*119919*
Миколюк Н.В., Білан І. О.
Науковий керівник к.е.н. Степова С.В.
Вінницький
торговельно-економічний інститут КНТЕУ
Проблематика інформаційної
безпеки в банківських установах
Питання поширення
комп’ютерної злочинності в Україні та її масштаби здаються багатьом
неактуальними. Проте, якщо суспільство адекватно не реагуватиме на такі
злочинні прояви, то перед ним постануть значні загрози для його
життєдіяльності. Передумовами зростання злочинності у сфері комп’ютерних мереж
та високих інформаційних технологій є ускладнення технічних систем зв’язку,
спрощення доступу до використання комп’ютерних технологій широкого кола
фізичних осіб, підвищення знань осіб, що намагаються вчинити протиправні діяння
тощо. Проблемами, які постають у сфері інформаційних та платіжних технологій є
те, що злочини, пов’язані з використанням цих високих технологій, виходять за
межі звичайних дій в уявлені пересічного громадянина, і представляють собою
дії, які станом на сьогодні неврегульовані законодавством повністю або частково.
Як зазначають П.Д. Біленчук, Б.В. Романюк, В.С. Цимбалюк та ін. поширення
інформаційних технологій має і свій негативний аспект: це відкриває шлях до
антисоціальної та злочинної поведінки.
Особливої гостроти
набуває питання захисту інформації в банківській системі, оскільки посуті,
йдеться про захист власності у вигляді коштів, що залучені банками та
небанківськими фінансовими установами.
Під інформаційною
безпекою розуміється захищеність інформації та інфраструктури, що її
підтримує, від випадкових або навмисних дій природного або штучного характеру,
які можуть завдати неприйнятного збитку суб'єктам інформаційних
відносин, зокрема власникам і користувачам інформації та інфраструктури, що її
підтримує [2].
Самою небезпечною
загрозою є порушення конфіденційності інформації та витік інформації, оскільки
банки побоюються цього за двома причинами. По-перше, кожен витік конфіденційної
інформації та персональних даних банку підриває його репутацію, так як в очах
його партнерів, інвесторів і клієнтів банк набуває імідж організації, яка не в
змозі навести порядок в своїх власних стінах. В результаті відбувається відтік
інвестицій та міграція клієнтів та конкурентів. По –друге, інциденти
такого роду можуть призвести до втрати конкурентноздатності банку, якщо,
наприклад, інтелектуальна власність або база клієнтів попадуть до конкурентів.
Cпецифіка забезпечення інформаційної безпеки знайшла відображення в законах
України «Про основи національної безпеки України» [3], «Про концепцію
національної програми інформатизації», «Про національну програму
інформатизації» [2], а також у Стратегії національної безпеки України, яка
затверджена указом Президента.
У Законі «Про основи національної безпеки
України» вперше дано офіційну оцінку значущості й системної сутності
інформаційної безпеки як невід'ємної складової національної безпеки України.
У п. 2.8. Стратегії національної безпеки,
присвяченому стану інформаційної безпеки в нашій державі, зазначено:
* посилюється негативний зовнішній вплив на інформаційний простір України,
що загрожує розмиванням суспільних цінностей і національної ідентичності;
* недостатніми залишаються обсяги вироблення конкурентоспроможного
національного інформаційного продукту;
* наближається до критичного стан безпеки інформаційно-комп'ютерних систем
у галузі державного управління, фінансової і банківської сфери, енергетики,
транспорту, внутрішніх та міжнародних комунікацій тощо.
Ще в одному офіційному документі – «Рекомендаціях парламентських слухань з
питань розвитку інформаційного суспільства в Україні» [4] ідеться, що стан
розбудови інформаційного суспільства в Україні порівняно зі світовими
тенденціями є недостатнім і не відповідає потенціалу та можливостям України,
зокрема:
* відсутні національна стратегія розвитку інформаційного суспільства в
Україні та план дій щодо її реалізації;
* немає координації зусиль державного і приватного секторів для ефективного
використання наявних ресурсів;
* ефективність використання фінансових, матеріальних, кадрових ресурсів,
спрямованих на виконання Національної програми інформатизації, впровадження
інформаційно-комунікаційних технологій у соціально-економічну сферу, зокрема в
сільське господарство, є низькою;
* є відставання у впровадженні технологій електронного бізнесу, електронних
бірж та аукціонів, електронних депозитаріїв, використанні безготівкових
розрахунків за товари та послуги тощо;
* рівень інформатизації окремих галузей економіки, деяких регіонів країни є
низьким;
* розвиток нормативно-правової бази інформаційної сфери є недостатнім;
* створення національної інформаційної інфраструктури для надання органами
державної влади та органами місцевого самоврядування юридичним і фізичним
особам інформаційних послуг з використанням Інтернету відбувається повільно;
* рівень комп'ютерної грамотності населення є недостатнім, впровадження
нових методів навчання із застосуванням сучасних інформаційно-комунікаційних
технологій – повільним;
* рівень інформаційної представленості України в інтернет-просторі є
низьким, а присутність в Інтернеті україномовних інформаційних ресурсів –
недостатньою;
* рівень державної підтримки виробництва засобів інформатизації, програмних
засобів і впровадження інформаційно-комунікаційних технологій не забезпечує
всіх потреб економіки й суспільного життя;
* спостерігаються нерівномірність забезпечення можливості доступу населення
до комп'ютерних і телекомунікаційних засобів, поглиблення «інформаційної
нерівності» між окремими регіонами, галузями економіки та різними верствами
населення;
* не вирішуються в повному обсязі питання захисту авторських прав на
програмну продукцію, відсутні системні державні рішення, спрямовані на
створення національних структур (центрів, технополісів і технопарків) з
розробки конкурентоспроможного програмного забезпечення.
Одна з систем, що
забезпечує захист інформації - це DLP (Data Loss Prevention) –
система та інші засоби, що захищають від витоків, перекривають або контролюють
ті чи інші канали, по яким інформація може покинути інформаційну систему, такі
як мережеві з'єднання по різних протоколах, відчужувані носії інформації,
мобільні комп'ютери, принтери і т.д. [4].
Не завжди у банків
вистачає коштів і умінь перекрити всі можливі канали. Ті носії, які
залишаються без належного контролю, є провідниками відповідної частки
випадкових витоків.
У відношенні умисних
витоків ситуація значно гірша. Внутрішні зловмисники, знаючи, які саме
канали контролюються, намагаються їх обійти і послати конфіденційні дані
по вільному, незахищеному - каналу. Тому на ймовірність умисних витоків
слабко впливає неповне перекриття параметра інформаційної системи. Щоб
ефективно протидіяти як випадковим, так і умисним витокам, DLP-система (за
підтримки організаційних заходів),
зрозуміло, повинна охоплювати всі без винятку канали (носії).
Витоку через мобільні
комп'ютери і мобільні носії були надзвичайно популярні 2-3 роки тому і
раніше. У минулому році число інцидентів з ними знизилося. У цьому році
спостерігається незначне зростання, що знаходиться в межах статистичної
похибки. Падіння числа витоків, пов'язаних з відчужуваними носіями, без
сумніву, пояснюється впровадженням засобів шифрування. Зашифрований носій
при втраті або крадіжці витоком не вважається. На жаль, впровадження
засобів шифрування сповільнилося. Воно так і не стало обов'язковим
для службових ноутбуків, флеш-накопичувачів і компакт-дисків. На наш
погляд, шифрування впровадили лише «Свідомі» працівники і очолювані ними
підрозділи. Інші ж нехтують цією мірою захисту, оскільки не можуть наочно
уявити собі наслідків витоку, та й самий витік теж. Воно повністю рятує
від неприємних наслідків при втраті ноутбука або мобільного носія. Всі
знають, що ці наслідки неприємні (особливо в США і Великобританії). Але
ймовірність інциденту мала, і пересічний громадянин не вірить, що це
трапиться саме з ним. Тому впровадити шифрування носіїв можна лише шляхом
примусу, встановивши покарання за відсутність шифрування всіх мобільних
носіїв. Поки що така практика введена лише на невеликій кількості банків.
У тому числі, і держоргани нехтують шифруванням, хоча на ноутбуках таких
організацій часто зберігається державна і військова таємниця.
За
оцінками аналітиків InfoWatch, впровадження шифрування мобільних носіїв буде
продовжуватися, але дуже повільно. Все, що можна було запровадити
«добровільно», вже зроблено. Подальше поширення шифрування можливо лише за
рахунок адміністративного ресурсу – спочатку на корпоративному та
галузевому рівнях, потім, можливо, на державному. Однак
число використовуваних мобільних носіїв (ноутбуків і флеш-накопичувачів)
постійно зростає. За рахунок цього частка «мобільних» витоків може знову
вирости [4].
Щодо
паперового документу, то проконтролювати його складніше, ніж електронний. Після
виходу листа з принтера стежити за ним можна лише «вручну», за допомогою
людей і організаційних процедур. Програмно-технічні методи захисту, які
дешевше і звичніше, перестають працювати. В умовах відносної дешевизни
технічних рішень і відносній дорожнечі робочої сили не дивно, що на Заході
контроль за паперовими носіями слабкіше контролю за
комп'ютерноюінформацією. До того ж, багато недосконалі засоби захисту від
витоків (назвати їх повноцінними DLP- системами ми не можемо) не
контролюють такий канал, як відправка на друк. У цьому
випадку конфіденційна інформація легко виходить з-під
контролю. Типовий «паперовий» витік - це збій при автоматичній роздруківці
листів, адресованих великому числу клієнтів. Як відомо, адреса на листі
або на конверті друкується теж автоматично, часто і конверти заклеює
автомат. Невелике зміщення - і адресати в листі і на конверті (в адресі) перестають
збігатися, листи з чужими персональними даними йдуть стороннім людям.Щоб
знизити число «паперових» витоків, необхідні два заходи. По-перше, потрібна
DLP-система, яка блокує відправку на друк недозволеної інформації та
перевіряє відповідність поштової адреси і адресата. По-друге,
необхідний комплекс організаційних заходів щодо обліку руху паперових
документів з конфіденційною інформацією. Заходи ці досить дорогі (особливо на
тлі низької вартості принтерів), тому число інцидентів з паперовими носіями
буде знижуватися дуже повільно - в основному за рахунок відмови від
використання паперу взагалі.
Отже,
основні проблеми захисту банків від загроз зумовлені їх недостатньою увагою до
власної безпеки економічної інформації. Реалізація зазначених заходів дозволить
мінімізувати ризики витоку конфіденційних даних. Не втратити довіру клієнтів і
не перетворитися на черговий об’єкт статистики інцидентів у сфері інформаційної
безпеки.
Література:
1.
Закон України “Про захист інформації в автоматизованих системах”. № 80/94 від
05.07.94 р.
2. Зайцев А.П., Шелупанов
А., Мещеряков Р. и др. Техническая защита информации: Учебник для вузов. – М.:
Горячая линия-Телеком, 2009. – 615 с.
3.Торокин А.А.
Инженерно-техническая защита информации. – М.: Гелиос АРВ, 2008. – 960 с.
4. Біленчук П.Д. Комп’ютерна
злочинність. [ П.Д. Біленчук, Б.В. Романюк,
В.С.
Цимбалюк та ін.] Навчальний посібник. К: “Атіка”, 2007. – 240 с.