В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.
В условиях финансовых кризисов первоочередное внимание в работе банков уделяется вопросам, влияющим на повышение их конкурентоспособности, одним из важнейших аспектов этой проблемы является повышение уровня безопасности операций, выполняемых банком. При современных технологиях автоматизации увеличивается объем информации, обрабатываемой в электронном виде, что ведет к снижению общего уровня безопасности в работе банка. Решение этой проблемы во многом зависит от технологий, используемых конкретным банком, иными словами – от автоматизированной банковской системы.
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации банка. Следовательно, при создании и модернизации АБС необходимо уделять пристальное внимание обеспечению ее безопасности.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АБС требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АБС регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
Во многие банковские системы заложена идеология и схема бизнес-процессов многофилиального банка, имеющего, в том числе, структурные подразделения в различных регионах. Возможность работы в режиме удаленного доступа предъявляет дополнительные требования к защитным механизмам. А высокая степень интегрированности информации в комбинации с уникальными возможностями адаптации системы к самым разным сетевым операционным системам делает проблему информационной безопасности банка чрезвычайно актуальной.
Безопасность информации напрямую влияет на уровень рентабельности, ибо потери, связанные с ее нарушением, могут свести на нет все достижения эффективного управления. При этом, как правило, чем более совершенна система управления банком, тем опаснее утечки информации.
Современные АБС – это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью.
Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатывается конкретно под каждый банк, и устройство АБС во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы.
Чем меньше времени будут занимать расчеты между банком и клиентом, тем выше станет оборот банка и, следовательно, прибыль. Банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысит прибыль.
АБС становится одним из наиболее уязвимых мест во всей организации, притягивающим злоумышленников как извне, так и из числа сотрудников самого банка.
Причины нарушений в информационной системе организации - это, как правило, либо ошибочные действия пользователей, либо умышленные атаки на систему. В последнем случае целью злоумышленника может быть получение информации, выполнение каких-либо действий, разрушение системы или её части.
Остановимся подробнее на наиболее распространенных случаях нарушений и сбоев в информационных системах кредитных организаций, а также методах защиты от них.
Случаи ошибочных действий пользователей информационной системы бывают практически во всех информационных системах. Совершаемые ошибки связаны с неверным вводом информации в систему автоматизации. При этом последствия ошибки можно расценивать по-разному ввиду различной ценности вводимых данных.
Наиболее опасным следствием ошибочных действий сотрудника банка может стать совершение операции с неправильными основными реквизитами (счета или сумма). Последствия таких ошибок даже в случае исправления проводки и возврата средств, ухудшают имидж банка и снижают доверие клиентов. Поэтому в большинстве банков вводятся дополнительные системы контроля и достаточно крупные штрафные санкции для сотрудников, совершивших ошибки.
Другая весьма болезненная ошибка пользователя - неправильный запуск какого-либо большого процесса, например, закрытие операционного дня или переоценка валютных средств. Такого рода ошибки обычно вызывают сбои в работе всей организации, задержки в обслуживании клиентов.
Для минимизации потерь от этих ошибок в работе с информационной системой обычно предпринимаются следующие меры. Во-первых, проводится продуманная и задокументированная политика контроля за информационными ресурсами в банке, которая должна определять типы основных документов, условия и вид контроля за их прохождением. Можно выделить следующие принципы, определяющие политику контроля:
- дополнительный визуальный контроль документов на большие суммы (сверх некоторого заранее установленного уровня);
- группировка документов в пачки не более чем по 30-40 штук;
- параллельный независимый ввод ключевых реквизитов всех (или хотя бы внешних) платежных документов.
Во-вторых, система настраивается в соответствии с правами пользователя, т. е. его доступ к проведению операций должен быть ограничен определенными условиями и контролируемыми параметрами.
В-третьих, вводится четкая регламентация действий сотрудников в случае ошибочных операций.
В-четвертых, регулярно проводится повышение квалификации сотрудников, использующих компьютерную технику.
Однако в полном объеме эти меры редко применяются, несмотря на то, что претворение их в жизнь необходимо. Основные причины - высокая трудоемкость и отсутствие соответствующих процедур в программном обеспечении информационной системы банка. Подобными процедурами при построении системы защиты обычно пренебрегают, особенно в небольших банках, где затраты \ на автоматизацию невысоки
Умышленные атаки на систему происходят достаточно редко, но в то же время они наиболее болезненны для банка. При этом злоумышленник может быть как сторонним лицом, так и сотрудником банка.
Труднее всего организовать защиту от несанкционированного получения информации. Это объясняется тем, что для полной защиты часто необходимы не только технические средства, но и комплекс процедур, выполняемых персоналом, поскольку нередко для получения конфиденциальной информации достаточно войти в «контакт» с кем-то из сотрудников банка.
Однако ущерб от утечки информации обычно невелик, что необходимо помнить, принимая решение о выделении денежных средств на разработку подобной защиты. Нанести значительный урон путем хищения информации может только мощная организация (конкурирующая или государственная), которая при достаточных затратах обойдет любую защиту. Необходимо также упомянуть об ограничении доступа в помещение отдела автоматизации и ключевых функциональных служб, что послужит дополнительной защитой.
В отличие от хищений информации осуществление несанкционированных действий часто можно доказать и, следовательно, пресечь. Мотивами несанкционированных действий, как правило, являются попытки хищения средств. Несмотря на наличие параллельного бумажного документооборота, российские банки имеют ряд слабых мест, позволяющих совершать хищения средств. При этом в целом неверно распространенное мнение о том, что подобные преступления совершают профессиональные хакеры, используя сеть Internet. В большинстве российских банков Internet не интегрирован во внутреннею сетевую среду либо защищен с особой тщательностью.
Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые из этих операций.
Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций по закрытым для остальных сотрудников методикам.
Хищение через систему клиент-банк. Ввиду особого внимания к защите этой системы и дополнительного контроля проходящих сумм клиентом, попытки такой атаки имеют обычно характер разового хищения крупной суммы.
Исходя из этого в качестве защиты рекомендуется ограничить для каждого клиента максимальные ежедневные объемы платежей, совершаемых по системе клиент-банк и регламентировать обязательный ежедневный контроль выписки клиентом даже при отсутствии платежей.