важно не перегнуть палку, ведь при этом могут пострадать сами банки, распугав клиентов дополнительными трудностями при получении доступа к основным услугам. Сами банки придерживаются, однако, иного мнения.

Повышенный уровень безопасности может стать дополнительным маркетинговым преимуществом для любого банка, гарантирующего высокую сохранность своей конфиденциальной информации, несмотря на то что клиенты могут испытывать ряд неудобств. Это подтверждается результатами различных исследований, показывающими, что большинство людей не испытывают теплых чувств к своим банкам, однако доверяют им. В связи с этим повышение уровня безопасности может принести лишь позитивные результаты.

Александр Недилько, по материалам Banking Technologies

 
© агенство "Стандарт"