журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

СЛИЯНИЯ И ПОГЛОЩЕНИЯ

Банковский кризис

Международные банки

Банковские стратегии

ПРОГРАММЫ ЛОЯЛЬНОСТИ

Банковская деятельность

Банковское оборудование

Информационные технологии

БАНКОВСКИЙ МАРКЕТИНГ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №3, 2003

Информационные технологии

Как защитить электронный банковский бизнес?

Безопасность электронных финансовых операций зависит не только от возможностей современных технологий, но и от правильного планирования и использования защитных мер

Вот уже в течение многих лет основным препятствием на пути широкого распространения электронных банковских операций остается неуверенность потребителей в безопасности таких операций и степени их защищенности от действий мошенников и различных неблагоприятных факторов. К сожалению, для финансовых институтов со временем эти опасения клиентов, скорее, усиливаются, чем ослабляются. Дело в том, что по мере усложнения электронных операционных систем банков существенно растет и их уязвимость. Поэтому сейчас финансовые институты стремятся всеми возможными способами повысить защищенность своих интернет-систем. Идя по этому пути, многие банковские менеджеры осознали, что единственным выходом для их институтов могут быть лишь интеграция защиты операционных систем в общую стратегию электронных операций и установление жесткого контроля в интернет-бизнесе с целью выявления и пресечения потенциальных угроз для безопасности операций в электронном пространстве.

Как отмечают специалисты, повышение защищенности электронных операционных систем, вне всякого сомнения, потребует от финансовых институтов существенных финансовых затрат, что для банкиров выглядит особенно неприятным обстоятельством в современных условиях, когда интернет-бизнес не приносит ожидаемых прибылей. Однако институты, вовремя не предпринявшие должных мер защиты своих электронных операций, рискуют очень многим. Не говоря уже о связанных с электронным мошенничеством разнообразных штрафах, компенсационных выплатах и юридической ответственности, под угрозой может оказаться репутация банков как надежных хранилищ средств частных лиц и компаний.

Не следует забывать и о том, что электронный банковский бизнес будет фактически пребывать в состоянии застоя до тех пор, пока клиенты не будут полностью уверены, что их деньги, размещенные в интернет-системах финансовых институтов, надежно защищены. Так, по данным недавнего опроса, проведенного компанией TowerGroup среди американских семей, 17% респондентов по-прежнему указывают на недостаточную защищенность и считают это основной причиной, по которой они отказываются от электронных банковских услуг.

То, что эти опасения реальны, подтверждает, в частности, случай с вирусом SQL Slammer в конце января этого года, когда среди пострадавших серверов оказались те, которые поддерживали интернет-сайты и электронные банковские операции Bank of America, Canadian Imperial Bank of Commerce, американского эмитента кредитных карточек First Data Corp. Хотя, при этом, насколько известно, ни один клиент этих институтов не понес никакого ущерба, все подобные инциденты негативно сказываются на развитии электронного бизнеса, так как увеличивают неуверенность и нервозность потенциальных клиентов.

Поскольку, как видно из отмеченного выше, на карту поставлено очень многое, банкиры усиленно ищут новые пути борьбы с электронным мошенничеством. Помочь повысить безопасность интернет-операций финансовым институтам может внедрение новых защитных приемов, таких как биометрия, смарт-карточки, различные мониторинговые системы для выявления мошеннических действий в режиме реального времени и т.д. Кроме того, банкам необходимо осуществлять постоянный контроль электронных операционных систем, тщательно проверять компании, с которыми они сотрудничают, и даже заняться повышением степени осведомленности своих клиентов об особенностях интернет-бизнеса.

Проблема уязвимости

Сегодня с помощью Интернета клиенты финансовых институтов могут осуществлять широкий спектр операций: контролировать состояние своих активов, переводить денежные средства, оплачивать счета, изучать и приобретать инвестиционные продукты. Однако за все эти удобства приходится платить, так как применение более сложных электронных операционных систем влечет за собой повышение вероятности программных сбоев, появление вирусов и, наконец, облегчает "работу" разного рода мошенникам.

Переход от централизованного доступа через банковский сервер к ориентированной на Интернет модели проведения электронных финансовых операций увеличил уязвимость банков, так как для внешнего мира открыта большая часть их инфраструктуры. Кроме того, ради удобства клиентов и уменьшения волокиты банкам пришлось пожертвовать некоторыми правилами безопасности. Как говорит Гарет Голдман, вице-президент одного из подразделений Hitachi Computer Products, в итоге, если злоумышленнику удастся прорваться через "входной контроль", он получает почти неограниченную свободу действий. Получается, что, по мере того как финансовые институты делают все большее количество услуг и информации доступными при помощи Интернета, преступным элементам становится все легче проникать в их операционные системы.

Значительный рост уязвимости электронных финансовых операций хорошо виден на примере американских банков и компаний. За последние несколько лет число электронных атак против корпоративных операционных систем в США возросло в несколько раз, при этом, только в 2001 году было зафиксировано 142%-ное увеличение числа подобных мошеннических действий. По данным опроса специалистов в сфере интернет-технологий, проведенного компанией Business Software Alliance в июле 2002 года, 45% профессионалов были абсолютно уверены в том, что американские банки и компании совершенно не способны противостоять масштабной и хорошо спланированной электронной атаке. Полностью противоположного мнения придерживался всего 1% специалистов.

Растут и убытки, которые банки и компании США несут в результате электронных афер. Так, по данным совместного исследования ФБР и Computer Security Institute, средний годовой ущерб отдельно взятой американской компании от мошеннических действий в Интернете в 2002 году составил $4.6 млн. (для сравнения: в 2001 году эта сумма равнялась $4.4 млн., а в 2000-м – только $1.5 млн.).

В ответ на подобные действия финансовые институты стали все чаще обращаться к услугам специализированных компаний для защиты своих электронных систем от проникновения преступных элементов. Одна из таких структур – американская Counterpane Internet Security. По данным Джона Брюса, ее директора по маркетингу, банки составляют 28% клиентов Counterpane Internet Security, занимая второе место после промышленных предприятий. За последние три года Counterpane Internet Security расследовала около 200 тыс. инцидентов на веб-сайтах различных банков и компаний, а также предотвратила до 30 тыс. электронных нападений.

По словам специалистов, во многих случаях угроза безопасности электронных операций финансовых институтов развитых государств исходит из развивающих и новых рыночных стран, где немало хороших специалистов по интернет-технологиям, не имеющих возможности в сложившейся экономической ситуации легально заработать достаточные средства.

В то же время, как показывает опыт, чаще всего аферисты проникают в операционные системы финансовых институтов через компании – провайдеры интернет-услуг. Поэтому, по мнению профессионалов, банкиры должны более тщательно контролировать операции сотрудничающих с ними электронных компаний, в особенности, если последние расположены за пределами страны, где функционирует данный банк.

Финансовым институтам в дополнение к мошенническим действиям все чаще приходится иметь дело с хакерами, проникающими в их операционные системы просто ради развлечения. Это, по большей части, подростки, не имеющие целью похищение денежных средств, но заражающие банковские системы различного рода вирусами, нарушающими работу электронных подразделений банка. Количество таких атак на финансовые институты растет по мере повышения общеобразовательного уровня населения развитых стран и расширения доступа к Интернету, причем, зачастую ущерб от подобных действий превосходит убытки от действий профессиональных мошенников.

Банки создают "электронный защитный периметр"

В настоящее время многие эксперты и участники рынка нередко задаются вопросом: а предпринимают ли финансовые институты адекватные меры для обеспечения надежной защиты своих электронных операционных систем? По словам Брайана О'Хиггинса, директора по технологиям компании – производителя защитного программного обеспечения Entrust, банки относятся к проблеме безопасности интернет-операций в целом более ответственно, чем прочие корпорации, но и они зачастую недооценивают степени угрозы.

Одна из главных проблем заключается в том, что финансовые институты уделяют слишком много внимания созданию внешних защитных систем, забывая при этом о внутренней системной защите. Поэтому для опытных хакеров по-прежнему не составляет особого труда найти брешь в защитных системах банков и проникнуть в их операционные сети. В связи с этим упомянутый выше О'Хиггинс сравнивает банковские системы защиты с яйцом – твердая оболочка снаружи, но мягкое и беззащитное содержимое.

Эксперты отмечают, что пока не удается найти универсального решения проблемы обеспечения внутренней безопасности интернет-систем финансовых институтов. От банков требуются серии определенных взаимосвязанных шагов, направленных на уменьшение уязвимости их электронного бизнеса. Одним из главных в этом направлении может стать включение вопросов безопасности в планирование стратегии электронных операций еще на ранней стадии процесса.

Кроме того, финансовые институты должны учитывать постоянный прогресс в развитии интернет-технологий и влияние разнообразных нововведений на безопасность их операционных систем. Необходимо заранее прогнозировать возможные негативные последствия внедрения новых электронных продуктов и услуг, а также продумывать механизмы преодолению возможных последствий.

Многие финансовые институты нуждаются в скорейшей модернизации систем установления личности клиентов. Сейчас многие банки используют для идентификации пользователей те же технологии, что и несколько лет назад, поэтому они уже не в состоянии обеспечить надежную защиту своих электронных операций. В этой области финансовым институтам могут оказать существенную помощь различные новые электронные программные продукты, такие как системы биометрии, или применение кредитных карточек, оснащенных компьютерными чипами (смарт-карточек).

Бороться с хакерами банкам может помочь и внедрение систем выявления в режиме реального времени вторжений в операционные сети. Как отмечают многие специалисты по электронной безопасности, предотвращение проникновения хакеров в банковские системы – гораздо более сложный процесс, чем выявление их действий уже после того проникновения в операционную сеть. Поэтому совершенствование методов своевременного выявления несанкционированных доступов, как автоматизированных, так и с участием сотрудников финансовых институтов, приобретает важное значение для обеспечения безопасности интернет-бизнеса.

В связи с растущей угрозой безопасности электронных операций финансовых институтов все в большем количестве банки обращаются к услугам специализированных компаний, занимающихся созданием защитного программного обеспечения, с целью регулярной проверки степени защищенности своих операционных систем. Такой двойной контроль (со стороны самого банка и нанятой им специализированной компании) обеспечивает с большей долей вероятности выявление попыток атак на банковские системы и их предотвращение.

Впрочем, никакая специализированная компания не сможет помочь финансовому институту, если он сам не уделяет достаточного внимания проблеме защиты своих электронных операций. В современных условиях банкам жизненно необходимо постоянно совершенствовать защитные системы, протоколы и программное обеспечение. По словам Тома Кейбла, генерального директора американского электронного банка NetBank Inc., "было бы просто наивно создавать определенную систему безопасности и считать, что одного этого достаточно для защиты электронного бизнеса на определенный период".

Банкам также необходимо избегать активного внедрения тех услуг, которые представляют слишком большую потенциальную угрозу для безопасности их операционных систем. Это, в частности, относится к предоставлению клиентам доступа к банковской информации в электронном режиме. Вообще же специалисты призывают банки не спешить с внедрением более совершенных электронных продуктов и услуг, до того как будут созданы адекватные им системы защиты.

И, наконец, финансовым институтам не следует забывать также о том, что клиенты независимо от того, осознают они это или нет, играют немаловажную роль в обеспечении безопасности электронных операций. Поэтому банки должны всячески стимулировать у пользователей своих продуктов и услуг заботу о защите персональной финансовой информации и предотвращать превращение клиентов в невольных соучастников действий хакеров. По мнению экспертов, именно финансовые институты должны взять на себя функцию осведомления широких массы клиентов о проблемах электронной безопасности, с тем чтобы защитить как себя, так и пользователей интернет-систем.

Алексей Вересюк, по материалам Bank Strategies

 
© агенство "Стандарт"