журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
Международные банки

БАНКОВСКИЕ СИСТЕМЫ

БАНКОВСКИЕ ПРОДУКТЫ

БАНКОВСКИЙ СЕРВИС

МОБИЛЬНЫЙ БАНКИНГ

БАНКОВСКИЙ МАРКЕТИНГ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Банковская деятельность

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №12, 2007

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Информационная безопасность «мобильных офисов»

Мобильные устройства как потенциальный источник утечки конфиденциальной информации

Ни для кого не секрет, что утечка корпоративной конфиденциальной информации, помимо огромных убытков, также непоправимо ухудшает репутацию организации. А компании, чьи сотрудники используют в своей работе различные мобильные устройства, подвержены повышенному риску. Так, по оценкам аналитического центра InfoWatch, в половине случаев утечки информации в 2006 году использовались именно мобильные устройства, в то время как Интернет в качестве источника утечки фигурировал лишь в 12%.

Технический прогресс

В августе 2006 года американская компания Trust Digital, разработчик программного обеспечения в сфере безопасности, провела интересный эксперимент. На онлайновом аукционе eBay инженеры компании приобрели 10 смартфонов и КПК, после чего им удалось восстановить около 27 тыс. страниц персональной, корпоративной и другой важной информации, хранящейся на каждых девяти мобильных устройствах из десяти продаваемых. Причем, некоторые телефоны были куплены непосредственно у инсайдеров крупных американских корпораций.

В частности, извлеченные данные содержали личную банковскую информацию, а также сведения о налогах, записи о корпоративной деятельности по продажам, данные о клиентах, стратегические планы развития продуктов различных компаний, адресные книги, журналы зарегистрированных телефонных звонков и посещенных веб-сайтов, календарные записи, персональную и бизнес-корреспонденцию, компьютерные пароли, в том числе и для доступа в корпоративные сети, а также прочую конфиденциальную информацию. Если такие сведения попадут в руки конкурентов или мошенников, то банки могут понести колоссальный ущерб.

Поэтому директорам по информационным технологиям финансовых организаций специалисты настоятельно рекомендуют адекватно оценивать подобные риски утечки важной информации и пересматривать свои приоритеты безопасности. Безусловно, результаты эксперимента шокируют, но вообще-то не удивляют. «Учитывая то, что в настоящее время на рынке находится почти 2 млрд. смартфонов, вероятность того, что информация попадет в «недобрые руки», очень большая», – согласен Ник Маглиато, гендиректор Trust Digital.

В последние годы на рынке смартфонов и КПК наблюдался бурный рост с внедрением технологических инноваций, обеспечивающих не только использование более быстрых и надежных сетевых подключений через провайдеров мобильных телекоммуникаций, но и внедрение более продвинутых функциональных возможностей в сами мобильные устройства. Сегодня различные портативные устройства настолько прочно вошли в жизнь делового человека, что быть успешным бизнесменом, не обладая или не пользуясь ими, уже практически невозможно.

Шейн Хьюз, президент и генеральный директор Pixys Mobile, провайдера беспроводного программного обеспечения, считает, что одним из стимулов роста использования мобильных устройств в сфере финансовых услуг стала их необычайная популярность у конечных пользователей. «BlackBerry, например, одна из немногих технологий, с которой финансовый сектор познакомился не благодаря самой технологии, а благодаря залу заседаний совета директоров организаций. Изначально только лишь руководители самого высшего звена владели такими устройствами, и это вызвало эффект домино (цепную реакцию)», – считает он.

И, действительно, стоит всего лишь посмотреть на темпы роста числа пользователей сервиса BlackBerry, увеличившегося от 534 тыс. в 2003 году до 9 млн. в июне 2007-го, чтобы понять, насколько быстро набирали обороты темпы потребления на рынке мобильных устройств.

С учетом повышенного спроса на мобильные технологии можно смело спрогнозировать рост и в сегменте беспроводных приложений, разработанных для мобильных устройств. Люди все больше хотят получить доступ к своей информации из любой точки мира и в любое время суток, а мобильные устройства идеально подходят для решения данной задачи.

«Режим рабочего времени служащих меняется, а стандартный рабочий день с девяти до пяти отходит в прошлое. И, поскольку многие сегодня стараются работать в постоянном движении и за пределами офисов, это приводит к существенному увеличению использования мобильных устройств, – оценивает ситуацию Джейсон Лэнгридж, специалист по мобильным технологиям и британский представитель Microsoft. – По мнению специалистов компании Future Laboratory, к 2012 году более 5.5 млн. сотрудников различных организаций будут работать за пределами офисов, что, в свою очередь, предполагает, что именно мобильная технология поможет им успешно решить данную задачу».

Действительно, многие аналитики разделяют мнение, что тенденция к использованию мобильных устройств будет только расти. А, соответственно, будет увеличиваться и число беспроводных приложений для индустрии финансовых услуг. «Доступ к быстрой и достоверной информации – жизненно важный моментом для сектора финансовых услуг, а возможность принимать своевременные решения и предпринимать соответствующие меры становится ключевым элементом успеха любого банка, – вторит ему Эндрю Молони, директор по вопросам финансовых сервисов компании RSA, провайдера решений для обеспечения безопасности. – Из этого следует, что у тех, кто способен максимально продлить свое время связи, будет решающее превосходство над теми, кто этого добиться не сможет. Поэтому они неизбежно выиграют у менее технически оснащенных соперников в конкурентной борьбе».

Утечка информации

В то время как постоянно находясь на связи и обладая возможностью работать удаленно, сотрудники финансовых институтов могут более успешно вести бизнес, существует достаточно много проблем с безопасностью КПК и смартфонов. Использование интернет-приложений вызывает проблемы, схожие с трудностями в организации безопасности в сфере мобильных устройств: любое приложение, основанное на работе в Web-браузере и используемое в общедоступной сети Интернет, потенциально может быть перехвачено. Это относится и к передаче данных через Интернет. Более того, пользователи могут стать жертвами фишинговых атак, вирусов и вредоносных программ, таких как трояны, например.

«В данном секторе существует достаточно большое количество угроз воровства данных, и то, что мы наблюдаем сейчас по всему миру – это нападения, которые нацелены не только на корпорации, но и на отдельных сотрудников этих корпораций», – рассказал Крис Майерс, главный архитектор безопасности в Citrix, компании – разработчике программного обеспечения для предприятий.

«Обычно в финансовых институтах руководители высшего звена часто используют мобильные устройства в своей работе, поэтому мошенники могут этим воспользоваться, как и пробелами в защите интернет-приложений», – добавил он.

Если проанализировать мотивы совершения атак в компьютерном мире сегодня, то можно увидеть, что они кардинально отличаются от тех, которые были в 2003-2004 годах. Времена, когда хакеры писали вирусы только ради самовыражения, давно прошли. Теперь мотивом для совершения правонарушений в киберпространстве стали деньги. В данный момент в этой сфере существует очень большой потенциал для зарабатывания денег с помощью правонарушений самого разного характера, причем, мобильное устройство – лишь один из инструментов, с помощью которых они совершаются. Поскольку взломщики с каждым годом приобретают все больше опыта и знаний, то можно с уверенностью предположить, что уровень их атак значительно возрастет.

«Как только хакер получает доступ к телефону BlackBerry или смартфону, он может присоединить его к своему ноутбуку и получить доступ ко всему, к чему имеет доступ хозяин телефона: от электронной почты до базы данных и любых других источников информации. Таким образом, все это потенциально создает серьезную проблему, – отмечает Кэти Готцен, аналитик индустрии в компании Frost Sullivan. – Такие люди могут быть наняты конкурентами для получения продуктов интеллектуальной собственности, которые в последствии могут быть использованы для шантажа организации: либо учреждение заплатит за возвращение информации, либо данные будут преданы огласке». В сети Интернет существуют даже аукционы, на которых хакеры, промышленные шпионы и другие киберпреступники, получившие корпоративную конфиденциальную информацию, продают ее тем, кто предложит за эти сведения наибольшую цену», – объясняет Готцен.

Необходимые контрмеры

Впрочем, ситуация не настолько безысходная, как это может показаться на первый взгляд. На рынке уже представлен ряд решений, использующих антивирусное ПО, шифрование, аутентификацию и брандмауэры, которые могут быть применены для обеспечения усиленной защиты в этой сфере. К примеру, такие компании как McAfee, Symantic и SunMicro разрабатывают и довольно активно продвигают свои продукты.

Одна из главных задач технологии – это обеспечение безопасной дистанционной передачи данных, а также защиты всего пути прохождения информации: от получения данных от брандмауэра, передачи этих сведений защищенным способом и до безопасного хранения данных на самом устройстве. Существует много способов, как добиться этого, в зависимости от того, какой вид мобильного устройства используется. Для передачи данных у BlackBerry есть сервер BlackBerry Enterprise, базирующийся на высоком уровне криптографии и шифрования Агентства национальной безопасности, в то время как другие устройства, например – КПК на платформе Microsoft Windows, обычно прибегают к безопасной виртуальной частной сети (VPN), основанной на телекоммуникационных сетях общего пользования с целью передачи частных данных.

«Процесс передачи вашей информации должен быть хорошо зашифрован; на данный момент это в значительной степени стандартная функция, доступная большинству таких устройств, – рассказал Майерс. – Также вам необходимо будет прибегнуть к надежной аутентификации. Вы должны убедиться, что пользователь – именно то лицо, кем он представился во время получения доступа к корпоративному приложению. Аутентификация также может быть встроена в карманные устройства и аппараты».

Определенные меры безопасности для приложений могут быть установлены и непосредственно на мобильные устройства. Citrix использует одну такую меру безопасности в своих приложениях под названием DataGuard, с тем чтобы дистанционно удалять приложения из устройства. С помощью DataGuard можно также установить конфигурационные настройки таким образом, чтобы в случае, если пользователь не заходит в приложение в течение определенного времени, это приложение само деинсталлируется. Кроме того, по желанию удаленное приложение может быть вновь дистанционно установлено на мобильное устройство.

В последние несколько месяцев в СМИ неоднократно появлялись сообщения о краже преступниками данных различных компаний. Часто специалисты предлагали руководителям компаний использовать один из самых простых методов безопасности – сведение до минимума важной информации, хранящейся на мобильных устройствах.

На самом деле все зависит от самих организаций, какой объем информации они считают допустимым для хранения на мобильных устройствах своих сотрудников, а ответственность за то, как настроены приборы, должна лежать на ИТ-директорах организаций. К примеру, BlackBerry может быть сконфигурирован различными способами для ограничения его функциональности, в частности, можно настроить, что пользователь может загрузить в телефон, а что нет.

Но наиболее важно в предотвращении утечки важной информации через портативные приспособления ответственное отношение самих служащих финансовых институтов. Именно безалаберные сотрудники представляют наибольшую опасность для бизнеса. Так, из-за их халатности в 2006 году произошло подавляющее большинство всех информационных утечек. И здесь корпорации находятся в большой зависимости от своего персонала. Зачастую сотрудники заносят секретную корпоративную информацию в личные телефоны и ноутбуки, ежедневно используя ее без какого-либо контроля со стороны компаний.

Многие переносные устройства теряются, а это, если в них есть какие-нибудь важные данные, может быть чрезвычайно опасно для бизнеса. «Нельзя недооценивать этот риск, – предупреждает Лэнгридж, представитель Microsoft. – За последнее полугодие 2006 года в одном только Лондоне 55 тыс. мобильных телефонов и 5838 карманных ПК были оставлены пассажирами в такси. Это, безусловно, шокирующие цифры. Во время поездок люди могут также использовать свои устройства в незащищенных WiFi-сетях, которые могут дать любому человеку возможность просматривать их файлы».

Малый размер и портативность мобильных устройств, а также большое количество установленных на них разнообразных приложений для развлечения (как игры, например) сильно повышают риск случайной потери их или кражи. Ухудшает ситуацию и то, что в настоящее время проверка на корпоративном уровне того, что такие устройства могут содержать и хранить, проводится крайне редко и недостаточно, а зачастую такая информация вообще не контролируется. К тому же, пока законодательство не охватывает должным образом данный вопрос с портативными устройствами. Необходимость должной осторожности при использовании мобильных устройств должна быть выдвинута на первый план. В принципе, все пользователи понимают, что существует большая доля вероятности кражи или потери таких устройств, поэтому ИT-директора финансовых институтов должны принять все необходимые меры предосторожности для максимального снижения потенциального урона, который могут принести такие инциденты.

За последние два года в секторе финансовых услуг произошло несколько нашумевших и довольно характерных случаев, когда банки серьезно пострадали из-за того, что не приняли в свое время должных мер безопасности. Исходя из высокого уровня публичности в этом секторе, а также с учетом большого внимания со стороны населения и государства банкам следует принять эффективные меры противодействия злоумышленникам и безответственным сотрудникам, а директорам по информационным технологиям необходимо всерьез задуматься о реальной угрозе нарушения безопасности в области мобильных устройств и способах ее нейтрализации.

Александр Скороходов,
по материалам www.thebanker.com

 
© агенство "Стандарт"