журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

Международные банки

БАНКОВСКИЙ МЕНЕДЖМЕНТ

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Новые рыночные страны

ПЛАТЕЖИ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №9, 2005

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Благоразумная паранойя

Банки и разработчики программного обеспечения ищут новые способы защиты электронных документов

В современной отрасли финансовых услуг налажен широкий обмен конфиденциальной информацией, что, безусловно, делает ее уязвимой к атакам мошенников. Поэтому банки принимают все возможные меры безопасности, с тем чтобы вести эффективную борьбу с несанкционированными утечками секретной информации и минимизировать риски сбоев систем обработки конфиденциальных данных. Хотя иногда отношение финансовых институтов к поддержанию секретности можно считать параноидальным, но никто не может также сказать, что банкиры приуменьшают опасность.

Обычная

невнимательность

Так, в июне текущего года более 40 млн. счетов Visa и Mastercard стали объектами потенциального мошенничества, когда произошла утечка информации при сбое в работе процессора по обработке платежных карточных трансакций, принадлежащего сторонней компании. Провал случился в офисе фирмы CardSystems Solutions и стал одним из самых последних событий в серии репортажей о хищениях и утечках конфиденциальной информации о банковских клиентских счетах. Мало того, что методика и приемы, применяемые киберпреступниками, становятся все более и более изощренными, так еще и благодаря современным технологиям они способны скопировать данные о клиентском счете крупного банка всего за несколько секунд.

На сегодняшний день в разных коммерческих организациях, в том числе и в банках, практически повсеместно внедрены устройства хранения больших объемов информации на базе универсальной последовательной шины (Universal Serial Bus – USB), которые заменили гибкий магнитный диск, способный нести не более одного мегабайта информации. Устройства же хранения, к примеру, такие как накопители Flash Drive, MP3-плееры типа іPod и др., способны хранить данные объемом от 16 мегабайт до 60 гигабайт.

Между тем, как утверждают аналитики, самые ценные сотрудники финансового института, вероятно, становятся носителями и самой важной информации банка, которая хранится в их персональных портативных компьютерах – лэптопах. Случаев, когда эти устройства оставлены без присмотра в барах, кафе, ресторанах, у знакомых или забыты на заднем сидении такси, хоть отбавляй. Из-за подобной невнимательности и рассеянности конфиденциальная информация зачастую попадает в неблагонадежные руки. Распространение беспроводных технологий типа Wifi и Bluetooth тоже дает прекрасную возможность для хищения секретных сведений – достаточно расположить оснащенное Wifi и Bluetooth устройство в паре метров от лэптопа, как оно сразу начнет "рыться" в компьютерных файлах конфиденциальной информации.

Наконец, как говорят эксперты, не нужно забывать и о том, насколько уязвима с точки зрения утечки информации электронная почта. Многие пользователи несмотря на многочисленные советы специалистов не передавать конфиденциальные данные посредством имейлов и незащищенных файлов в формате Word до сих пор продолжают это делать.

В настоящее время банки достаточно активно и постоянно обмениваются конфиденциальной информацией между собой. Как утверждает аналитик по вопросам безопасности из компании Gartner Джей Хейсер, исходя из того что два совершенно независимых банковских института зачастую оперируют абсолютно несовместимыми концепциями и системами безопасности, многие банки в последнее время занялись созданием взаимозаменяемых платформ и форматов безопасности финансовых трансакций. "Когда информация накапливалась и хранилась на "бумажных" носителях, какое-либо лицо (служащий того же банка, к примеру) не могло вручную скопировать большие объемы данных. Ситуация резко изменилась после появления копировальных машин, благодаря чему стало возможно дублирование документа с конфиденциальной информацией всего за несколько минут. Но сегодня банкам угрожает еще большая опасность", – предупреждает Хейсер.

По словам Тодда МакЛиза, вице-президента технологической компании PKWare, главная причина серьезных утечек конфиденциальных сведений в настоящее время заключается в так называемой "пакетной обработке данных" (batch processing). "Обмен информацией, осуществляемый внутри банковской структуры, к примеру, между отделениями, или на внешнем уровне между самими финансовыми институтами обычно осуществляется в "пакетном режиме", когда вероятность утечки данных достаточно велика. Никак не содействует обеспечению информационной безопасности и то, что зачастую для передачи данных банки используют различные средства "транспортировки" данных", – поясняет МакЛиз.

Реальность бизнеса, по его словам, сегодня такова, что в современном секторе финансовых услуг очень трудно определить корпоративные границы банков, поскольку многие из них передали немалую долю своих повседневных функций и операций, осуществляемых ранее внутри банка, в ведение внешних аутсорсинговых компаний. Кроме центров по обслуживанию клиентов по телефону (телефонные центры), на аутсорсинговые методы переводятся многие бэк-офисные операции, поэтому, по большому счету, нет ничего необычного в том, что конфиденциальная информация начинает "гулять" за пределами финансового института. В этой связи зачастую сложно не только установить контроль над передачей сведений, но даже определить владельца того или иного информационного документа.

В целом, как отмечают аналитики, банки ведут очень жесткий контроль функционирования своих информационных систем. С другой стороны, однако, необходимо учитывать то, что в современной банковской среде информационные потоки выходят уже за пределы корпоративных границ, и разрабатывать новые подходы к обеспечению информационной безопасности.

Возможно, как предполагают эксперты, финансовым институтам следует обратиться к опыту отрасли музыкальных услуг. Ведь здесь сегодня широко применяется технология "управления цифровыми правами" (Digital Rights Management – DRM) на защищенный копирайтом мультимедийный контент (содержание). DRM представляет собой метод защиты мультимедийного контента от несанкционированного проигрывания или копирования. Эта технология обеспечивает провайдеров контента средствами защиты собственных музыкальных или прочих данных от несанкционированного копирования или иных неправомерных действий, защищая цифровой контент за счет его шифрования, а также определяя для пользователя условия и правила проигрывания и прослушивания музыкальных произведений. Данные правила обычно запрещают копировать информацию или ограничивают количество прослушиваний контента. Примерно, по такой же схеме, как считают специалисты, можно организовать защиту информации и предотвратить ее утечку и в банковских институтах.

Новинки от лидеров

Самой важной характерной особенностью любого документа считается то, что он должен быть "переносимым" (portable), поскольку банки постоянно взаимодействуют между собой и пересылают друг другу задокументированную информацию. Не менее важно и то, что в такой же степени этим свойством должны обладать и средства обеспечения безопасности документа.

Именно эта область в последнее время становится объектом приложения основных бизнес-усилий таких главных создателей форматов электронных документов как Microsoft (пакет продуктов Office) и Adobe (приложение Acrobat). Несмотря на то что большинство банков для составления документов используют пакет программных продуктов Microsoft Office, некоторые финансовые институты отказываются сегодня от архивации и передачи информации в данном формате во избежание ее вскрытия и искажения. Именно по этой причине в настоящее время банки предпочитают архивировать и пересылать документы в "формате переносимого документа" (Portable Document Format – PDF), который становится стандартным для их архивации.

Продукты Microsoft Office и PDF, который поддерживается программным обеспечением Acrobat Software от фирмы Adobe, – наиболее распространенные общепринятые форматы документов, которые широко используются в различных компаниях, в том числе и в банках. Именно поэтому компании Adobe и Microsoft становятся сегодня главными конкурентами в бизнесе по обеспечению информационной безопасности и защиты данных.

Два года назад корпорация Microsoft запустила в действие новую технологию защиты информации, которая дает возможность различным бизнес-структурам наладить более жесткий контроль над тем, кто и когда пользуется доступом к документам и хранимой в компьютерах фирмы информации. Этот технологический пакет, получивший название Windows Rights Management Services (RMS), представляет собой дополнение к операционной системе Windows Server 2003, которая позволяет организациям добавлять к своей информации (например, к документам или электронным письмам) цифровые средства защиты прав доступа, владения и т. д.

С выходом Windows RMS решение Microsoft, адресованное корпоративному рынку и обеспечивающее централизованное управление правами пользования информацией, обретает законченный вид. В сентябре прошлого года корпорация Microsoft представила ПО Windows Rights Management Client, а в октябре объявила о начале поставок пакета Office 2003, поддерживающего технологию управления правами на уровне приложений (Outlook, Word, Excel и PowerPoint).

По словам представителей Microsoft, данное решение существенно расширяет возможности использования пометок типа "конфиденциально" и пр., регламентирующих степень секретности и обычно используемых в документах и сообщениях электронной почты. Пользователи могут, к примеру, ограничить доступ к документам, возможность их копирования, дальнейшую пересылку, печатание документов и сообщений электронной почты. Кроме того, при желании задается срок действия документа или электронного письма, по истечению которого прочитать сообщение уже просто невозможно. "В большинстве компаний, в том числе и в банках, существуют четкие правила использования информации, но нет механизма, гарантирующего их соблюдение, – говорит менеджер по продуктам Microsoft Джон Мерчинсон. – Мы надеемся, что корпоративные пользователи с большим энтузиазмом отнесутся к перспективе обеспечения выполнения установленных правил с помощью данной технологии".

Понимая, что Office 2003 пока только набирает популярность, в Microsoft собираются создать дополнительные модули для Internet Explorer (IE), которые обеспечат просмотр защищенного информационного наполнения без обращения к Office 2003. Эти дополнительные модули для IE должны появиться уже в конце текущего года.

Тем временем, компания Adobe убеждает в совершенстве приложения PDF, подчеркивая абсолютную независимость этой платформы и ее способность эффективно обеспечивать целостность, сохранность и неприкосновенность информации. В начале 2005 года она запустила дополнительную технологию управления правами для процессов конвертации документов в формат PDF. Как и фирма Microsoft, компания Adobe тоже наращивает возможности шифрования и информационной защиты самого документа. Пользователи, к примеру, могут ограничить или вообще запретить доступ к документам, предотвратить их копирование и дальнейшую пересылку, а также перепечатку документов и сообщений электронной почты.

Между тем, как утверждает Питер Касселмен, старший инженер компании Cybertrust, занимающейся поставкой банкам систем информационной безопасности, сегодня предлагаются вполне открытые форматы и стандарты документов (Word и тот же PDF), обеспечивающие их дополнительную защиту. По его словам, ведущие разработчики программных систем безопасности и защиты документов, в частности, фирмы Microsoft и Adobe, используют в своих технологиях элементы Public Key Encryption – шифрование открытым кодом (метод шифровки сообщений, когда засекречивается лишь ключ для их декодирования), которые остаются "невидимыми" для пользователя.

Все данные системы базируются на централизованно управляемых принципах обеспечения безопасности и защиты документопотоков. Поскольку большинство банков уже располагают внутренними системами идентификации для своих коммуникационных сетей (или внедряют их), то очевидно, что им просто следует обеспечивать безопасность сведений, выходящих за пределы финансового института. Здесь, как полагают эксперты, на помощь банкам может прийти широко применяемый стандарт ZIP, разработанный компанией PKWare. В прошлом году PKWare запустила продукт SecureZip, защищающий сжатые архивы с помощью алгоритма шифрования AES с 256-разрядным ключом, системы сложных паролей и даже цифровых сертификатов.

Программа защищает данные, передаваемые по Интернету или просто хранящиеся на жестком диске. Основной интерфейс у нее такой же, как и у проверенного и испытанного временем потребительского продукта PKZip для Windows. Подобно многим программам сжатия она выполняется как "мастер" или из стандартного окна приложений. Оба интерфейса просты в использовании: выделив подлежащие сжатию и шифрованию файлы, необходимо ввести пароль и, если нужно, выбрать цифровой сертификат на жестком диске. Специалисты PKWare позаботились также о том, чтобы можно было отправлять зашифрованные архивы даже тем, у кого нет полной версии этого приложения: теперь бесплатно распространяемая программа для распаковки и расшифровки архивов опубликована на веб-узле компании.

Таким образом, главное преимущество SecureZip заключается в том, что практически любой документ может быть сжат в защищенный файл, а затем "распакован" получателем на другом конце с помощью программы считывания SecureZip Reader, которую пользователь может загрузить бесплатно. После этого получатель открывает документ в том же приложении, в котором он был создан. Продукт SecureZip также оснащен инструментами централизованного администрирования. Благодаря им системные администраторы могут устанавливать обязательное шифрование для отдельных типов архивируемых файлов. Если требуется развернуть программу в рамках крупного банка, то для этих целей PKWare предлагает специальные версии SecureZip, предназначенные для крупных корпоративных сред и обеспечивающие с центральной консоли контроль правильности использования программы служащими банка или интеграцию ее с серверами хранящими большое число цифровых сертификатов каталогов.

В целом же, по оценкам аналитиков, банковская отрасль сегодня существенно опережает другие сектора экономики в части применения, как может показаться на первый взгляд, параноидального подхода к вопросам обеспечения информационной безопасности. Но количество и размеры обрушившихся за последние годы на сферу финансовых услуг инцидентов с утечкой клиентских данных и хищением идентификационной информации свидетельствуют о том, что это правильный и разумный подход.

Олег Зайцев, по материалам The Banker, PC Magazine

 
© агенство "Стандарт"