журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

Международные банки

БАНКОВСКИЙ СЕРВИС

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №7, 2005

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Без маски и не вооружен…, но очень опасен

Проблема информационной безопасности становится все более актуальной для западных банков

Современные грабители банков мало чем напоминают своих традиционных предшественников. Они теперь не натягивают маску на лицо, не берут в руки оружие. Напротив, для того чтобы обезопасить себя от обнаружения, они успешно пользуются передовыми компьютерными технологиями для похищения денег и важной конфиденциальной информации, подрывая таким образом доверие розничных и корпоративных клиентов к своим финансовым институтам. И по мере того, как методы злоумышленников и преступников становятся все более и более изощренными, уязвимость банков к их атакам резко возрастает. С другой стороны, однако, большинство финансовых институтов сегодня прекрасно осознают, что нарушение внутренней банковской безопасности – это уже не только и не просто игра неустановленных хакеров, но нечто более серьезное.

"Ловля рыбы" в сети

В настоящее время, по мнению аналитиков, регулярный доступ к конфиденциальной корпоративной информации банков имеют как их собственные сотрудники, так и внешние бизнес-партнеры, от которых вполне можно тоже ожидать нарушения этой самой конфиденциальности. Поэтому с целью защиты от внутренних и внешних угроз банки регулярно вносят изменения в систему операций по обеспечению собственной информационной безопасности. Используя, к примеру, автоматизированный мониторинг и анализ информационной безопасности, финансовые институты получают в свое распоряжение надежное оружие против мошенников, независимо от того, как и откуда они ведут свою преступную деятельность.

Одним из самых опасных киберпреступников считается "фишер" (phisher), т.е. лицо, занимающееся сетевым мошенничеством, или "фишингом" (phishing – измененная форма от английского "fishing" – "ловить рыбу"). Эти лица обращаются к спам-письмам для того, чтобы пользователи Интернета под выдуманным предлогом сами предоставляли злоумышленникам свою конфиденциальную информацию (пароли, номера карт социального обеспечения, банковских счетов или кредитных карт и другую). По данным авторитетной американской консалтинговой компании TowerGroup, в 2004 году на банковских пользователей было совершено около 31.3 тыс. "фишинговых" атак. Как полагают эксперты этой компании, ожидается, что в текущем году этот показатель вырастет почти в три раза – до 86 тыс., поскольку фишеры расширят масштабы своих операций и на мелкие финансовые институты. Специалисты TowerGroup также подчеркивают, что действия фишеров нацелены не столько на банки, сколько на неосмотрительных и излишне доверчивых клиентов.

"Мошенники привыкли действовать там, где не встречают практически никакого сопротивления и отпора, и нацеливаются, прежде всего, на малоопытных онлайновых банковских клиентов", – говорит Уильям Хаммел, директор департамента безопасности финансовых операций нью-йоркской компании Verizon Enterprise Solutions Group. По его словам, главная добыча банковского хакера – это конфиденциальная информация о клиентах, в частности, – номера их кредитных карточек и счетов. "Как только хакер становится владельцем персональной информации своей жертвы, он сразу же получает доступ к его банку, точнее – к банковской системе электронных финансовых операций", – поясняет Хаммел.

Одним из объектов пристального внимания фишеров в последнее время стал нью-йоркский M&T Bank с совокупным объемом активов на общую сумму $52.9 млрд. Так, в апреле 2005 года атака хакеров на M&T Bank, инициированная из Японии, привела к дублированию структуры и кодировки банковского сайта электронных операций, в результате чего некоторые онлайновые клиенты банка ввели в фальшивую систему ряд своих персональных данных. Правда, эта операция фишеров не нанесла серьезного вреда M&T Bank, поскольку была своевременно обнаружена недавно установленной в банке современной системой обнаружения мошеннических действий. Она разработана компанией Symantec – провайдером программных продуктов в сфере обеспечения информационной безопасности.

Сервис Online Fraud Management ("Онлайновое противодействие мошенничеству") от Symantec представляет собой набор операций по обнаружению мошеннических электронных писем, который, к тому же, дает возможность существенно снизить вероятность получения корпоративными подписчиками различного рода спама, а также попыток взлома хакерами системы электронных банковских операций и хищения клиентской идентификационной информации. Данный сервис анализирует ежедневно миллионы е-мейлов всех известных на сегодняшний день видов и типов этих электронных сообщений и оповещает пользователей о подозрительных письмах, которые могут нанести вред деловой репутации и бренду банка. Кроме того, система Online Fraud Management оснащена "фильтрующими элементами", которые блокируют получение подозрительных писем адресатом. "Сервис Online Fraud Management показал себя эффективным профилактическим инструментом обеспечения безопасности и целостности онлайновых трансакций наших клиентов. Он дает возможность M&T Bank постоянно отслеживать активность электронных финансовых жуликов, находить мошеннические сайты в Интернете и принимать меры к их закрытию", – говорит Мэтью Спеа, специалист по обеспечению корпоративной безопасности M&T Bank.

Между тем, банковские мошенники действуют не только вне стен финансовых институтов. Сегодня не менее серьезная угроза информационной безопасности банков исходит изнутри самих этих учреждений, ведь многие из их сотрудников ежедневно имеют доступ к конфиденциальной клиентской информации и прочим секретным данным. Однако большая часть финансовых институтов до сих пор явно недооценивает ту угрозу безопасности банковских трансакций, которую может создать персонал банков. "Практически все финансовые компании ставят перед собой цель перекрыть внешние каналы проникновения вирусов и спам-писем в свои электронные сети и раскрытия конфиденциальной клиентской информации. Однако многие из них забывают, что инсайдеры (лица, в силу служебного положения располагающие секретной информацией о делах банков) тоже представляют собой серьезный риск для обеспечения информационной безопасности", – говорит Бретт Шклар, старший директор подразделения программных продуктов и маркетинга денверской фирмы Vericept. Эта компания занимается разработкой программного обеспечения для мониторинга сетевых операций и оповещения о возникновении потенциального риска для проведения финансовых трансакций.

Эта опасность, по мнению экспертов американской консалтинговой фирмы Gartner, очень велика, поскольку более 70% финансовых мошенников, получающих несанкционированный доступ к банковским информационным системам, обычно являются сотрудниками банков. Более 95% их операций по негласному вторжению в эти системы влекут за собой существенные финансовые потери.

Рост инвестиций

в безопасность

Конечно, как утверждает Шклар, многие банковские служащие сегодня работают вне стен банков, поскольку последние для сокращения расходов передают ряд своих операций в ведение аутсорсинговых компаний. "Но к этим внешним провайдерам или бизнес-партнерам банки относятся так, как будто они становятся их собственными внутренними структурами", – говорит Шклар. Однако, по его словам, эти внешние партнеры могут быть источником новых угроз и рисков, контролировать которые, а, тем более, управлять ими банки порой просто не в состоянии. Так, к примеру, подрядчики часто пользуются собственными настольными и переносными компьютерами для доступа к внутренней конфиденциальной информации банков. В этой связи у последних возникает такая серьезная проблема как обеспечение надлежащей безопасности и сохранности тех сведений, которые по той или иной причине становятся достоянием внешних бизнес-партнеров или сервисных провайдеров. Оперативное решение этой проблемы крайне важно для финансовых институтов, поскольку их внешние бизнес-партнеры зачастую обладают прямым и неконтролируемым доступом к корпоративным сетям банков.

"Банкам следует определить оптимальные пути идентификации любых нестандартных изменений в поведении тех сотрудников или подрядчиков, у которых есть доступ к банковским электронным сетям. Сегодня, к сожалению, лишь 20% американских финансовых институтов предпринимают подобные шаги, а остальные 80% – нет", – утверждает Шклар.

К этим 20%, вероятно, можно причислить небольшой американский банк Castle Rock Bank с активами в $100 млн. В настоящее время этот институт за счет открытия ряда новых банковских отделений планирует сменить свой статус мелкого локального банка и выйти на уровень финансовой компании с представительством в нескольких американских штатах. Клиентская база Castle Rock Bank, как, впрочем, и количество его сотрудников, сегодня растет достаточно быстрыми темпами.

"Обе эти группы – клиенты и сотрудники – пользуются доступом в Интернет, онлайновым и телефонным банковским сервисом, а также банкоматовскими услугами. Поскольку число клиентов и сотрудников Castle Rock Bank постоянно растет, увеличивается и количество точек входа пользователей в электронные системы банка. Многие из них из-за отсутствия надлежащего контроля становятся достаточно уязвимыми к действиям финансовых аферистов. Хотя наш департамент информационных технологий пытается выполнять регулятивные нормативы по части защиты данных и обеспечения конфиденциальности клиентской информации, мы, к сожалению, не располагаем достаточной численностью персонала для эффективного мониторинга функционирования этих систем", – признается Крейг Зирд, вице-президент Castle Rock Bank по вопросам информационных технологий и систем.

Становится очевидным, что банкам необходимо создавать мощную линию обороны, своевременно выявлять, а по мере возможности и опережать любые мошеннические действия преступников. В связи с этим многие финансовые институты в последние годы увеличивают расходы на приобретение программного обеспечения по защите банковской информации, способного идентифицировать уязвимые места в электронных системах банков и защищать их от несанкционированного доступа посторонних лиц. "В 1998 году американские банки выделяли на мероприятия по обеспечению безопасности данных лишь 2.5% от бюджетных ассигнований на информационные технологии. В 2003 году эта цифра составила уже 10%", – говорит Джерри Лафтмен, профессор технологического института Stevens Institute of Technology из штата Нью-Джерси.

Посягательства хакеров на информационную безопасность банков, защита клиентских данных и внедрение технологических систем, способных предотвращать атаки финансовых мошенников, стали настолько серьезными проблемами, что руководители финансовых институтов и их директора по информации отдают сегодня приоритет приобретению передовых технологий защиты от несанкционированного доступа к банковской информации. Об этом свидетельствуют данные специального исследования, проведенного чикагским обществом Society for Information Management (SIM) – национальной организацией в составе директоров по информации различных финансовых институтов, которая отслеживает деятельность ведущих компаний в сфере информационных технологий. "За последний год мир информационных технологий изменился до неузнаваемости. В прошлом году вопросы информационной безопасности банков не были столь актуальны, как сегодня. Поэтому сейчас спрос у финансовых институтов на передовые технологии защиты данных постоянно растет", – поясняет профессор Джерри Лафтмен, который, к тому же, является автором вышеуказанного исследования и вице-президентом SIM.

Здесь же следует отметить, что в последнее время в деле обеспечения более надежной защиты своей информационной базы банки начинают отходить от применения моделей сетевой безопасности и стремятся внедрять технологии, которые могут обезопасить, прежде всего, программные приложения. "Сетевые программы уже не в состоянии справиться с сегодняшними атаками хакеров, которые в настоящее время нацелены не столько на сетевую инфраструктуру банков, сколько на их базы данных и прикладные программы. Поэтому специалисты по информационным технологиям стремятся обеспечить, прежде всего, более надежную защиту прикладных программ", – поясняет Джерри Брейди, консультант компании Secure Software, провайдера технологий защиты программных приложений.

Вместе с тем, банки не могут приносить в жертву результаты своей операционной деятельности исключительно ради того, чтобы обеспечить себе информационную безопасность. По мнению специалистов, финансовым институтам необходимо такое программное обеспечение, которое, с одной стороны, гарантирует надлежащую безопасность баз данных, а, с другой, не "вмешивается" в повседневную операционную и трансакционную деятельность финансовых институтов.

Опыт BECU

В этом плане вызывает интерес методика обеспечения информационной безопасности, принятая на вооружение вашингтонским кредитным союзом Boeing Employee Credit Union (BECU), располагающим активами на общую сумму $5.2 млрд. "Информация о членах нашего кредитного союза – это самый ценный актив, который мы имеем, так что мы должны уметь защитить его. Нам приходится обрабатывать большие объемы данных и затем архивировать эту информацию, охраняя, таким образом, наших клиентов", – говорит Даниель Чау, инженер по безопасности и технологическим информационным системам Boeing Employee Credit Union.

По словам Чау, BECU архивирует клиентские данные на магнитных лентах, поскольку они невелики по размерам, не занимают много места при хранении, к тому же, на них можно загружать большие объемы информации. Однако и в этом случае существует риск ее несанкционированного вскрытия, поэтому, как говорит Чоу, "надо быть уверенным в том, что эта информация поддается восстановлению и обладает высоким уровнем интеграции данных". "Кроме того, – продолжает Чау, – BECU также принял решение приобрести систему, способную шифровать и защищать данные от несанкционированного доступа к ним различного рода злоумышленников и мошенников".

Поиски путей безопасного управления данными и их архивации привели Чау в калифорнийскую компанию Decru, занимающуюся поставками программного обеспечения и систем безопасной архивации и хранения сетевых данных. Установив разработанное в Decru программное приложение DataFort по безопасному хранению данных, сегодня BECU имеет возможность шифровать клиентскую информацию, записанную на магнитные ленты. Это, как утверждает Чау, обеспечивает надежную защиту данных о членах кредитного союза от несанкционированного доступа к ним независимо от того, где хранятся сами пленки.

"Такие действия BECU направлены, прежде всего, на защиту интересов клиентов и предотвращение посягательств на их персональную информацию со стороны финансовых жуликов и мошенников", – объясняет Кевин Браун, вице-президент Decru по вопросам маркетинга. Компания Decru также оказывает содействие BECU в реализации проекта по совершенствованию управления файловыми операциями в банке. Специальная система, созданная в Decru, размещена в настоящее время в центре корпоративных данных этого кредитного союза, с ее помощью ведется постоянный мониторинг всех операций пользователей по созданию файлов, а также по их доступу к конфиденциальной информации и ее применению.

Между тем, по мнению экспертов, сегодня американские банки заинтересованы в приобретении такого программного обеспечения (ПО), которое способно вести запись, выдавать отчеты и осуществлять анализ по всем изменениям в поведении банковских служащих, имеющих доступ к конфиденциальной информации как в отделениях банка, так и на его общем корпоративном уровне. Это ПО, получившее название "программное обеспечение по мониторингу сети" (network monitoring software), отслеживает работу всех сетевых устройств и изменения в поведении пользователей, а также мгновенно оповещает руководство финансового института о возникновении потенциальных проблем с обеспечением информационной безопасности.

Наряду с этим, главная задача по организации управления информационной безопасностью финансового института, как полагают американские банковские аналитики, состоит в инсталляции в центральном офисе банка такой системы и ПО, которые способны отслеживать и консолидировать все данные о поведении его сотрудников. "Подобное программное обеспечение функционирует как централизованная платформа, осуществляющая аудит всех операций, проводимых банковскими служащими. Network monitoring software ведет мониторинг всей сетевой инфраструктуры банка и дает возможность его руководству выявлять попытки нарушения информационной безопасности на общем корпоративном уровне", – подчеркивает Мэт Стивенс, директор департамента технологий американской компании Network Intelligence.

Между тем, по словам тех же американских экспертов, несмотря на изобилие технологий и решений по обеспечению информационной безопасности в финансовых институтах, активизация мероприятий в национальной банковской отрасли по защите информации от внешнего и внутреннего несанкционированного доступа только началась. Американские банки наращивают инвестиции в приобретение технологий по обеспечению собственной информационной безопасности, однако на сегодняшний день они стоят перед необходимостью решения еще одной серьезной проблемы – организации качественной подготовки и обучения персонала навыкам использования этих технологий и принципам обеспечения информационной безопасности. "Самое слабое звено в деле защиты данных – это люди. Поэтому наши действия в плане обучения персонала методике обеспечения информационной безопасности стали в последнее время гораздо более активными", – говорит Мэтью Спеа из M&T Bank.

Хотя руководство мировых банков прекрасно отдает себе отчет в том, насколько велик риск подрыва их внутренней информационной безопасности, многие финансовые институты до сих пор не предпринимают действенных мер для защиты своих баз данных от потенциальных внешних и внутренних угроз. Более того, эти институты фактически не информируют свой персонал об их серьезности и необходимости принятия соответствующих мер предосторожности. Об этом, в частности, идет речь в специальном исследовании Global Information Security Survey за 2004 год, подготовленном компанией Ernst & Young на основе анализа опросов представителей 1.23 тыс. финансовых организаций в 51 стране мира.

Данные этого исследования свидетельствуют также и о том, что, акцентируя все внимание на борьбе с внешними угрозами, банки явно недооценивают тот риск, которому подвергается их информационная безопасность внутри самого финансового института. Он становится сегодня еще более серьезным, поскольку многие банки передают в настоящее время функции ведения ряда своих операций в руки аутсорсинговых компаний и других бизнес-партнеров, надежно контролировать действия которых изнутри банка порой не представляется возможным. По оценкам исследования Ernst & Young, 70% участвовавших в опросе представителей правлений крупных мировых банков заявили о том, что не получают ежеквартальных отчетов о состоянии дел с обеспечением информационной безопасности в их финансовых институтах. "Только треть банков анализируют и дают оценку тому, насколько их партнеры – провайдеры информационных технологий – способны обеспечить информационную безопасность внутри финансового института. Остальные же просто слепо доверяют своему персоналу", – говорит Эдвин Беннет, директор департамента технологий и риска Ernst & Young.

В качестве рекомендаций исследование Ernst & Young предлагает банкам формировать среди персонала своих внутренних структур культуру ответственности за обеспечение информационной безопасности. Однако, по мнению аналитиков компании, успех этих мероприятий будет результативным только в случае их поддержки со стороны топ-менеджмента финансового института. На сегодняшний же день, по оценкам экспертов Ernst & Young, лишь в 20% банков из числа участвовавших в проведенном компанией опросе, вопросы защиты данных выносятся на уровень генерального директора.

Олег Зайцев,
по материалам Bank Systems & Technology

 
© агенство "Стандарт"