23.01.2006

Инсайдер - проблема №1?

Банки и технологии, №6/2005, Ника Комарова

Традиционно считается, что банк – гарантия надежности. Если вы храните деньги в крупном банке с многолетней успешной историей и несколькими тысячами вкладчиков, то эти деньги, во-первых, надежно защищены, а во-вторых, работают на вас, а не лежат мертвым грузом на дне копилки. Безусловно, банк дает определенные гарантии, по которым, согласно действующему законодательству, производятся выплаты денежных средств клиентам. Банк также несет ответственность за своевременное и надлежащее перечисление финансов, за целостность и сохранность ваших накоплений. Что требуется от вкладчика в обмен на услуги? Прежде всего, информация. В распоряжении банка находится приватные данные о вас, вашем физическом адресе, сумме ваших вкладов и кредитов, о перечисленных средствах, о выплаченных и невыплаченных налогах и т.д.

Понятно, что информацию, особенно, если она может представлять интерес для сторонних лиц, а ее огласка чревата серьезными последствиями, необходимо защищать. Пример с кражей базы данных Центробанка, к сожалению, далеко не единственный. На столичных «развалах» и в ряде электронных спам-писем, которые миллионы пользователей получают каждый день, свободно и за вполне приемлемые деньги предлагаются базы данных налоговых и кредитно-финансовых служб, крупных телекоммуникационных и государственных организаций и пр.

Лояльность – вопрос относительный?

Принято считать, и для этого есть веские основания, что внутренний злоумышленник, так называемый «инсайдер», принадлежит к числу нелояльных сотрудников. В этом случае его действия можно объяснить. Он не мотивирован на то, чтобы работать именно в этом банке, и при удобном случае может стать либо сообщником для проведения атаки на те или иные ресурсы, либо самостоятельно совершить кражу конфиденциальных данных с целью обогащения. Вычислять таких сотрудников, используя HR-службы, данные офицера по безопасности и в конце концов администратора сети банка, можно и нужно. От пресечения деятельности нелояльного персонала зачастую зависит репутация банка, его положение на рынке и условия функционирования. Но что делать, когда сотрудник не имеет претензий к банку, его руководству, своему коллективу и не ставит целью совершить акт кражи, но при этом является «источником» утечки данных? Как это может быть?

Глобальная сеть по-прежнему представляет значительную опасность для организаций, располагающих конфиденциальной информацией, в частности банков. Компьютер, имеющий выход Интернет, представляет серьезную угрозу для целостности и сохранности таких данных. Так, программы-шпионы сегодня стали одной из основных угроз, прежде всего, из-за того, что ни пользователь, ни администратор, не подозревают о том, что «шпион» уже «сидит» в компьютере пользователя и выполняет необходимые его создателю действия по выкачиванию информации.

Сотрудник банка – находка для шпиона

Программа-шпион – это злонамеренный код, который пишется специально для того, чтобы незаметно для пользователя собирать различную информацию о нем или о компании, в которой он работает, и автоматически отправлять ее своему хозяину. «Шпионы» проникают в компьютер пользователя при посещении каких-либо веб-ресурсов или при открытии неблагонадежного письма и начинают «работать».

В настоящее время разработка программ-шпионов для осуществления заказной атаки в отношении отдельного банка или отдельного должностного лица, имеющего критически важную информацию, приносит их создателям весьма серьезный доход. Предложение подобных услуг можно встретить в Интернете, а их цена уже стала доступна широкому кругу потребителей.

Обезопасить банк от таких атак можно, если комплексно подойти к вопросу контент-безопасности, где речь идет уже не о защите информационных ресурсов банка по внешнему периметру, что очевидно, а о защите внутренних информационных потоков для контролирования каждого пользователя и той информации, которая от него исходит.

Причем для построения надежной системы информационной безопасности необходимо обеспечить защиту на каждом уровне:

  • 1 уровень: узел предоставления услуг провайдера;
  • 2 уровень: вход в корпоративную сеть банка (gateway);
  • 3 уровень: сервера корпоративной сети банка;
  • 4 уровень: конечное устройство сотрудника банка.

При этом для эффективной защиты на всех уровнях желательно использовать решения от разных поставщиков, каждое из которых обладает определенными преимуществами для выявления злонамеренной природы обрабатываемых, передаваемых, хранимых и получаемых кодов – причем каждое на своем уровне. 

Ловись рыбка…

С появлением новых эффективных продуктов для блокирования «троянов», червей и других злонамеренных кодов вирусописатели придумывают все более хитроумные способы атак на корпоративные информационные ресурсы компаний. Их деятельность давно уже перешла на новый уровень и перестала быть развлечением. Это – заработок, основой для которого служат не только знания в области программинга, но и психологические аспекты в принятии решений пользователем и применение так называемого социального инжиниринга.

Именно благодаря такому симбиозу широкое распространение в последнее время получили «фишинг – атаки» (phishing – искаж. fishing - в пер. с англ. рыбалка). Данный тип мошенничества основан на создании поддельных веб-ресурсов, позволяющих ввести пользователя в заблуждение, благодаря схожести с настоящим сайтом той или иной компании (один и тот же логотип, фирменный стиль, возможно, ссылка на известные пользователю лица и др.). Используя электронную почту, злоумышленник рассылает письма с заголовком, типа: «Извещение о переходе на новую систему ведения кредитных историй клиентов банка» с целью получить те или иные данные либо самого сотрудника банка, либо конфиденциальной информации о клиентах банка (суммы, пароль, PIN-код и т.п.), если он таковой располагает. Причем пользователь, подвергающийся фишинг-атаке, может видеть настоящий адрес банковского сайта в адресной строке браузера, но находиться при этом на сайте-подделке.

Как защититься от фишинга? Это возможно лишь в том случае, когда пользователь уверен, что находится на подлинном сайте банка, а банк, в свою очередь, «уверен», что к его данным пытается получить доступ легальный пользователь системы. Подтверждением легитимности транзакции может служить только двусторонняя аутентификация пользователя и банка. Как показывает отчет IDC Russia Security Software 2005–2009 Forecast and 2004 Vendor Shares, наиболее бурный рост сейчас наблюдается в сегменте, так называемых 3А (аутентификация, авторизация и безопасное администирование), объемы которого увеличились на 83%. И это не случайно.

Используя надежный идентификатор, USB-ключ или смарт-карту, пользователь подключает его и вводит свой PIN-код для доступа к защищенным web-ресурсам банка. Важно учесть, что аутентификация должна быть «взаимной» - как со стороны пользователя, так и со стороны банковского информационного ресурса. Если она прошла успешно, ни банковским ресурсам, ни пользователю ничто не угрожает.

Gartner назвала USB-токены лучшим инвестиционным вложением в обеспечение безопасного доступа к данным и осуществление безопасных транзакций в 2005 г. Их основное преимущество – мультифункциональность и возможность использования не только для обеспечения строгой двухфакторной аутентификации пользователей при подключении к защищенным информационным ресурсам. Электронные ключи применяются для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509. Такие устройства рекомендуются для работы в приложениях на базе инфраструктуры открытых ключей (PKI), в частности, в банковских и корпоративных системах, требующих строгой аутентификации пользователей и безопасного хранения конфиденциальной информации.

Еще одним плюсом аппаратной двухфакторной аутентификации в масштабе банка, где число пользователей насчитывает несколько сотен, будет наличие централизованной системы управления. Это немаловажно, особенно, если учесть, что многие банки обладают гетерогенными, разветвленными сетями, управлять средствами аутентификации в которых «вручную» практически невозможно. Для снятия этой проблемы существуют системы (в частности, eToken TMS (Token Management System), которые являются связующим звеном между пользователями, их средствами аутентификации, security-приложениями и политикой безопасности, принятой в банке.

Сегодня топ-менеджмент ряда прогрессивных банков понимает, что использование простейших способов аутентификации, типа «логин–пароль», не обеспечивает нужной степени защиты и серьезным образом подрывает доверие к дистанционным технологиям обслуживания клиентов, интернет-банкингу и т.п., что не может не сказываться на спектре услуг, предлагаемых банком и в итоге на числе его клиентов и его репутации. 

На правах заключения

Уже сейчас наблюдается «сращивание» антивирусных, антиспам ряда других продуктов по информационной безопасности в некое общее решение, и в дальнейшем эта тенденция будет только развиваться. Также ряд банковских организаций осознали необходимость перехода на аппаратную аутентификацию и многие из них полностью берут расходы по приобретению и распространению электронных ключей среди своих клиентов и партнеров на себя. Безусловно, это позитивные тенденции в мире банковской информационной безопасности, поскольку только персонализация действий каждого пользователя как внутренний аспект защиты и надежные системы блокирования злонамеренных кодов типа spyware как внешний ее аспект в совокупности создают безопасное информационное поле для эффективного функционирования банковской системы.