Інформаційна безпека і інформаційні технології в банківській сфері України

Федорова В.С.

Сафронніков Ю.Ю.

Науковий керівник: Пала гута К.О.

ДонНУЕТ імені Михайла Туган-Барановського

Секція «Сучасні інформаційні технології», підсекція (1)

ІНФОРМАЦІЙНА БЕЗПЕКА Й ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ В БАНКІВСЬКІЙ СФЕРІ

На ранньому етапі автоматизації впровадження банківських систем (і взагалі засобів автоматизації банківської діяльності) не підвищувало відкритість банку, спілкування з зовнішнім світом, як і колись, йшло через операціоністів і кур'єрів, тому додаткова погроза безпеки інформації виникала лише від можливих зловживань з боку фахівців, по інформаційних технологіях, що працювали в самому банку.

Положення змінилося після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення яких було немислимо без інформаційних технологій. У першу чергу це пластикові картки. Поки обслуговування по картках йшло в режимі голосової авторизації, відкритість інформаційної системи банка підвищувалася незначно, але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування.

Відкритість системи, що підвищилася, вимагала спеціальних засобів для контролю і регулюванню обміну інформацією: додаткових засобів ідентифікації й аутентифікаціїї особи, що запитує доступ до системи (PIN-код, інформація про клієнта на магнітній смузі чи в пам'яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби захисту карток), засобів криптозахисту інформації в каналах зв'язку і т.д.

Ще більше зрушення балансу “захищеність-відкритість” у бік останньої зв’язане з телекомунікаціями. Системи електронних розрахунків між банками захистити відносно нескладно, тому що суб'єктами електронного обміну інформацією виступають самі банки. Проте, там, де захисту не приділялася необхідна увага, результати були цілком передбачувані.

Загальна тенденція розвитку телекомунікацій і масового поширення обчислювальної техніки призвела зрештою до того, що на ринку банківських послуг в усьому світі з'явилися нові, чисто телекомунікаційні продукти, і в першу чергу системи Home Banking (вітчизняний аналог—“клієнт-банк”). Це зробило можливим забезпечити клієнтам цілодобовий доступ до автоматизованої банківської системи для проведення операцій, причому повноваження на здійснення банківських транзакції одержав безпосередньо клієнт.

Разом з новими можливостями мережа Internet принесла і нові небезпеки. Усе це викликає необхідність перегляду підходів до забезпечення інформаційної безпеки банку. Підключаючи до Internet, варто заново провести аналіз ризику і скласти план захисту інформаційної системи, а також конкретний план ліквідації наслідків, що виникають у випадку тих чи інших порушень конфіденційності, схоронності і приступності інформації.

Положення ускладнюється двома проблемами. Насамперед, як показує досвід спілкування з представниками банківських служб безпеки, і в керівництві, і серед персоналу цих служб переважають колишні оперативні співробітники органів внутрішніх чи справ держбезпеки (яскравими прикладами є КБ «ПриватБанк», «РайффайзенБанк Аваль»). Вони мають високу кваліфікацію у своїй області, але здебільшого слабко знайомі з інформаційними технологіями. Фахівців з інформаційної безпеки в нашій країні узагалі вкрай мало, тому що масовою ця професія стає тільки зараз.

Друга проблема зв'язана з тим, що в дуже багатьох банках безпека автоматизованої банківської системи не аналізується і не забезпечується на належному рівні. Більш того, безпека інформації суцільно і поруч просто не може бути забезпечена в рамках наявної в банку автоматизованої системи і прийнятих правил роботи з нею.

Що стосується автоматизованих банківських систем, то найбільш розповсюджені системи складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм, але і проконтролювати дії оператора. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи.

Виходячи з вищесказаного можна розробити деякі рекомендації:

1. Необхідний комплексний підхід до інформаційної безпеки.

Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі управління безпекою банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифиіації, “брандмауери” для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.

2. Необхідна участь співробітників управління безпекою на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Управління безпекою повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається.

3. відноситися сугубо обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам розробленим програмістами самого банку.