журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

Банковская деятельность

БАНКОВСКИЙ СЕРВИС

КОРПОРАТИВНЫЙ БАНКИНГ

БАНКОВСКИЙ МАРКЕТИНГ

ПЛАТЕЖИ

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №11, 2007

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Цифровая крепость

Методы всесторонней защиты банковской информации

Вы все еще верите, что банк – это место, где хранятся деньги? Увы и ах, в наш XXI век это уже давным-давно не правда: в банке хранят не деньги, а информацию. Разве многомиллионные электронные счета – это действительно деньги? Нет, это, прежде всего, информация, ведь увеличить или уменьшить счет в разы можно простым нажатием нескольких клавиш на клавиатуре компьютера (это, конечно, несколько утрированное представление, но в сущности правдивое). А раз современный банк – это хранилище информации, а не огромный сейф с золотыми слитками и бриллиантами, то и работать банку приходится несколько иначе. И, если раньше под словом «банк» подразумевались толстые неприступные стены, железные двери и большой штат вооруженных охранников, то сегодня банк – это компьютеры, серверы и базы данных. Соответственно изменились и инструменты работы банкиров. Это уже не счеты, весы и оружие для охраны имущества, а средства по защите и обработке информации, а попросту говоря – программное обеспечение.

В первую очередь, стоит уделить внимание все той же защите информации. Применение антивирусов, антихакеров и антиспамов необходимо, но, ограничиваясь только этими средствами, мы поступаем точно так же, как если бы выстроили крепость, которая с лицевой стороны имеет очень крепкую и высокую стену, а вот с тыла – дырявый тын. Поясним аллегорию: все используемые программы защищают от опасности извне, но ведь она может таиться и внутри. Ни для кого не секрет, что у каждого современного компьютера есть USB-порт, привод для CD/DVD-дисков, флоппи-дисковод и т.д. Получается, что информация абсолютно не защищена от того, что любой сотрудник (преднамеренно или нет) может просто скопировать доступные ему данные на удобный носитель и в дальнейшем сделать с ними все, что будет угодно. Продать, использовать в своих корыстных целях, передать конкурентам, предать огласке… Да мало ли что?!. И о какой коммерческой тайне может идти речь в таком случае?

Но решение этой проблемы существует (и не одно), просто банки очень часто о нем забывают, не уделяют должного внимания или надеются на службу безопасности. Конечно, можно купить такие компьютеры, где вообще нет приводов для передачи информации, или обыскивать каждого сотрудника на входе и выходе, а можно просто использовать специальное программное обеспечение.

Подобное ПО (например, DeviceLock, HSLAB Logger) обеспечивает контроль доступа сотрудников банка к устройствам («флешки», диски, Bluetooth, WiFi и т.п.) и портам ввода-вывода (USB, FireWire и т.п.) при помощи механизма аутентификации устройств. При этом, большинство подобных программ уже прошли несколько обновлений, в них учтен опыт пользователей и исправлены ошибки, что гарантирует осуществление целого набора полезных функций:

lконтроль доступа пользователей к устройствам в зависимости от времени и дня недели;

lустановка режима «только чтение» для любых сменных носителей и приводов;

lзащита дисков и сменных носителей от случайного или преднамеренного форматирования;

lвведение списка устройств, доступ к которым будет всегда разрешен/запрещен;

lпротоколирование всех действий пользователей с устройствами и файлами (копирование, чтение, удаление и т.п.);

lсоставление отчетов по установленным настройкам и устройствам (USB, FireWire и PCMCIA), которые используют сотрудники на своих локальных компьютерах.

Таким образом, использование подобного программного обеспечения – это «неплохое» подспорье для службы безопасности банка (скорее, «службы кибербезопасности»). Но говорить о том, что информация (читай – деньги) банка полностью защищена, все еще рано. Попробуем проанализировать. Информация хранится в компьютерах. Она уже защищена от проникновения извне с помощью комплекса программных продуктов для сохранения информации и средств контроля над внешними устройствами. Но ведь основа работы банка – это обмен информацией с клиентами, партнерами, госорганами, т.е. информация передается и принимается. Как защитить ее в пути? Помимо этого, при передаче информации возникает целый ряд других вопросов. Как наиболее эффективно и безопасно организовать передачу файлов между клиентами и банком или передачу информации между территориально удаленными подразделениями банка? Причем, все это необходимо сделать в условиях, когда возможны проблемы с интернет-провайдером или сервером (что в нашей стране, особенно в регионах, отнюдь не редкость).

Решение проблемы в виде все того же программного обеспечения найдено, просто о нем мало кто знает. Как показывает наша практика, из-за узкой направленности таких программ знание о них распространяется, в основном, с помощью «сарафанного радио» – методом эффективным, но очень медленным. Речь идет о так называемых файловых агентах для автоматического и защищенного приема/передачи файлов через TCP/IP (таких как GERMES, DigiSecret, CuteFTP Pro и т.д.). Естественно, каждая из таких программ несколько отличается от других по функциональности, но решают они, по сути, общую задачу.

Как правило, помимо защищенного файлового обмена (при помощи шифрования информации различными способами), эти программы предоставляют также возможность экономить трафик и время, так как файлы при передаче автоматически упаковываются. Причем, совершенно не важно, как организован канал передачи данных в банке. Использование протокола TCP/IP с одинаковым успехом гарантирует обмен информацией через локальную сеть, VPN-канал, выделенную линию, Dial-Up-соединение и т.д. В качестве бонуса обеспечиваются надежность и бесперебойность передачи: клиент может автоматически перебирать серверы (например, в банке их два – основной и резервный), в случае неполадок на одном из них он просто перейдет на второй и этого может даже не заметить. А ведь, как известно, лучший сервис – это ненавязчивый и незаметный. Также в подобном программном обеспечении существуют дополнительные возможности, способные еще более обезопасить передаваемую информацию: например, протоколирование действий программы с точным указанием времени, внесение подробной информации о клиентах в базу данных на сервере (контакты и т.п.), передача сообщений с жестким контролем (прочитано сообщение или нет), привязка к IP/MAC-адресам сетевых карт для аутентификации.

Теперь уже можно говорить о комплексной информационной защите банка, ведь все возможные каналы утечки электронной информации находятся под контролем специального программного обеспечения. Естественно, на этом перечень специализированных банковских программ не заканчивается, банку не просто необходимо защитить свою информацию, но и работать с ней согласно всем законам и правилам. Поэтому создают такое программное обеспечение, в первую очередь, отечественные разработчики, которые знают все подводные камни локального рынка.

Как пример можно привести программу «Платежное поручение» (предназначена для подготовки и печати платежных поручений, соответствующих требованиям Национального банка Украины). При этом, эта программа дает возможность вести базу плательщиков, получателей, банков, платежей и непосредственно платежных поручений, а также включает в себя справочник по банкам Украины. Естественно, существуют и другие подобные программы, решающие конкретные задачи, как правило, широко известные и используемые банками.

В заключение следует отметить интересную тенденцию нескольких последних лет. Украинские банки все чаще стали интересоваться программным обеспечением для управления проектами (портфелями проектов) и CRM-системами. Вызван такой интерес, на мой взгляд, прежде всего тем, что изменяются внешние условия для работы банка: приходят крупные иностранные игроки и ужесточается конкуренция на рынке. Поэтому отечественным банкам волей-неволей приходится изменять свой подход к работе с клиентами. Во-первых, это реализация стратегических изменений: открытие новых филиалов, разработка современных банковских продуктов, ребрендинг (чтобы заметить описанную тенденцию, стоит всего лишь полчаса посмотреть телевизор). Ну, а для успешной реализации подобных изменений, которые сами по себе становятся проектами, банку необходим эффективный инструмент. Вот и вызывают интерес такие системы как Microsoft Project, Spider Project, Primavera и т.д.

К тому же, банку, чтобы удержать клиента (и тем самым закрепиться на рынке) приходится уделять этому самому потребителю все больше внимания, т.е. собирать о нем больше информации, хранить ее, обрабатывать, анализировать, применять персонифицированный подход. Соответственно, банки стали посматривать на различные CRM-системы (например, Terrasoft CRM).

Говоря о программах управления проектами и CRM-системах, нельзя не подчеркнуть, что эти программные продукты (по сути – инструментарий) требуют внедрения, а, значит, идут в неразрывной связке с консалтинговыми услугами. В свою очередь, программное обеспечение для защиты информации в дополнительном внедрении не нуждается, что следует учитывать банку при принятии решения о покупке тех или иных программных продуктов.

Естественно, приведенный здесь перечень программного обеспечения для банков далеко не полон. Для полного раскрытия темы, пожалуй, не хватило бы и сотни страниц. Причем, с течением времени список только будет расширяться, ведь банковский сектор становится все более виртуальным. И кто знает, какое программное обеспечение понадобится банкам в ближайшие несколько лет? А, может быть, и сам банк со временем станет электронным, и – по большому счету – будет представлять собой одну большую и сложную программу?

Анна Боднарчук,
директор супермаркета лицензионного программного обеспечения «Софткей-Украина»
ann@softkey.ua

 
© агенство "Стандарт"