Информация под защитой

 Уже в начале 90-х годов кредитные организации начали понимать, что банковский бизнес малоэффективен и достаточно рискован без решения задач безопасности. Любые банковские процессы находятся в прямой зависимости от того, как работает информационная инфраструктура банка, то есть вычислительные комплексы, программные и аппаратные средства, а также персонал, их использующий. Если все это начинает давать сбои, например за счет заражения компьютеров вирусами или атак хакеров, последствия для банков могут быть очень плачевными. Они могут утратить базы данных клиентов и другую необходимую информацию, собираемую годами, лишиться средств и потерять доверие клиентов.

Столкнувшись с подобными проблемами, финансисты начали искать способы их разрешения за счет снижения информационных рисков. В результате появились первые системы защиты, разработанные и созданные банками в буквальном смысле слова «на коленке», то есть второпях, на ходу и собственными усилиями. Однако уже к концу 90-х, осознав важность проблемы, кредитные организации стали постепенно заменять свои устаревшие системы защиты информации (СЗИ) на современные. Построение такой СЗИ включает в себя целый комплекс мероприятий — от аудита банка в области информационной безопасности до создания межфилиальных систем защиты данных.

В 90% банков полностью автоматизированы все бизнес-процессы, однако далеко не все из них используют СЗИ. Многие банки откровенно недовольны ситуацией, сложившейся на этом рынке, сетуя на отсутствие разнообразных предложений, а также новых стандартов, методик и критериев оценки безопасности. Определенный процент кредитных институтов (не более 15%) склоняется к самостоятельной разработке СЗИ, остальные предпочитают совместные разработки либо обращаются за помощью к специалистам. Те создают для конкретного банка как отдельные модули безопасности (например, только по защите вкладов), так и комплексные системы.

Сами банкиры весьма неохотно говорят о своих успехах и проблемах в области обеспечения информационной безопасности, так как почти у каждого из них с ней связано несколько неприятных моментов. Тем не менее солидным кредитным организациям приходится тратить на СЗИ около 10% от своих годовых затрат.

Пароль один на всех. Один из способов защиты данных — разработка концепции прохождения и регистрации конфиденциальной информации. Здесь самое важное — определить максимально безопасные варианты обмена файлами. Информационные потоки требуется оптимизировать, выделить самые безопасные способы файлового обмена и обязать всех сотрудников использовать только их, а также разработать четкие правила работы по отделам и подразделениям банка. Ни для кого не секрет, что внутри банка информация курсирует различными способами: от переноса ее в распечатанном виде из кабинета в кабинет до пересылки по электронной почте. Как правило, пользователи не обращают никакого внимания на защиту информации, передают друг другу свои пароли, хранят данные в общедоступных директориях, открытых любому пользователю. Считается, что внутри банка информация как бы уже изначально защищена его стенами. «Это весьма распространенное заблуждение, — рассказал «Ф.» директор департамента систем информационной безопасности компании «Ланит» Игорь Ляпунов, — на самом же деле в этот период данные достаточно уязвимы, поскольку банк всегда является открытой системой и мошенникам совершенно незачем тратить деньги на дорогостоящее оборудование, если есть возможность взять со стола любого работника дискету с нужным файлом».

Поэтому при создании концепции информационной безопасности специалисты банка в первую очередь оценивают наличие ситуаций, при которых возможна утечка данных непосредственно с рабочего места специалиста, и стараются по возможности их минимизировать. Причем сами пользователи, как правило, очень активно пытаются избежать жестких рамок, в которые их загоняют дотошные «безопасники». Так, например, как рассказал «Ф.» один из банкиров, пожелавший остаться неназванным, в одно время у них в отделе бухгалтерского учета и отчетности вообще не было паролей, так как они мешали неопытным пользователям работать с компьютером. Поэтому необходимо следить за тем, чтобы правила информационной безопасности для рядовых сотрудников были удобными и понятными и не мешали им в выполнении своих прямых обязанностей. «Правила безопасности не должны вызывать отвращения у тех, кто должен их выполнять, — подтвердил источник, — иначе пользователи все равно рано или поздно найдут способ обойти запреты и тщательно спланированная система, на которую были потрачены большие деньги, будет давать сбои из-за халатности одного мелкого клерка».

Для защиты данных внутри банка используются системы идентификации пользователя, определяющие подлинность его личности и наличие прав доступа к конкретной информации. Здесь используются различные пароли, позволяющие входить в локальную сеть банка. Они могут выбираться самим пользователем, присваиваться ему администратором безопасности или самой системой защиты информации. Кроме того, существуют различного рода устройства идентификации, например «таблетки», представляющие собой круглые металлические пластинки, и карты доступа — простые (не банковские) пластиковые карты с чипом. На них система безопасности при помощи особого алгоритма зашифровывает и наносит личные данные пользователя и уровень его доступа к банковской системе. Эти электронные «ключи» срабатывают при контакте со считывающим устройством, установленным на дверях в секретные помещения, на серверах, пользовательских компьютерах.

Стопроцентное опознание. Одной из последних разработок является система биометрической аутентификации пользователя (технология Biolink), которая «опознает» клиента по отпечаткам его пальцев. Такой подход к защите информации позволяет исключить сразу несколько проблем. Например, делает невозможным доступ в систему злоумышленника, похитившего идентификатор («таблетку» или карту) или узнавшего пароль, и позволяет не бояться слабости парольной защиты. Это серьезная проблема, так как обычно сотрудники банка делятся друг с другом своими паролями, пишут их на видном месте. В большинстве случаев разгадать их не составляет труда, так как обычно это или имя, или дата рождения пользователя или его ближайших родственников — в крайнем случае кличка любимой собаки.

Система персональной аутентификации по биометрическим параметрам позволяет экономить значительные средства банка на постоянные изменения паролей пользователей, их забывших или разгласивших, — на долю таких случаев приходится 40-60% от общего числа обращений в службу технической поддержки пользователей. Кроме того, сокращается время (и соответственно затраты) на регулярную смену паролей. При использовании технологии Biolink в этом просто нет необходимости. Также эта технология сокращает затраты на приобретение большого количества резервных идентификаторов взамен утраченных, испорченных или вышедших из строя. Использование Biolink позволяет обеспечить доступ в систему конкретного человека, а не абстрактного пользователя, знающего пароль. Кроме того, эта технология защищена от подделок, поскольку хранит в памяти не сам отпечаток пальца сотрудника, а только его электронно-цифровой шаблон, каждый раз сверяемый с оригиналом. Biolink рекомендуется устанавливать на такие точки входа в систему банка, как, например, его расчетный или процессинговый центры, а также службы авторизации клиентов. Сама система персональной аутентификации состоит из программного обеспечения и устройства, сканирующего отпечаток одного из пальцев.

Подпись на дискете. В качестве традиционных методов защиты внутрибанковской информации является использование электронно-цифровой подписи (ЭЦП) — цифрового ключа, однозначно идентифицирующего пользователя. В этом случае при передаче какого-либо конфиденциального документа его создатель, пользуясь определенной программой, формирует из текста документа и хранящегося отдельно на электронном носителе секретного ключа (зашифрованный особым образом набор символов) файл. Он свободно передается по любым каналам связи и пересылается по электронной почте, но документ, защищенный таким образом, нельзя изменить. Прочесть его можно только при помощи специальной программы.

Многие банки в последнее время стали тратить деньги на установку дорогостоящих (от $30-100 тыс.) устройств, монтируемых на входе в банковскую систему и анализирующих работу всех точек доступа. Они способны самостоятельно вычленять из всех процессов доступа те, которые не соответствуют заданным параметрам безопасной работы. Устройства выделяют из всех журналов просмотра корпоративной почты «неразрешенные» входы. Например, ведется просмотр почты с незарегистрированного сервера, значит, кто-то посторонний проник в локальную сеть и пользуется банковской информацией. Однако, чтобы защита сработала, администратор безопасности должен максимально корректно определить параметры, по которым система защиты будет отслеживать входы в локальную сеть, — в противном случае туда не смогут попасть «свои» люди. Так, например, в одном из банков при стандартной проверке был зафиксирован неразрешенный доступ к корпоративной почте. Выяснилось, что один из сотрудников, находясь за границей, решил просмотреть почту через свой ноутбук, не зарегистрированный администратором безопасности. Прочитать письмо менеджеру так и не удалось, в результате чего сорвалась важная сделка.

Внешняя защита. Наиболее уязвимыми местами утечки информации традиционно являются точки подключения к интернету и другим электронным сетям. Именно через эти «узкие» места в банковскую сеть стремятся проникнуть хакеры. Здесь, как правило, банки устанавливают межсетевые экраны (firewall), фильтрующие сетевой трафик, не допуская несанкционированного проникновения, а также системы Content Security, устанавливаемые на уровне серверов и рабочих станций. Они обеспечивают комплексную защиту корпоративных сетей и почтовых серверов банка. Content Security способна самостоятельно приспосабливаться к изменяющимся условиям и удобна тем, что управление всеми процессами происходит из одного места, что позволяет быстро распознавать и отражать постоянно меняющиеся попытки несанкционированного проникновения. Такая система, установленная на почтовый сервер банка, постоянно сканирует и фильтрует все сообщения, очищает письма от нежелательных приложений, сверяет адреса отправителей с «черным списком», отклоняет поступления спама, ссылок на порнографические сайты и даже самостоятельно отражает хакерские атаки.

Системы информационной безопасности позволяют объединить головной офис банка и его филиалы в единую сеть, использующую открытые каналы связи без риска утраты или копирования конфиденциальной и финансовой информации. Таким образом, времена, когда данные передавались из основного офиса в филиал курьером на электронном носителе, дискете или лазерном диске, что часто можно было наблюдать в 90-е годы, давно позади. Теперь это все происходит в считанные секунды, и не надо ждать несколько дней, пока, например, произойдет пополнение счета в отдаленном филиале.