Васильев В.В.
Гуманитарно-экономическая академия,
Казахстан
Особенности информационной безопасности банков
Развитие современной банковской
системы требует решения проблемы обеспечения информационной безопасности банков,
как ключевой для их успешной деятельности. По результатам опроса проведенного в
1994 г. Datapro Information
Services Group среди
случайно выбранных
* около 25% всех нарушений
составляют стихийные бедствия;
* около половины систем
испытывали внезапные перерывы электропитания или связи, причины которых носили
искусственный характер;
* около 3% систем
испытывали внешние нарушения (проникновение в систему организации);
* 70-75% - внутренние
нарушения, из них:
- 10%
совершены обиженными и недовольными служащими-пользователями автоматизированных
систем обработки информации в банках (АСОИБ);
- 10%
- совершены из корыстных побуждений персоналом системы;
- 50-55%
- результат неумышленных ошибок персонала и/или пользователей системы в
результате небрежности, халатности или некомпетентности.
Эти данные свидетельствуют о
том, что чаще всего происходят не такие нарушения, как нападения хакеров или
кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из
повседневной деятельности. В то же время именно умышленные атаки на
компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от
них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты
АСОИБ является наиболее актуальной в сфере информационной безопасности банков.
Стратегия информационной
безопасности казахстанских банков должна учитывать следующие специфические
факторы:
1. Хранимая и обрабатываемая в
банковских системах информация представляет собой реальные деньги. На основании
информации компьютера могут производится выплаты,
открываться кредиты, переводиться значительные суммы. Вполне понятно, что
незаконное манипулирование с такой информацией может привести к серьезным убыткам.
Эта особенность резко расширяет круг преступников, покушающихся именно на банки
(в отличие от, например, промышленных компаний, внутренняя информация которых
мало кому интересна).
2. Информация в банковских
системах затрагивает интересы большого количества людей и организаций —
клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность
за обеспечение требуемой степени секретности перед своими клиентами.
Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах,
в противном случае он рискует своей репутацией со всеми вытекающими отсюда
последствиями.
3. Конкурентоспособность банка
зависит от того, насколько клиенту удобно работать с банком, а также насколько
широк спектр предоставляемых услуг, включая услуги,
связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро
и без утомительных процедур распоряжаться своими деньгами. Но такая легкость
доступа к деньгам повышает вероятность преступного проникновения в банковские
системы.
4. Информационная безопасность
банка (в отличие от большинства компаний) должна обеспечивать высокую
надежность работы компьютерных систем даже в случае нештатных ситуаций,
поскольку банк несет ответственность не только за свои средства, но и за деньги
клиентов.
5. Банк хранит важную
информацию о своих клиентах, что расширяет круг потенциальных злоумышленников,
заинтересованных в краже или порче такой информации.
Преступления в банковской сфере
также имеют свои особенности [2, с.16]:
- Многие
преступления, совершенные в финансовой сфере остаются неизвестными для широкой
публики в связи с тем, что банки опасаются испортить свою репутацию и потерять
клиентов.
- Успешные
компьютерные преступления, как правило, требуют большого количества банковских
операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего
за несколько транзакций.
- Большинство
злоумышленников — клерки. Хотя высший персонал банка также может совершать
преступления и нанести банку гораздо больший ущерб — такого рода случаи
единичны.
- Компьютерные
преступления не всегда высокотехнологичны. Достаточно подделки данных,
изменения параметров среды АСОИБ и т.д., а эти действия доступны и
обслуживающему персоналу.
Специфика защиты
автоматизированных систем обработки информации банков (АСОИБ) обусловлена
особенностями решаемых ими задач:
- Как правило АСОИБ обрабатывают большой поток постоянно
поступающих запросов в реальном масштабе времени, каждый из которых не требует
для обработки многочисленных ресурсов, но все вместе они могут быть обработаны
только высокопроизводительной системой;
- В
АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная
для широкой публики. Ее подделка или утечка могут привести к серьезным (для
банка или его клиентов) последствиям. Поэтому АСОИБ обречены
оставаться относительно закрытыми, работать под управлением специфического
программного обеспечения и уделять большое внимание обеспечению своей
безопасности;
- Другой
особенностью АСОИБ является повышенные требования к надежности аппаратного и
программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так
называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять
непрерывную обработку информации даже в условиях различных сбоев и отказов.
Можно выделить два типа задач,
решаемых АСОИБ:
1. Аналитические. К этому типу
относятся задачи планирования, анализа счетов и т.д. Они не являются
оперативными и могут требовать для решения длительного времени, а их результаты
могут оказать влияние на политику банка в отношении конкретного клиента или
проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи,
должна быть надежно изолирована от основной системы обработки информации.
2. Повседневные. К этому типу относятся
задачи, решаемые в повседневной деятельности, в первую очередь выполнение
платежей и корректировка счетов. Именно они и определяют размер и мощность
основной системы банка; для их решения обычно требуется гораздо больше
ресурсов, чем для аналитических задач.
Используя
результаты опроса, проведенного Datapro Information Group в 1994 году
среди банков и финансовых организаций можно сделать следующие выводы об
особенностях защиты информации в зарубежных финансовых системах [2, с.21]:
- Главное
в защите финансовых организаций — оперативное и по возможности полное
восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых
организаций имеют план такого восстановления, который ежегодно пересматривается
в более чем 80% из них. В основном, защита информации от разрушения достигается
созданием резервных копий и их внешним хранением, использованием средств
бесперебойного электропитания и организацией «горячего» резерва аппаратных
средств.
- Следующая
по важности для финансовых организаций проблема — это управление доступом
пользователей к хранимой и обрабатываемой информации. Здесь широко используются
различные программные системы управления доступом, которые иногда могут
заменять и антивирусные программные средства. В основном используются
приобретенные программные средства управления доступом. Однако
сертифицированные средства управления доступом встречаются крайне редко (3%).
Это можно объяснить тем, что с сертифицированными программными средствами
трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что
параметры сертификации разрабатывались с учетом требований, предъявляемым к
военным системам.
- К
отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести
широкое использование стандартного (т.е. адаптированного, но не специально
разработанного для конкретной организации) коммерческого программного
обеспечения для управления доступом к сети (82%), защита точек подключения к
системе через коммутируемые линии связи (69%). Скорее всего
это связано с большей распространенностью средств телекоммуникаций в финансовых
сферах и желание защититься от вмешательства извне. Другие способы защиты,
такие как применение антивирусных средств, оконечное и канальное шифрование
передаваемых данных, аутентификация сообщений применяются примерно одинаково и,
в основном (за исключением антивирусных средств), менее чем в 50% опрошенных
организаций.
- Большое
внимание в финансовых организациях уделяется физической защите помещений, в
которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от
доступа посторонних лиц решается не только с помощью программных средств, но и
организационно-технических (охрана, кодовые замки и т.д.).
- Шифрование
локальной информации применяют чуть более 20% финансовых организаций. Причинами
этого являются сложность распространения ключей, жесткие требования к
быстродействию системы, а также необходимость оперативного восстановления
информации при сбоях и отказах оборудования.
- Значительно
меньшее внимание в финансовых организациях уделяется защите телефонных линий
связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам
электромагнитных излучений и наводок).
Анализ статистики позволяет
сделать важный вывод: данные методы защиты могут применяться и казахстанскими
банками, однако нельзя бездумно копировать чужие системы — они разрабатывались
для иных условий. Необходимо учитывать финансово-экономические особенности
Казахстана и разрабатывать инновационные технологии для информационной защиты
банков.
Литература:
1. Абрамов
А.В. Новое в финансовой индустрии: информатизация
банковских технологий. — СПБ: Питер, 1997 г.
2. Гайкович Ю.В, Першин А.С. Безопасность
электронных банковских систем. — М: Единая Европа, 1994 г.
3. Материалы
агентства «Интерфакс». 1995-99 гг.
4. Джонсон
Джордж, Распределенные системы в многофилиальной структуре. — PC Magazine/Russian Edition, 1998 г., №10.
5. Novell NetWare. Руководство пользователя, 1998 г.