журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
СЛИЯНИЯ И ПОГЛОЩЕНИЯ

Международные банки

БАНКОВСКИЕ СТРАТЕГИИ

Банковская деятельность

ПЛАТЕЖНЫЕ КАРТОЧКИ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №8, 2004

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Банки, хакеры и вирусы –
борьба продолжается

Управление "пачами" – защитными "заплатами" к программному обеспечению – становится одним из важнейших направлений обеспечения информационной безопасности западных банков

В последние годы серьезную озабоченность у западных банкиров вызывают дальнейшее распространение компьютерных вирусов и активизация действий хакеров, которые поражают серверы банков и приводят к существенным сбоям в функционировании платежных и других бэк-офисных систем финансовых институтов. В этой связи все большую актуальность для банковских руководителей приобретают вопросы борьбы с компьютерными вирусами посредством своевременного и рационального применения так называемых "пачей" (patch) – программных приложений ("заплат"), исправляющих ошибки в программах изготовителей и обеспечивающих успешную борьбу с вирусами и действиями хакеров. На первый взгляд, как представляется, заниматься подобными операциями должны, в первую очередь, специалисты по программному обеспечению. Однако урон, наносимый вирусами банковским системам, становится столь ощутимым, что банкиры вынуждены организовывать специальные внутрибанковские отделы по управлению своевременным и целенаправленным применением пачей (patch management) для обновления программного обеспечения.

Своевременные "заплаты"

Казалось бы, в управлении patch ничего сложного нет. Когда определенный элемент программного обеспечения (ПО) становится уязвимым при атаках вирусов, производитель ПО отправляет конечному потребителю пач для установки на его ПК с целью исправления ошибки. Однако эффективность этих "ремонтных" работ в немалой степени зависти от того, насколько своевременно конечный потребитель устанавливает "защиту", правильно ли он ее тестирует и убедился ли в том, что данное приложение не создает проблем для функционирования других элементов программного обеспечения.

Тем не менее, давление на конечного потребителя возрастает по мере распространения компьютерных вирусов. Банки сегодня оказались в ситуации, когда им приходится последовательно "накладывать" один пач на другой, к чему их системы программного обеспечения пока совершенно не готовы. Такой подход, по мнению экспертов, приводит лишь к росту уязвимости финансовых институтов при новых атаках вирусов и возникновению, пусть и неумышленных, но непредвиденных, действий тех "заплат", которые они уже установили.

О том, что возникшая проблема действительно заслуживает пристального внимания со стороны банков, говорит хотя бы тот факт, что недавно на территории России была задержана группа хакеров, осуществлявших атаки на серверы банков и букмекерских компаний в Великобритании. После рассылки вирусов хакеры через различные платежные системы вымогали денежные средства у компаний в обмен на прекращение своих действий. В зависимости от благосостояния фирмы злоумышленники требовали от $5 тыс. до $50 тыс.

Ошибочно считать, что банки пренебрежительно относятся к возникшей проблеме. Их уязвимость к атакам компьютерных вирусов вызывает настолько серьезное беспокойство, что многие западные банковские институты под эгидой ряда финансовых ассоциаций – BITS, Financial Services Roundtable – обратились к поставщикам ПО с требованием создавать более безопасные продукты. Но тем временем идет массовый выпуск новых пачей, рынок которых, по прошлогодним прогнозам компании Gartner, в ближайшие несколько лет будет расти быстрыми темпами и завершит свой разбег в 2007 году, когда функция управления пачами станет стандартным и неотъемлемым элементом мощных систем безопасности банков.

Такое внимание к данной проблеме в сочетании с проведением среди банковского персонала тренингов по использованию "заплат", вероятно, даст возможность, как полагают эксперты, усовершенствовать практику управления patch в отрасли финансовых услуг. Однако банковские менеджеры по информационным технологиям и системам безопасности не должны ограничивать круг своих обязанностей только своевременным установлением программ по исправлению ошибок в ПО. Они обязаны, прежде всего, разрабатывать и внедрять системы "многоуровневой и глубокоэшелонированной защиты" для предотвращения атак хакеров и вирусов на банковские технологические платформы.

"Если вы начинаете искать вирус, когда он уже появился внутри вашей системы, считайте, что поезд ушел. Вы опоздали", – говорит Ронда Маклин, руководитель департамента корпоративной безопасности Bank of America. По мнению Маклин, "многоуровневая защита" против вирусов в банковском институте должна включать такие технологические барьеры как брандмауэры (аппаратно-программные средства межсетевой защиты), ПО для обнаружения просачивания вирусов и антивирусное программное обеспечение. Банки также должны собирать данные и обмениваться информацией о потенциальной угрозе нашествия "пришельцев", что исключает вирусную атаку в глобальном масштабе.

Главная проблема в организации надлежащего управления пачами в отрасли финансовых услуг заключается в том, что в последнее время было приложено немало усилий и потрачено уйму времени на обеспечение безопасности программного обеспечения для нужд банков, что, казалось бы, данное ПО должно было бы уже давно стать самим совершенством. По некоторым оценкам, затраты мирового банковского сектора на операции с пачами составляют около $100 млн. в год. Многие банкиры, правда, надеются, что их призывы к разработчикам ПО создавать более безопасные программы и нести ответственность за их "вскрываемость" дадут, наконец, свои положительные результаты. Но сегодня банкам не остается ничего иного, как принимать срочные меры для решения проблемы организации управления операциями с patch, поскольку от этого напрямую зависит надлежащее функционирование всех систем безопасности.

Cрочнo!

В этой связи заслуживают внимания методы управления программными приложениями, разработанные и применяемые в американском банке PNC Financial Services Group. В последнее время солидная часть ассигнований банка на системы безопасности направлялась непосредственно на организацию управления пачами. "Это достаточно сложная и кропотливая работа, – отмечает Джон Эриксен, руководитель банковского департамента по управлению технологическим риском. – За прошедшие полтора года мы дополнительно инвестировали значительные средства в стандартизацию операций по управлению пачами".

Учитывая саму природу атак компьютерных вирусов, установить контроль над частотой применения банком программных приложений, как утверждает Эриксен, фактически невозможно. Иногда финансовому институту приходится это делать три-четыре раза в неделю или ни разу в течение нескольких месяцев.

В PNC Financial на основе специально проведенных исследований пришли к выводу, что уменьшение уязвимости ПО к атакам вирусов и хакеров может быть достигнуто, прежде всего, за счет быстроты реакции и мгновенного принятия предупреждающих мер. Так называемое "окно беззащитности" (window of vulnerability), т.е. время между идентификацией угрозы поражения ПО и началом реагирования на нее со стороны финансового института в PNC Financial, по словам Эриксена, было существенно сокращено. Ранее, как отмечает этот специалист, банк мог на протяжении нескольких месяцев не заниматься установкой пачей. Но сегодня активность хакеров существенно возросла, так что мгновенные поражения компьютеров стали уже обычным явлением. Их налеты начинаются совершенно неожиданно, вирусы зачастую ведут поиск незащищенных систем в условиях, когда пач для борьбы с этими вредителями еще даже не создан.

С учетом такой ситуации банк PNC разработал процесс под названием "Computer Escalation Response and Forensic" (CER&F), направленный на ускорение и автоматизацию ответной реакции банка на возможную вирусную атаку. PNC Financial, используя CER&F, проводит оценку надежности пача и принимает решение о целесообразности его дальнейшего применения или установки новой "заплаты". Для сокращения времени реакции на атаку вируса банк также разработал стандартизованную методику инсталляции patch на всех технологических платформах PNC Financial, которая подтверждает, что эти программные приложения инсталлированы и работают эффективно.

Специалисты отрасли финансовых услуг подчеркивают, что тестирование и проверка остаются самыми важными операциями при работе с пачами. Обычно банки проводят два теста. Первый рассчитан на оценку правильности установки "заплат" и эффективности их воздействия, второй же проводится для того, чтобы определить, не мешает ли пач функционированию других приложений, устройств и систем.

Общая проблема управления пачами заключается в том, что эти приложения не начинают действовать до тех пор, пока не будет перезагружен компьютер. Система управления пачами может подавать сигнал о том, что ПК настроен, хотя на самом деле он остается незащищенным, поскольку не был перезагружен. Эти недостатки в ПО для управления пачами заставили вашингтонскую ассоциацию BITS, в которую входят 100 крупнейших финансовых институтов США, развернуть беспрецедентную общественную кампанию с целью получения от провайдеров ПО более безопасных приложений и программ.

BITS начала эту кампанию в феврале текущего года, организовав специальную конференцию по вопросам обеспечения безопасности в киберпространстве, на которой руководителям банков было настоятельно рекомендовано установить более тесные контакты с разработчиками ПО в интересах гарантирования безопасности функционирования банковских технологических систем. В апреле текущего года BITS обнародовала совместное с организацией американских банкиров Financial Services Roundtable (SAR) заявление о важности принятия срочных мер для обеспечения надлежащей безопасности национального финансового пространства. В документе содержался прямой и недвусмысленный призыв к разработчикам банковского ПО "возложить на себя ответственность" за качество создаваемых ими программных продуктов в части противодействия атакам вирусов и хакеров.

"Это заявление отражает наше общее разочарование в том, что разработчики программного обеспечения недостаточно уделяют внимания таким вопросам как управление риском", – делится Джон Карлсон, старший директор BITS. По его словам, провайдеры ПО зачастую не учитывают того, что финансовые институты действуют в чрезвычайно строгой регулятивной среде и несут полную ответственность за защиту клиентской информации.

Точку зрения Карлсона разделяет и Джон Эриксен из PNC Financial. "Если провайдеры ПО уменьшат количество уязвимых точек на этапе начала функционирования программного обеспечения, нам не придется устанавливать так много пачей", – убежден он. С другой стороны, Эриксен не считает, что поставщики ПО должны нести 100%-ную ответственность за способность своих систем противостоять атакам вирусов и хакеров. Бизнес, по его словам, всегда требует разработки новых многофункциональных систем с широким набором технологических возможностей, причем, вопросы безопасности нередко отходят на второй план.

Справедливые требования

Как бы там ни было, но BITS и FSR намерены добиться от компаний – разработчиков ПО, чтобы функция безопасности стала одним из главных и неотъемлемых компонентов конфигурации поставляемого ими для банков программного продукта. Кроме того, представители BITS и FSR настаивают на том, чтобы провайдеры ПО существенно повысили уровень информированности финансовых институтов о появлении новых уязвимых мест в своих пакетах программного обеспечения и путях их решения.

Следующее требование BITS к разработчикам ПО касается того, чтобы их программное обеспечение отвечало сертификационным нормативам ассоциации, маркирующей специальным клеймом "BITS Tested" ("проверено BITS") продукты, прошедшие сертификацию. Пока же только два провайдера получили право наносить такую маркировку на свою продукцию, с тех пор как год тому назад BITS начала активно продвигать этот бренд.

Обе ассоциации, наконец, рекомендуют провайдерам ПО улучшить управление пачами посредством быстрой рассылки ранних оповещений о необходимости их обновления и обеспечения поддержки действия "заплат" в старых пакетах программного обеспечения. BITS и FSR также требуют от поставщиков ПО всестороннего тестирования пачей перед их рассылкой потребителям, с тем чтобы инсталляция этих приложений не провоцировала новых неразрешимых проблем у пользователей.

Здесь, правда, возникает один закономерный вопрос: насколько успешными окажутся попытки банков убедить провайдеров ПО следовать данным рекомендациям? Представители BITS признают, что объединение усилий всех участников финансовой отрасли в стремлении игнорировать и не приобретать тот или иной продукт разработчиков ПО может противоречить антимонопольному законодательству. Тем не менее, ассоциации BITS и FSR располагают серьезными рычагами влияния на американский банковский сектор. "Мы – важнейшая отрасль национальной экономики, – считает Эриксен. – Поэтому к нам необходимо прислушиваться".

Следует учитывать и то, что у банков здесь есть серьезные союзники в лице телекоммуникационных и энергетических компаний, которые тоже представляют важнейшие отрасли экономики США. Финансовые институты, по словам Ронды Маклин из Bank of America, работают в тесном сотрудничестве с секторами телекоммуникаций и энергетики в части разработки новых требований к обеспечению безопасности программных продуктов, поставляемых провайдерами ПО. "Разработчики программного обеспечения ощущают на себе серьезное давление со стороны всех секторов экономики в плане повышения уровня безопасности своих пакетов ПО, – говорит Маклин. – А это – важный фактор обеспечения общей безопасности страны".

Одним из основных разработчиков и поставщиков ПО, который регулярно получает изрядную долю внимания от BITS, признается, безусловно, доминирующая на мировом рынке программного обеспечения корпорация Microsoft. Атаки большинства из недавних компьютерных вирусов, в частности – Melissa и Blaster, были нацелены как раз на продукты Microsoft.

Давать частные интервью по поводу принимаемых мер по снижению угрозы и последствий предпринятых атак представители Microsoft пока не спешат, однако из заявлений пресс-службы компании следует, что в последнее время "был проведен ряд новшеств для повышению уровня безопасности ПО, причем, осуществление таких инициатив будет продолжено". В рамках разработанной в Microsoft программы "Trustworthy Computing Initiative" (ТСI) компания уже осуществила реконфигурацию 20 сервисов (сервис – cерверный процесс, выполняющий определенную системную функцию) на своем сервере Windows Server 2003 в целях снижения риска вирусных атак.

"Microsoft действительно стала уделять гораздо больше внимания вопросам ликвидации уязвимых мест в своих пакетах ПО для банков", – полагает Стив Кац, основатель и президент компании Security Risk Solutions, ранее занимавший руководящие посты в секторе безопасности технологий в J.P. Morgan Chase, Citicorp и Merrill Lynch. "К сожалению, – сетует Кац, – у типичной операционной системы Microsoft миллионы линий кодирования, так что даже при огромном желании обеспечить ее безопасность практически невозможно из-за массы уязвимых мест".

Между тем, по мере отслеживания все новых компьютерных вирусов банковские сотрудники, отвечающие за безопасность финансовых трансакций, начинают все более отчетливо осознавать ограниченные возможности управления пачами. Ведь хакеры сегодня стали действовать гораздо мобильнее, чем ранее, а их умение искать и обнаруживать слабые места в программном обеспечении для банков существенно возросло. Поэтому, как говорит Ронда Маклин из Bank of America, банкам не остается ничего иного, как создавать и полагаться в борьбе с хакерами на "многоуровневые защитные системы" (layered defense system), известные также как "defense-in-depth" ("защита вглубь").

Ценность подобных новаций, состоит, прежде всего, в их возможности предупреждать и предотвращать действия вирусов и хакеров. В PNC Financial, по словам Эриксена, defense-in-depth включает от трех до пяти контроллеров с целью защиты от 80-90% угроз (а не один, предположительно способный противостоять 100% атак). Такие контроллеры включают различные типы технологических препятствий, в частности – брандмауэры для блокировки нетрадиционного трафика сообщений, программное обеспечение для обнаружения подозрительного трафика и антивирусное ПО. Защита, как уверен Эриксен, должна устанавливаться в различных точках входа в систему и включать продукты от нескольких поставщиков ПО.

Наряду с этим, по мнению Ронды Маклин, финансовые институты в обязательном порядке должны проводить регулярную инвентаризацию компьютерных систем, задействованных в собственных локальных сетях. "Это очень важно для организации надлежащего управления пачами", – говорит Маклин, замечая, что компьютерные черви иногда могут создавать видимость того, что в сеть добавлены новые ПК. В этой связи, как специально подчеркивает Маклин, банковские сотрудники обязаны иметь в своем распоряжении хорошую программу по надзору за сетевыми компьютерами, которая могла бы помогать определять дружелюбие или враждебность появившегося в сети нового устройства.

Другим ключевым элементом стратегии защиты от компьютерных вирусов и хакеров становится создание в банке группы быстрого реагирования. Такие асы, например, действует в Bank of America, поэтому здесь ежечасно получают информацию о появлении уязвимых мест в том или ином ПО, после чего быстро принимается решение об установке необходимого пача. Подобной политики, по словам Ронды Маклин, могут придерживаться и провайдеры аутсорсинговых банковских систем.

В конечно итоге управление пачами должно стать только одним из главных элементов общей стратегии эффективного обеспечения безопасности банковского бизнеса. С учетом резко возросшего количества случаев мошенничества и хакерства в банковских компьютерных сетях и их способность наносить серьезный урон финансовой системе в целом, как считают специалисты, необходимо принять в этом направлении широкомасштабные защитные меры. "К счастью, пока никакого кризиса нет, но он, возможно, впереди, так что мы должны быть к нему готовы", – говорит Кэтрин Аллен, генеральный директор BITS.

Олег Зайцев,
по материалам
Banking Strategies

 
© агенство "Стандарт"