08.10.2004

Люди - самое слабое звено

Банковское обозрение, № 10/2004, Таисия Мартынова

Совершенная техника и хитрые программы пасуют перед злонамеренностью или халатностью персонала

Пресса и производители антивирусных программ неплохо запугали банкиров угрозой на падения на компьютерные системы извне. Против хакеров, вирусов и прочей виртуальной нечисти в банках выстроен достаточно надежный заслон. Гораздо сложнее помешать вредителю, осознанному или невольному, действующему внутри банка. Чтобы одолеть эту проблему, банки должны честно в ней признаться – для на чала хотя бы самим.

— Как вы оцениваете уровень информационной безопасности (ИБ)  в российских банках?

Андрей Петухов» директор Управления систем информационной безопасности компании «АйТи»

Очевидно, что банковский сектор, как ни один другой сектор экономики, крайне чувствителен к уровню защиты информации. Потеря данных или их несанкционированное использование в данном случае чревато серьезными финансовыми потерями. Поэтому естественно, что уровень ИБ в банках ощутимо выше, нежели в любой другой индустрии. Собственно говоря, то же самое можно сказать и об уровне автоматизации банков, особенно крупных, в целом. Если же сравнивать степень защиты информации в российских банках с уровнем информационной безопасности международных банков, то отличия, наверное, вызваны иными акцентами и критериями при оценке угроз. Хотя в последнее время отечественные банки активно «догоняют» западных коллег. В целом же я бы оценил уровень защищенности информации в российских банках как весьма высокий.

Александр Любинский, директор по маркетингу и продажам Aladdin Software Security R.D.

Любой банк декларирует своим клиентам высокую защищенность информации по состоянию счетов и по прохождению средств по ним, защищенность от несанкционированного управления счетами и пр. На самом деле клиент в большинстве случаев никогда не узнает, что с его средствами и персонифицированной информацией на том или ином этапе были какие-то проблемы. Банки не заинтересованы «выносить сор из избы».

На мой взгляд, основная причина потерь, связанных с недостаточным уровнем информационной безопасности, является организационной, поскольку ИБ лежит на пересечении зон ответственности IT-директора и руководителя службы безопасности. Для первого приоритет этой проблемы далеко не главный, а второй не всегда компетентен в данной предметной области и оставляет данные вопросы на откуп автоматизатору. Как правило, статьи расходов на обеспечение ИБ находятся в IT-бюджетах и реализуются по остаточному принципу. Далеко не в каждом банке предусмотрена позиция менеджера по информационной безопасности.

Александр Лукацкий, заместитель директора по маркетингу компании «Информ Защита»

Этот уровень достаточно высок. Регулярно общаясь со специалистами российских банков, мы можем констатировать, что многие аспекты защиты информационных систем отчественных банков находятся на достаточно высоком уровне. Это в первую очередь вопросы разграничения доступа к внутренним ресурсам, электронного документооборота, построения систем ЭЦП, интернет-банкинга и т.п. К сожалению, не всегда уделяется должное внимание защите Web-сайтов банков.

— Соответствует ли действительности утверждение некоторых экспертов, что наибольшую угрозу информационной безопасности банков несут внутренние факторы (халатность или злонамеренность собственного персонала), а не внешние (хакеры, мошенники)?

Андрей Петухов (АйТи)

Безусловно. Связано это прежде всего стем, что сегодня банки используют довольномощные комплексные решения для защиты отразличных внешних угроз, будь то хакерская атака или эпидемия вируса. Ни один банк никогда не допустит, чтобы АБС (автоматизированная банковская.система), которая работаетс критическими данными, так или иначе была «беззащитно» связана с публичными сетями. Все банковские системы стараются работать в изолированных собственных сетях, которые зачастую гальванически развязаны с публичными сетями. Для связи с филиалами или удаленными отделениями используются технологии VPN (виртуальные частные сети). Собственно,   именно   поэтому   хакерские   атаки наших банковских систем — это единичные случаи. Я в своей практике с такими ситуациями не сталкивался. Правда, риск увеличивается, если используются механизмы выполнения удаленных операций, например, при работе с биржами или по схеме «Клиент-Банк».

А вот предотвратить злонамеренные или халатные действия своих сотрудников уже сложнее. Никакие технологии не помогут предотвратить ситуацию, скажем, рассылки системным администратором циркулярного письма одновременно всем сотрудникам с интервалом повторения в одну секунду. А такая рассылка мгновенно приводит к тому, что сеть «падает».

Александр Любинский (Aladdin Software Security R.D.)

Да, это подтверждается исследованиями Gartner Group, IDC, аналитического подразделения журнала The Economist и другими экспертами, а также моим десятилетним опытом работы в сфере банковской автоматизации. Потери от вторжений извне составляют менее 10% в общем пуле потерь, связанных с кражей и порчей информации. Главную угрозу представляет так называемый «человеческий фактор» — ошибки, халатность и нелояльность персонала.

Александр Лукацкий (Информ Защита)

— Да, это именно так. Представьте, что вы попали в трущобы Пекина и хотите добраться доаэропорта. Вы не знаете ни одного из множества китайских диалектов, а жители отдаленных районов китайской столицы не знакомы ни с английским, ни тем более с русским языком. Примерно в такую же ситуацию попадает и внешний злоумышленник, попадающий из-вне в информационную систему банка. Только с помощью своих сотрудников, знающих все «внутренности» и имеющих доступ к действительно важной информации, возможно нанесение серьезного ущерба — вплоть до перевода денег с какого-либо счета. Хотя и роль внешних злоумышленников я бы тоже не стал недооценивать.

—  Какие пути решения проблем, стоящих перед службами защиты информационной
безопасности в банках, предлагает сегодня рынок?

Андрей Петухов (АйТи)

Среди наиболее интересных я бы назвал комплексные интегрированные решения для управления доступом, причем как к информационным, так и к физическим ресурсам. В частности, такие решения позволяют управлять доступом сотрудника не только в помещения, но и к компьютеру, к совершениюразличных операций. Например, интеграция программного обеспечения на смарт-картах с системой управления персоналом позволяет предотвратить совершение той или иной операции с помощью идентификаторов человека, находящегося в отпуске или в командировке. При этом такого рода комплексные решения могут совмещать в себе самые разные технологии.

Например, сегодня на рынке есть целый ряд биометрических средств защиты, позволяющих управлять доступом к тем или иным ресурсам через идентификацию человека по его биометрическим параметрам, таким, как отпечатки пальцев, радужная оболочка глаза и пр. На мой взгляд, сегодня биометрия — один из наиболее перспективных и действенных инструментов защиты от несанкционированного доступа. Надо сказать, что в России биометрические технологии также используются довольно активно, например, на уровне идентификации на компьютерных мышках.

Весьма перспективны также различные криптографические решения, исключающие передачу ключей. Тогда никто, кроме сотрудника — владельца такой карты, теоретически не может воспользоваться ключами доступа. Одна такая карта может служить инструментом доступа практически ко всему — в помещение банка, в комнату, к компьютеру, к данным, и даже выполнять функции дебетовой карты для начисления зарплаты.

Идеальный вариант — когда все используемые средства объединены в единое интегрированное решение. Например, уже сегодня на рынке присутствуют решения, объединяющие в себе, допустим, идентификацию человека по его лицу и отпечаткам пальцев и определяющие их соответствие параметрам смарт-карты. Другой вопрос, что такие комплексные решения сегодня не так распространены, как хотелось бы, и чаще всего используется набор инструментов, каждый из которых управляет доступом к разным ресурсам. А связано это, главным образом, с тем, что все эти решения производятся различными вендорами.

Александр Любинский  (Aladdin Software Security R.D.)

— Весь комплекс мер можно условно разделить на две части: защита от внешних и внутренних угроз. Защита от внешних угроз — это антивирусные программы и брандмауэры. Защита от внутренних угроз начинается с обеспечения безопасного доступа сотрудников в корпоративную информационную среду. Для этого необходимо ответить на вопросы: кто ты и как ты это можешь доказать, то есть через проведение двухфакторной аутентификации. Наиболее успешно эту задачу можно решить с использованием смарт-карт технологий. При этом должен использоваться отчуждаемый носитель информации о пользователе, который хранится у него (это смарт-карта или USB-ключ), и известный только ему PIN-код. Данная технология позволяет не только пропустить в систему доверенного пользователя, но и сразу провести его авторизацию для доступа к тем или иным разделам информации и используемым приложениям. Сразу после того, как пользователь оказался в информационном пространстве компании, история всех его действий может быть впоследствии при необходимости воспроизведена. Таким образом, одновременно решаются несколько задач: аутентификация, авторизация, администрирование и аудит. Практика показывает, что при данной организации защиты информации (когда невозможно сделать что-либо в системе, работая под чужим именем) у сотрудников пропадает желание совершать противоправные действия.

Александр Лукацкий (Информ Защита)

Сегодня российский рынок предлагает практически весь спектр решений для защиты банков. Это и услуги по анализу рисков и внедрению системы защиты, и сами технические решения, и обучение персонала банка и т.п. Но не всегда эти решения удовлетворяют всем требованиям российских банков, так как они не могут учитывать специфику каждой конкретной ситуации.

— С какими реальными случаями агрессии в отношении информационной безопасности банков приходилось сталкиваться вашей компании, как разрешались такие ситуации?

Андрей Петухов (АйТи)

— Представьте ситуацию: уходя в отпуск, руководитель отдает свои идентификаторы (пластиковые карты, токены), допустим, своей заместительнице для завершения какого-то отчета. А та рассказывает об этом своему мужу, который и пытается с помощью этих идентификаторов совершить незаконную банковскую транзакцию. Тогда произвести транзакцию не удалось, поскольку система управления сертификатами доступа (в том числе и к компьютеру)  была интегрирована с системой управления персоналом, и при попытке совершить транзакцию в службу безопасности поступил сигнал о том, что она производится человеком, который находится в отпуске. Полностью застраховаться от таких ситуаций очень сложно и недешево.

Александр Любинский (Aladdin Software Security R.D.)  

— Недавно вступил в силу Закон о коммерческой тайне, в котором определен регламент работы с закрытой информацией и процедураее передачи. В случае, если в обход Закона представители тех или иных структур пытаются изъять из банка сервер, успешным средством противостояния является шифрование данных на диске с помощью средств усиленной аутентификации eToken (смарт-карта или USB-ключ)   и   специального   программного обеспечения Secret Disk Server. В нашей практике еще не было ни одного случая ее расшифрования без согласия владельца.

Но нам известны ситуации, когда злоумышленником из числа сотрудников банка осуществлялся несанкционированный перевод денежных средств от имени другого лица. После чего в нашу компанию поступал заказ от финансового учреждения на решение этой проблемы в дальнейшем, что в итоге приводило к использованию eToken на каждом рабочем месте.

Ситуация, когда базы данных крупнейших операторов связи, данные по внешнеэкономической деятельности предприятий, базы ГИБДД, учредительские документы и др. продаются на рынках и предлагаются по электронной почте, известна всем. Напрашивается предположение, что желающим получить базу того или иного банка не придется долго искать, если кредитная организация не предпринимает адекватных мер защиты.

Александр Лукацкий  (Информ Защита)

— Специфика деятельности нашей компании, к сожалению, не позволяет нам называть реальные случаи взломов российских банков. Можем только констатировать, что такие случаи были — начиная от банальных подмен главных страниц сайтов и заканчивая кражей денег из автоматизированных банковских систем, совершенных доверенными сотрудниками банков.