Банки нуждаются в многоуровневой защите
Информационная безопасность компаний – тема невероятно обширная. Она подразумевает и защиту «железа» на самом низком уровне, до старта операционной системы, и построение предприятиям систем идентификации пользователей для доступа к корпоративным данным и приложениям, и принятие мер от хакерских атак. Финансовые компании дополнительно должны заботиться еще и о защите операций при ДБО, решать многие вопросы безопасности при совершении финансовых сделок на правовом и организационном уровнях. На конференции CNews Conferences и CNews Analytics «Информационная безопасность в финансовом секторе: современные угрозы и средства защиты» 10 апреля 2014 г. эксперты отрасли обсудили, каковы актуальные проблемы обеспечения ИБ в финансовых организациях и какими мерами можно повысить уровень защищенности систем предприятий данного сегмента.При выборе технологии GRC учитываются поддерживаемые международные и российские стандарты, возможность подключать различные источники данных, а также наличие централизованной БД с описаниями механизмов защиты. По словам Марии Каншиной, внедрение GRC-решений занимает от 4 до 12 месяцев. При этом составляются регламенты процедур GRC, определяются участники и сферы их ответственности, проводится инвентаризация информационных активов. Итогом GRC-проекта становятся более качественный контроль рисков в сфере ИБ, а цели ИБ и ИТ становятся бизнес-ориентирвоанными.
GRC-платформа для системы управления информационной безопасностью
Источник: «Информзащита», 2014
С проблемами безопасности банки сталкиваются и при мобилизации бизнеса. Мобильные устройства в финансовых организациях, как правило, используют клиенты. Однако ряд банков оборудует рабочие места мобильными решениями и тонкими клиентами. Об опыте банковской специфике BYOD рассказал Андрей Бажин, преподаватель школы ИТ-менеджмента при правительстве РФ. По его словам, основные риски связаны со сложностью контроля за хранящимися на личных устройствах данных, профилактикой нецелевого использования, несоответствием с законодательством в отношении персональных данных и применения несертифицированных криптографических средств.
Электронная безопасность
Банковская безопасность не ограничивается только ИТ-проблемами. Андрей Курило, руководитель экспертной группы Банка России, рассмотрел безопасность с практической точки зрения. Чем выше безопасность, тем больше возникает барьеров при электронном взаимодействии на электронном рынке. По инициативе Банка России была создана рабочая группа, одним из итогов деятельности которой стало исследование различных аспектов электронного взаимодействия.
Так, Андрей Курило отметил низкий уровень цифровизации финансового рынка: большинство населения расплачивается наличными, считая электронные валюты рисковым инструментом. Происходит это из-за того, что операции на отечественном финансовом рынке с электронными документами не отвечают лучшим мировым практикам: безналичная оплата нередко усложнена и требует ввода пин-кодов, труднозапоминаемых реквизитов и вдобавок подтверждения транзакции SMS. Кроме того, клиентам приходится оплачивать комиссии за перевод, обслуживание электронных карт и делать другие траты.
В обеспечении ИБ в финансовых организациях сохраняются и правовые барьеры. Илья Бургасов, специалист отдела безопасности информационных систем научно-технического центра «Вулкан», остановился на законодательных инициативах, которые регламентируют электронные документы и электронные подписи. Это, в частности, федеральные законы № 63-ФЗ «Об электронной подписи», № 65-ФЗ «О внесении изменений в отдельные законодательные акты в связи с принятием Федерального закона «Об электронной подписи», ряд распоряжений и постановлений правительства РФ, а также приказов Минкомсвязи России и ФСБ России.
Однако, несмотря на большое число нормативных документов, многие аспекты электронного документооборота до сих пор не решены. Скажем, вопросы долговременного хранения электронных документов. Чтобы улучшить ситуацию, необходимо создавать непрерывные сквозные цепочки электронного взаимодействия и не допускать в них разрывов, привлекать новых участников, реализовывать единые механизмы идентификации клиентов и внедрять единый подход к аккредитации удостоверяющих центров ЭП. Эти меры поспособствуют уменьшению издержек и снижению барьеров для входа на рынок, а рост числа участников электронного взаимодействия в свою очередь будет способствовать увеличению устойчивости финансового рынка и формированию «длинных денег» в российской экономике (под термином «длинные деньги» понимаются долгосрочные заимствования, инвестиции или кредиты, предоставляемые на срок более года).
По словам Галины Соболь, главного специалиста компанией «Газкардсервис», оказывающей сервисные услуги «Газпромбанку», решить проблемы мошенничества в сфере платежных карт можно технологическими способами. Например, карту от взлома защитить применением прибора, генерирующего электромагнитное поле и не дающего считывать данные, а банкоматы оснастить устройствами по обнаружению посторонних предметов на поверхности считывающих устройств (подобными антискиммеровыми приборами ЦБ обязал оснастить все банкоматы еще осенью 2012 года). Основные риски в сфере электронной коммерции связаны с тем, что клиент в интернете изначально анонимен и финансовой организации необходим его идентификатор с последующей привязкой к конкретной транзакции. Стоит заметить, однако, что технологически эта задача тоже решена. Существуют методы сбора геолокационных координат и других «реквизитов» о пользователях, позволяющих его идентифицировать. Впрочем, методов для обхода подобного рода защиты тоже существует немало.
Безопасность ДБО
Банки используют различные ДБО-решения; число их измеряется буквально десятками. Однако, по словам Сергея Потанина, начальника центра информационной безопасности АКБ «Союз», ни одно промышленное решение ДБО сегодня не обеспечивает гарантированную защиту от подмены электронного документа на момент его подписания: электронные документы можно подменить, а финансовую транзакцию подделать. Системы ДБО могут быть атакованы по меньшей мере пятью различными способами — путем несанкционированного доступа к банковскому клиенту, действиями инсайдеров — сотрудников банка, атаками из интернета на клиентские либо серверные ДБО-решения, а также при нарушении правил использования ДБО — скажем, неправильном использовании соответствующего ПО или оборудования.
Для повышения качества и надежности дистанционного банковского обслуживания юридических лиц и физических VIP-клиентов Сергей Потанин предложил использовать однонаправленные устройства, поддерживающие криптографическую защиту. Таковыми являются специальные клавиатуры, сканеры, USB-, Bluetooth-модули и другие решения, подключающиеся к настольным компьютерам или мобильным гаджетам. Без однонаправленной передачи ЭП и идентификационных данных (от клиента к серверу) транзакции автоматически блокируются. Подобное решение, впрочем, годится не для всех: частные клиенты постоянно носить с собой какие бы то ни было дополнительные аксессуары вряд ли будут. Этот способ рассчитан в большей степени на юридических лиц и VIP-клиентов.
Для защиты ДБО на стороне банка Евгений Гусенков, начальник управления информационной безопасности КБ «Восточный», предложил арендовать каналы связи в дата-центрах (пусть проблема DDoS-атак станет их головной болью), а для защиты веб-приложений использовать, например, Web Application Firewall — межсетевые экраны, работающие на прикладном уровне и осуществляющие фильтрацию трафика веб-приложений.
Вариант набора мер для защиты промышленной системы ДБО
Источник: Банк «Кузнецкий мост», 2014
В продолжение темы безопасности систем ДБО Алексей Ермаченков, начальник отдела информационной безопасности банка «Кузнецкий мост», перечислил модели угроз, изучаемые межбанковской рабочей группой. Среди них такие угрозы, как, например, компрометация ПК с установленными ДБО со стороны внешних злоумышленников, компрометация ключей со стороны клиентов банков, мошеннические действия со стороны сотрудников банка или третьих лиц, получивших доступ к корпоративной банковской системе и др.
Для снижения уровня рисков от этих угроз банковским ИТ-службам спикер порекомендовал внедрять систему fraud-мониторинга для слежения за нестандартными действиями клиентов, информировать клиентов обо всех операциях, вести белые списки контрагентов, использовать оборудование со встроенными (и не извлекаемыми) ключами, а также прибегать к т.н. «карантину» транзакций, то есть задержке от уведомления клиента об операции до реального исполнения транзакции.
Сергей Лосев