журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
Международные банки

ИТОГИ И ТЕНДЕНЦИИ

БАНКОВСКИЕ СИСТЕМЫ

Банковская деятельность

БАНКОВСКИЙ МАРКЕТИНГ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

ПЛАТЕЖИ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №10, 2005

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Банковская информация под угрозой

Потеря данных все чаще становится острой проблемой для американских финансовых институтов

С середины XIX столетия большинство американских финансовых институтов рассматривают безопасность своей деятельности как высший приоритет. Раньше вопросы защищенности касались преимущественно сохранения материальных объектов: валюты, ценных бумаг, банковских металлов и т.д. Но в наш век информационных технологий многие банки сталкиваются не столько с банальным грабежом, сколько с гораздо более сложными проблемами. И особенно остро в последние несколько лет встает вопрос о безопасности банковской информации о клиентах и их операциях.

Проблема ужасающих масштабов…

По данным TowerGroup, в 2004 году в США было зафиксировано около 160 тыс. случаев краж информации о клиентах различных финансовых институтов и около 10 млн. фактов мошенничества с кредитными карточками. Нынешний год ознаменовался расширением объемов хищения банковской информации, достигших в некоторых финансовых институтах катастрофических размеров.

Так, уже к августу 2005 года риску подверглось более 45 млн. частных счетов, львиная доля которых приходится на компанию CardSystems, чьи технологии оперирования пластиковыми карточками обеспечивают сбор, хранение и обмен информацией таких «гигантов» как Visa, American Express и MasterCard. Данные о 1.2 млн. личных счетов федеральных служащих, включая номера социального страхования и счетов, пароли и контактную информацию пользователей, потерял Bank of America. Среди около 900 тыс. пострадавших клиентов оказались сотрудники Министерства обороны США, а также политики, избранные на государственные посты разных уровней (в их числе – несколько сенаторов), что еще более усугубляет проблему. ChoicePoint, калифорнийская компания, занимающаяся предоставлением разного рода кредитной информации и идентификационных данных, была вынуждена уведомить более 35 тыс. своих калифорнийских клиентов и 110 тыс. потребителей из других штатов о том, что их имена, адреса, номера социального страхования и кредитные истории были похищены. В течение 2005 года было также украдено 310 тыс. счетов LexisNexis, информация о 200 тыс. клиентов Ameritrade и данные об 1.4 млн. пользователей DSW Shoe Warehouse. В то же время, Citigroup сообщила, что компанией United Parcel, предоставляющей курьерский сервис, почтовые, и транспортные услуги (она обеспечивала доставку банковских данных Citigroup в хранилище) были утеряны носители с кредитной информацией, историями платежей и номерами социального страхования 3.9 млн. клиентов CitiFinancial, дочерней финансовой компании Citigroup.

В некоторых случаях информация пропадала в организациях, о существовании которых рядовые потребители финансовых продуктов зачастую даже и не подозревают – в компаниях, предоставляющих услуги сбора, хранения и обработки информационных данных, часто лишь косвенно относящихся к банковской сфере. Несколько раз данные терялись непосредственно курьерами, перевозящими физические носители информации (в частности, подобным образом пропали сведения о клиентах Citigroup и Bank of America). В других случаях данные финансовых институтов воровали при помощи специальных компьютерных программ, а также посредством взлома банковских систем.

… и ее влияние на финансовые институты

О негативном влиянии утраты пользовательской и иной информации на репутацию финансовых институтов и их услуг красноречиво говорит статистика. Так, по данным исследования, проведенного Intervoice, британской компанией, занимающейся программным обеспечением, около 17% клиентов американских финансовых институтов и торговых компаний перестали пользоваться онлайновыми банковскими услугами и 13% респондентов прекратили совершать покупки через Интернет в связи с неуверенностью в надежности и безопасности финансовых и торговых операций в режиме реального времени.

«Большинство потребителей боятся, что их личные данные – логины, пароли, номера социального страхования, адреса, телефоны, информация о финансовом состоянии и т.д. – могут быть похищены, – говорит Дэн Гир, вице-президент и главный научный сотрудник компании Verdasys, занимающейся разработкой и продажей программного обеспечения систем защиты информации. – Но здесь важна не столько вероятность противозаконного присвоения данных, сколько подрыв уверенности клиентов в надежности самой системы. Все дело в доверии».

«Данные 2005 года показывают, что информация о клиентах абсолютно не защищена от постороннего вмешательства и преступных посягательств, – говорит Брюс Штейнер, руководитель технического департамента компании Counterpane, обеспечивающей техническую безопасность. – Но самое ужасное в данной ситуации – это не сама пропажа данных, ведь, в конце концов, их можно восстановить. Наихудшее – лишиться доверия клиентов».

Утрата конфиденциальных данных наносит ущерб не только финансовым институтам, но и, по вполне понятным причинам, крайне негативно влияет на положение компаний, с которыми они сотрудничают. Так, невозможность CardSystems обеспечить необходимый уровень безопасности данных привела к тому, что ее основные партнеры – Visa и American Express – отказались от услуг этой компании.

«Мы скомпрометировали себя и теперь вынуждены расплачиваться, – признается Джон Перри, исполнительный директор CardSystems. – Visa и Ame-rican Express уведомили нас, что вынуждены полностью прекратить сотрудничество с CardSystems с ноября текущего года. В то же время, MasterCard сообщила о намерении пересмотреть систему взаимодействия с нами, требуя уже к концу 2005 года привести уровень безопасности систем CardSystems в соответствие новым требованиям».

Впрочем, роста количества краж и мошенничеств, связанных с использованием украденных данных, несмотря на ужасающие объемы похищенной информации пока не наблюдается. Вместо этого скандалы, связанные с невозможностью некоторых американских финансовых институтов обеспечить надежную сохранность банковской информации, вызвали беспокойство и негодование общественности, заставив усомниться в надежности существующих систем обеспечения безопасности информации.

Все это привело к тому, что крупнейшие американские финансовые институты заработали себе новую головную боль, а Сенат США объявил о начале слушаний относительно повышения уровня защиты банковской информации. На Капитолийском холме разгорелись дебаты в части секретности данных о потребителях финансовых услуг, состоянии их дел и совершаемых ими трансакциях, ответственности финансовых институтов и компаний, предоставляющих услуги по защите информации, за сохранность данных, надежность систем сбора и обмена информацией, действующих в США.

«Беспокойство финансовых институтов, юристов и, конечно же, общественности окажет существенное влияние на объемы инвестиций в сферу технологий гарантирования безопасности, – делится своим пониманием проблемы Дэн Гир, – и заставит банки и другие компании по-новому посмотреть на необходимость обеспечения сохранности информации. В современных информационных системах данные уже играют более важную роль, чем «железо». В то же время, растут емкость запоминающих устройств и пропускная способность, что упрощает и делает менее затратными процессы хранения информации и обмена данными. Уверен, что в условиях снижения необходимых затрат банкам будет еще более выгодно финансировать проекты, обеспечивающие превентивные меры защиты различной конфиденциальной информации».

В США вопросы виртуальной безо-пасности регулируются действующими нормативными актами – Patriot Act и Gramm-Leach-Bliley Act (GLB), предусматривающими создание банками новых, более сложных уровней безопасности, усовершенствование идентификации клиентов и обеспечение секретности при передаче данных. Так, Patriot Act вводит строгие правила проверки личности клиентов и выявления мошенничества, а GLB обязывает корпорации и банки защищать данные пользователей от несанкционированного доступа, их изменения и искажения, а также возлагает на руководителей компаний ответственность за своевременный пересмотр и принятие программ обеспечения безопасности информации.

«Patriot Act и Gramm-Leach-Bliley Act действительно указывают финансовым институтам и другим компаниям, что именно стоит продумать для обеспечения конфиденциальности информации, – говорит Бетти Рисс, пресс-секретарь Bank of America. – Но они не объясняют, что конкретно следует предпринимать. Государственные службы долгое время не могли разработать единой стратегии виртуальной безопасности, которая одновременно защищала бы интересы клиентов и удовлетворяла органы контроля. К сожалению, только катастрофические события последних двух-трех лет заставили Конгресс серьезно заняться законодательной базой обеспечения безопасности финансовой, пользовательской и прочих видов информации».

Сегодня Конгресс рассматривает целый ряд давно ожидаемых законодательных документов, которые будут способствовать усовершенствованию систем защиты данных. Помимо всего прочего, проекты предусматривают введение нескольких новых средств безопасности: использование системы автоматического уведомления пользователей в случае несанкционированного доступа к их частным данным; введение более жестких правил регулирования деятельности компаний-посредников, обеспечивающих сбор, хранение и обмен конфиденциальной информацией; ограничение использования номеров социального страхования в качестве идентификатора.

Возможные пути решения

«Большинство финансовых институтов и их клиентов ориентируются на высокие стандарты безопасности, – говорит Марк Раш, руководитель федерального отдела по борьбе с киберпреступностью и главный консультант компании Solutionary, разрабатывающей программное обеспечение систем безопасности. – Иметь их – это одно, но соответствовать им – это уже совсем иное. Безопасность требует не только значительных финансовых затрат, но и предоставления различного рода ресурсов. К сожалению, многие компании уделяют проблемам безопасности слишком мало внимания, подвергая ненужному риску информацию о своих клиентах и, как результат, – собственную репутацию. Необходимо помнить, что затраты на восстановление потерянных данных и возврат былой репутации во много раз превышают издержки на предотвращение подобных негативных ситуаций».

Необходимо отметить, что большинство финансовых институтов используют двухуровневую систему защиты данных, в рамках которой любые более или менее важные сведения остаются сразу, как минимум, в двух базах данных – собственно банка и удаленного центра хранения информации. Некоторые крупные банки используют еще и дополнительные центры хранения сведений, расположенные далеко от основной базы, оставляя в них резервные копии на случай повреждения или потери информации в основных базах.

Так, Bank of America, Citigroup, MasterCard и CardSystems, как правило, для хранения пользовательской и финансовой информации обращаются к услугам третьих, независимых компаний. В случае потери данных клиенты этих финансовых институтов могут легко и просто возобновлять исчезнувшие или поврежденные сведения. Например, клиенты CitiFinancial в случае потери или несанкционированного изменения их частных данных могут воспользоваться услугой Citi Identity Theft Solutions, чтобы восстановить информацию.

«Создание резервных копий значительно упрощает процесс восстановления утраченных или поврежденных данных, – говорит Марк Раш. – Но, в то же время, многие компании и банки не способны обеспечить достаточный уровень надежности резервных хранилищ. Как результат, – именно резервная информация часто становится объектом преступных посягательств».

Еще одним слабым звеном при сохранении банковских данных является преимущественное использование физического способа передачи информации. «Практика показывает, что в большинстве случаев главным фактором риска становятся люди, – подчеркивает Брюс Штейнер. – В нескольких случаях потери особенно больших объемов данных имела место банальная кража физических носителей информации у курьеров. Дело даже не в доверии к тем или иным сотрудникам, в конце концов, невозможно предугадать каждую случайность, а в том, что еще не перевелись обычные, не связанные с информационными технологиями преступники».

Альтернативные (электронные) способы хранения и передачи сведений, предлагаемые несколькими американскими фирмами – разработчиками программного обеспечения, помогают сохранять информацию в режиме реального времени в Интернете. Подобные системы исключают риск потери важной пользовательской и финансовой информации, поскольку обеспечивают немедленную передачу данных в хранилища, тогда как использование физических носителей предусматривает 24-часовой процесс транспортировки. Онлайновые системы также сокращают сроки возобновления утраченных и поврежденных данных.

«Лучше всего совмещать преимущества физической и онлайновой систем, – советует Марк Раш. – Для резервного хранения выгоднее использовать физические носители, но для немедленного сохранения, конечно же, гораздо эффективнее – и в плане затрат в том числе – использование электронной системы. Важно и то, что обе системы выигрывают при возобновлении поврежденной информации, хотя физические носители, все же, уступают онлайновой системе во времени. В принципе, физическая система обмена больше подходит для хранения не критично важной информации, тогда как альтернативная выгоднее для защиты более насущных данных, например, информации о трансакциях, проведенных с помощью банкоматов, колебаниях курсов валют, акций и других ценных бумаг, электронных платежах и т.д., т.е. данных, которые изменяются ежедневно».

Похоже, что в связи с опасной ситуацией, сложившейся в течение последних двух лет, большинство американских финансовых институтов осознали всю важность обеспечения должного уровня защищенности банковской информации и надежности систем ее хранения, так что впредь вряд ли они намерены скупиться вкладывать средства в развитие технологий безопасности. Многие крупные банки уже сегодня заявляют о своем намерении немедленно усовершенствовать существующие системы и процедуры.

«Сегодня мы работаем над улучшением процедуры отслеживания информации и путей ее передачи, – говорит Бетти Рисс, – стараемся уменьшить количество резервных копий, необходимых для функционирования системы и восстановления данных в случае их потери. Мы также намерены перейти на электронную систему обмена информацией, которая со временем полностью заменит физические носители данных, используемые сейчас. Кроме того, в настоящее время Bank of America ведет переговоры с несколькими компаниями относительно разработки особой системы шифрования данных, которая смогла бы обеспечить необходимый уровень безопасности данных».

Не вызывает сомнений и тот факт, что уже в ближайшем будущем в США резко возрастут объемы капиталовложений в сферу технологий, гарантирующих безо-пасность данных и информационных систем. Финансовые институты, повысив стандарты приватности и надежности, будут вынуждены заботиться о высоком уровне защиты всевозможной банковской информации. Также активно будут разрабатываться программные продукты, обеспечивающие шифровку пользовательских и финансовых данных, повышающих, таким образом, безопасность хранения и передачи подобной информации.

Евгения Лакосник,
по материалам Bank Technology News, Banking Strategies

 
© агенство "Стандарт"