Повышение уровня безопасности – повышение доверия клиентов
<br>Статья Дениса Калемберга, руководителя направления по работе с клиентами финансового сектора компании "Аладдин Р.Д."
Доверие – это обязательное условие для развития банковского бизнеса, которое имеет большое значение как для отдельно взятой кредитно-финансовой организации, так и для отрасли в целом. Создание целостной системы защиты интересов клиентов и инвесторов и формирование уверенности в банке, как стабильном и надежном партнере, – задача из разряда первостепенных. Банки расширяют продуктовые линейки, предлагают новые услуги и сервисы, активно используют новейшие технологии. Все это, безусловно, положительно сказывается на имидже банка. Но важно также обеспечить и высокий уровень информационной безопасности при использовании новых сервисов. Какая ситуация сегодня складывается в банковской отрасли?
Несмотря на внушительное количество статей в отраслевых журналах и рекомендаций контролирующих органов на тему обязательной работы с персоналом, на практике лишь немногие банки инвестируют в культуру внутренней информационной безопасности. Свод политик ИБ (информационная безопасность),зачастую, является формальным документом, некогда утвержденным руководством. На деле персонал банка не знает, насколько важным является исполнение этих регламентов, и к чему может привести их нарушение. Рассмотрим основные «болевые точки» информационной безопасности в организациях кредитно-финансового сектора. Одним из уязвимых мест обычно является аутентификация с использованием пары «логин-пароль». Этот простой, дешевый и, как следствие, распространенный метод доказательства «подлинности» субъекта аутентификации в большинстве информационных систем имеет ряд серьезных недостатков. Простые пароли легко подобрать. Но, если усилить требования к длине и сложности последовательности, пользователи начнут записывать ее на бумажке. Зачастую, проблема усугубляется тем, что у каждого сотрудника крупной организации наберется с десяток паролей к разным системам. Запомнить их все не каждому по силам. В итоге создается ситуация, когда даже при помощи системы аудита действий пользователей невозможно определить, кто именно получил доступ к информационным ресурсам под той или иной учетной записью. Все это может привести к утечке конфиденциальной информации, хищениям со счетов клиентов, корреспондентских счетов, утечке персональных данных и т.д. В результате банк может понести репутационные и прямые финансовые потери.
К счастью, уменьшить эти риски не так уж и сложно. Мировой опыт показывает, что регулярное ознакомление персонала с основными тезисами ИБ, в сочетании с внедрением двухфакторного метода аутентификации на базе USB-токенов или смарт-карт резко снижает количество инцидентов информационной безопасности. При этом затраты на реализацию проекта существенно ниже убытка от одного-двух внутренних инцидентов, связанных с несанкционированным доступом к счетам клиентов.