журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
Международные банки

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКИЙ СЕРВИС

Банковская деятельность

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №9, 2006

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

«Мобильная» безопасность

Широкое применение мобильных устройств в банках требует внедрения соответствующих правил информационной безопасности

Масштабы использования мобильных устройств в отрасли финансовых услуг за последние два года увеличились на 80%. Становится ясно, что такое преимущество данных аппаратов как способность управлять различными финансовыми операциями на расстоянии содействует повышению производительности банковского персонала и позволяет привлекать новых клиентов. Однако здесь есть и другая сторона медали: сегодня, как никогда ранее, остро стоит вопрос обеспечения безопасности мобильных финансовых трансакций, будь то электронный доступ к клиентским банковским счетам или обеспечение удаленного доступа к корпоративным финансовым сетям.

Низкий уровень защиты

В настоящее время мобильность банковского сотрудника приобретает чрезвычайно важное значение. Он обязан круглосуточно быть в курсе дел, происходящих в современной бизнес-среде. Независимо от того, какие аппараты он использует (портативный компьютер, мобильный телефон или персональное информационное устройство) и где он находится (дома, в машине, в офисе с клиентом или в кафе), необходимость его оперативного доступа к корпоративным сетям и к Интернету растет с каждым годом. В связи с этим на сегодняшний день беспроводная связь превратилась из новинки в обязательный инструмент ведения современного бизнеса.

Однако среди топ-менеджеров в финансовых институтах в настоящее время растет обеспокоенность низким уровнем безопасности мобильных устройств, в частности, их уязвимостью со стороны различного рода хакеров и финансовых мошенников, вирусов и т.п. Следует отметить, что их тревога целиком и полностью обоснована.

Как утверждает Алан Поллер, директор департамента исследований института SANS Institute, занимающегося вопросами компьютерной безопасности, большая часть финансовых институтов охраняет свои технологические мобильные системы достаточно простым и незаурядным способом: просто ограничивает их использование. Но преступников это не пугает, поскольку, по словам Поллера, есть два отличных способа проникнуть в банковские системы, и оба они связаны с применением беспроводных устройств.

Первый, к примеру, заключается в том, чтобы проникнуть в здание банка (а это не так уж и сложно) и установить считывающее мобильное устройство на его интернетовском портале. Второй способ и того примитивнее: преступник паркуется на стоянке возле банка и с помощью набора электронных устройств взламывает мобильную сеть финансового института и проникает в нее. Именно так, как говорит Поллер, у одного из известных банков (его название он отказался разглашать) были похищены сотни тысяч номеров кредитных карточек.

Согласно опросу, проведенному в текущем году компанией FierceWireless-Bluefire Wireless Security, 80% респондентов, представляющих отрасль финансовых услуг, заявили, что уровень использования в их институтах портативных и мобильных устройств существенно возрос за последние два года. Наряду с этим, 87% опрошенных менеджеров озабочены уровнем обеспечения безопасности и-мейлового доступа к корпоративным банковским счетам и удаленного доступа к корпоративным финансовым сетям. В то же время, 85% анкетированных банкиров отметили, что серьезную обеспокоенность у них вызывает защита выхода на электронную почту.

Что касается специфических аспектов безопасности мобильных систем, то 60% банковских менеджеров, участвовавших в опросе компании FierceWireless-Bluefire Wireless Security, заявили, что их больше всего волнуют «атаки» вирусов на их корпоративные сети, а также вопросы обеспечения безопасности передачи данных через беспроводные и мобильные системы. На третьем месте оказались потери или воровство портативных устройств: около 50% из финансовых управленцев высказали тревогу по этому поводу. Очевидно, недавние громкие события, связанные с потерей портативных компьютеров с секретными клиентскими данными, далеко не всеми воспринимаются всерьез, поскольку потери мобильных аппаратов с конфиденциальной информацией не редки и в настоящее время.

«Год назад главная проблема в части безопасности беспроводных трансакций была связана с потерей или хищением мобильных телефонов и прочих подобных устройств. Однако результаты нашего опроса, проведенного в текущем году, свидетельствуют о наличии здесь уже совершенно новых проблем. В связи с тем что различные финансовые институты резко активизировали применение мобильных аппаратов для создания и передачи данных в интересах обеспечения доступа к конфиденциальной информации, хранящейся на их корпоративных серверах, все более ощутим риск потери этой информации», – говорит генеральный директор Bluefire Security Марк Комиски.

Многие аналитики и эксперты соглашаются с тем, что проблема обеспечения безопасности мобильных устройств сегодня чрезвычайно заострена, так что для ее решения финансовым институтам потребуется максимум усилий. В этом плане, как говорит директор департамента новых технологий американской консалтинговой компании TowerGroup Боб Иген, «отрасль финансовых услуг существенно отстает от требований дня и находится явно не на том уровне оперативного решения вопросов безопасности, на котором ей следовало бы быть».

По его словам, многие банкиры рассматривают мобильные аппараты в качестве обычного дополнения к их уже действующим устройствам удаленного доступа, к примеру, к тем же домашним компьютерам, с помощью которых клиенты выходят на связь с банком. Однако мобильные телефоны и другие портативные аппараты используются не только в домашних условиях, а повсеместно, причем, с их помощью можно так же свободно заходить в Интернет, как и благодаря обычным стационарным компьютерам.

Две серьезные проблемы

По данным Бриана Митчелла, вице-президента по вопросам контроля за технологиями инвестиционного банка J.P. Morgan, мобильные устройства создают для компаний в целом и финансовых институтов в частности две серьезные проблемы. Во-первых, тот же банк, к примеру, не может вести «физический» контроль за мобильными аппаратами таким же образом, как он это делает по отношению к обычным персональным компьютерам. Поэтому у него возникают серьезные затруднения, связанные с проверкой и обновлением конфигурации сетей и программного обеспечения. «Потеря сотрудником банка мобильного аппарата может привести к невосполнимым потерям, ведь в него заложен достаточно большой объем информации о выходе к мобильным сетям финансового института», – говорит Митчелл.

Вторая проблема, по его словам, заключается в отношении банковского сотрудника к мобильному устройству. «Даже если оно принадлежит банку, служащий обычно стремится стать чуть ли не собственником выданного ему банком мобильного телефона, персонального информационного устройства или ноутбука. Позволить себе это сделать с офисным ПК ему вряд ли удастся. Поэтому с мобильными устройствами банковские сотрудники могут обеспечивать гораздо больше операций, чем со стационарным ПК, например, закачивать в них новое программное обеспечение, которое, в свою очередь, может содержать вирусы. Наш контроль над мобильными устройствами сотрудников достаточно ограничен, поскольку они не всегда подключены к общей корпоративной сети», – поясняет специалист из J.P. Morgan.

Если принять во внимание обе проблемы, то, по словам старшего аналитика из авторитетной консалтинговой компании Celent Джекоба Джегера, нет ничего удивительного в том, что банки, будучи по сути своей консервативными структурами, «с опаской относятся к внедрению беспроводной техники и не спешат применять мобильные устройства в широких масштабах».

Специалисту из Celent вторит Джулия Мак-Лакен, начальник департамента технологической безопасности First American Bank. Она объяснила проблему на удивление просто: «Мы вовсе не хотим открывать эту банку, полную вирусов и «червей». А Кирк Дрейк, вице-президент по вопросам технологий кредитного союза NIH Federal Credit Union, указывает на то, что его институт разрешает беспроводный доступ к своему интернетовскому сайту, но запрещает осуществлять подобный доступ к собственной корпоративной сети. «За функционированием беспроводных систем и устройств, подключенных к корпоративной сети, необходим повседневный и жесткий контроль, но на это требуются крупные затраты. Пока же они себя не оправдывают, игра не стоит свеч», – считает Дрейк.

Однако, как утверждает Джекоб Джегер из компании Celent, ограничение мобильного доступа к сетям банков в долгосрочной перспективе станет, по существу, бессмысленным занятием. «В течение предстоящих пяти лет у банков не останется выбора. Внедрение мобильных устройств примет еще более широкий размах, оттого финансовым институтам просто необходимо будет брать на вооружение эффективную стратегию применения беспроводной техники в банковском бизнесе. Соответственно банкам придется фокусировать внимание и на обеспечении безопасности мобильной связи, т.е. повсеместно внедрять системы контроля за беспроводными устройствами и управления ими. Мобильная связь в недалеком будущем станет неотъемлемым элементом жизнедеятельности любого финансового института», – утверждает аналитик из Celent.

Через подобную эволюцию, как полагает генеральный директор компании Bluefire Security Марк Комиски, уже прошел один из крупнейших американских банков с численностью в 250 тыс. сотрудников. Ранее он хотел полностью запретить любой беспроводный доступ к своим корпоративным сетям, однако сегодня уже открыл доступ с мобильных устройств к своей корпоративной электронной почте.

Между тем, как утверждают американские аналитики, вопросы обеспечения безопасности беспроводной связи и мобильных устройств представляют собой не только элемент конкуренции или нежелание банка терять информацию, которой могут воспользоваться его конкуренты, злоумышленники, финансовые мошенники или хакеры. Здесь присутствует своего рода аспект взаимоотношений, поскольку мобильная техника обеспечивает связь между финансовыми институтами и их партнерами, а также материнскими компаниями.

Несмотря на всю серьезность ситуации информационно-технологические департаменты банков уделяют ей крайне мало внимания. Например, как подчеркивает Боб Иген из TowerGroup, вкладывая значительные инвестиции в технологии, генерирующие данные о клиентах, банковский персонал вовсе не занимается вопросом обеспечения безопасности тех же компьютеров-ноутбуков. Единственное, что он может предложить в этом плане на сегодняшний день, так это шифровку информации, поступающей с этой аппаратуры.

Казалось бы, как отмечает Адриан Леин, начальник технологического подразделения компании IPLocks, продающей технологии безопасности беспроводной связи, нет ничего плохого в шифровке данных. Однако, по его словам, «в настоящее время существует бесчисленное множество каналов, по которым идет утечка информации из банков, эффективных же приемов борьбы с этим явлением фактически нет; с другой стороны, если к данным по той или иной причине нет доступа, то они полностью обесцениваются».

Конечно, шифрование данных – довольно неплохой способ защиты информации, однако в этом случае возникают серьезные затруднения для зарегистрированных (полномочных) пользователей в части получения быстрого доступа к ней и эффективного использования ее в полном объеме. Главная проблема здесь, как отмечают аналитики, заключается в том, что определенный код предполагает наличие у зарегистрированного пользователя карточки – ключа к шифру, которая может быть утеряна. Кроме того, доступ к отдельным сегментам скрытой информации в больших базах данных занимает много времени, не очень удобен и вызывает массу проблем у пользователей.

Частная виртуальная сеть

Так, к примеру, сотруднику инвестиционного подразделения банка необходимо срочно по мобильному аппарату войти в базу данных и получить по трем-четырем пунктам общую информацию о компании, с которой он намерен совершить срочную торговую сделку. В данном случае ему придется загрузить и расшифровать всю базу данных, а это существенно замедлит поиск нужной информации и может привести к срыву трансакции.

В этой связи банки, разрешающие своим сотрудникам доступ к информации с мобильных устройств, используют для этих целей так называемые виртуальные частные сети (Virtual Private Network – VPN), которые могут шифровать сеанс сетевого соединения пользователя. И, хотя в настоящее время существуют разделенные (split VPN) и неразделенные (non-split VPN) виртуальные частные сети, большинство банков, включая и J.P. Morgan, выбирают non-split VPN во избежание возникновения открытого канала между корпоративной и более широкой интернетовской сетями.

Более того, виртуальные частные сети могут сканировать устройства, подключаемые к ним, к примеру, «засекать» Malware – зловредное программное обеспечение (троянцы, бэкдоры, конструкторы вирусов), загружаемое банковским сотрудником из Интернета. «В момент подключения кого-либо к VPN мы можем сканировать его действия на случай загрузки Spyware – так называемого шпионского программного обеспечения, собирающего ту или иную конфиденциальную информацию», – говорит вице-президент J.P. Morgan Бриан Митчелл.

По его словам, все эти меры, включая кодировку данных, выявление шпионского ПО, вирусов и защиту от них баз данных, а также использование неразделенных VPN, направлены на минимизацию риска несанкционированного вскрытия конфиденциальной информации посторонними лицами. «Конечно, ни одна из этих мер, как, впрочем, и их совокупность, не гарантирует 100%-ной безопасности передаваемых сведений. Следует учитывать еще и «человеческий фактор», когда невнимательность и рассеянность банковских сотрудников приводят к утере конфиденциальной информации», – поясняет Митчелл.

Наряду с актуальностью таких технических приемов как шифровка данных и применение частных виртуальных сетей не менее важно для обеспечения мобильной безопасности формирование нового мышления, в частности, среди банковских клиентов и сотрудников. По мнению Боба Игена из компании TowerGroup, система ключей и замков для защиты данных все еще сохраняет свою полезность сегодня, однако это уже технологии вчерашнего дня.

«Чем больше и лучше «запор», тем умнее и профессиональнее становится преступник, стремящийся его обойти. Многим финансовым институтам в настоящее время следует задуматься об ином и определить с точки зрения безопасности оптимальные места для хранения информации, а также идентифицировать доступ к ней и срок его», – говорит Иген. Так, к примеру, по его словам, банк может предоставить доступ к некоторым клиентским счетам в течение определенного промежутка времени. С другой стороны, он должен оперативно отреагировать, когда кассир, обычно выходящий за день на пять-шесть счетов, вдруг неожиданно запрашивает доступ на сотню...

Конечно, для того чтобы реализовать идеи всеобъемлющей «мобильной безопасности» в банке, проповедуемые Игеном и другими экспертами, финансовым институтам придется создать широкую и исчерпывающую картину всех своих клиентов и их мобильных аппаратов, а также тех точек доступа, через которые может быть осуществлен вход в корпоративные сети. И здесь следует отметить, что у многих банков пока отсутствует такой уровень организации их структур, который обеспечивает им «формирование» подобной картины. Так, по данным специалистов, большинство финансовых институтов просто не имеют возможностей выполнить такую базовую операцию, обеспечивающую безопасность мобильной связи как отключение неиспользуемых USB-портов (через них к сети подключаются все периферийные устройства), с тем чтобы они не применялись в качестве тайных каналов доступа к банковским сетям.

Как бы там ни было, но, по мнению американских экспертов по финансовым технологиям, банкам в любом случае предстоит серьезно заняться вопросами обеспечения безопасности беспроводной связи, которая в ближайшей перспективе получит еще более широкое распространение в секторе финансовых услуг. На эти цели им придется выделить немалые средства. Ведь только, к примеру, один из пяти крупнейших американских коммерческих банков на сегодняшний день ежегодно тратит $6-9 млн. для осуществления в управляемых им банковских счетах около 30 тыс. изменений в год, связанных с обеспечением безопасного доступа к ним по беспроводным линиям связи. Поэтому технологическим департаментам финансовых институтов предстоит приложить еще немало сил и ассигновать финансовые средства для всестороннего оснащения банков системами безопасности, надежно контролирующими беспроводный доступ к их корпоративным и интернетовским сетям.

Олег Зайцев,
по материалам Bank Technology News

 
© агенство "Стандарт"