Основные функции службы информационной безопасности в банке

Банковский бизнес в России...

Автор:
Источник: Ценные бумаги
Опубликовано: 31 Мая 2010

Главной целью службы информационной безопасности в банке является защита информационных ресурсов, принадлежащих банку, его акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.

В период 90-х годов становления банковской системы в России банки вполне могли обходиться без средств передачи информации, без пластиковых карт, банкоматов и других технических и информационных средств. В настоящее же время банковский бизнес стал зависимым от информационных технологий и дальнейшее развитие банковских услуг и банковского бизнеса в целом напрямую связано с развитием информатизации и телекоммуникаций. А внедряемые в банках новые информационные технологии должны быть защищёнными от разного рода мошенников. Поэтому внимание кредитных организаций к вопросам информационной безопасности (ИБ) с каждым годом увеличивается.

Обеспечение информационной безопасности для любой организации является важнейшим фактором нормальной работы и даже самого существования этой организации. Создание же надёжной системы, обеспечивающей информационную безопасность в банке особенно необходимо, т.к. работа банка связана большими денежными потоками и множеством клиентов, использующих различные технические средства – банкоматы, пластиковые карты, Интернет и др.

Так как банковский бизнес основан на доверии клиентов и связан с работой с большими массивами данных, то в первую очередь банк должен обеспечить защиту баз данных своих клиентов, т.к. именно клиенты в конечном итоге финансируют успешные действия банка и расплачиваются за ошибки, если сотрудники кредитных организаций допускают их в процессе решения своих задач.

Любому банку, выстраивая систему информационной безопасности, необходимо оценивать существующие и возможные риски. Клиенты должны быть уверены, что с банком можно работать в долгосрочной перспективе. Сегодня в мире существует соглашение Basel II. Согласно этому соглашению, финансовые организации должны рассчитать риски, с которыми они встречаются в своей деятельности, – кредитные, рыночные и операционные. Например, операционные риски, связанные с платежами клиентов,  могут оказывать очень сильное влияние на устойчивость банка.

Плохая система защиты баз данных может привести банк к банкротству или отзыву лицензии у банка. Поэтому в финансовом секторе информационная безопасность традиционно имеет высокий приоритет
В каждом банке имеется собственная служба безопасности, в функции которой защита информации не входит. Эта служба, как правило, обеспечивает безопасность хранения и перевозки наличных денег, охрану помещений, организацию пропускного режима, возврат кредитов и т.д. С информационной безопасностью всё несколько сложнее. До последнего времени информационной безопасностью в банке  в основном занимались отдельные лица из числа технарей или программистов. Сейчас многие банки создают в своей структуре подразделение, отвечающее за обеспечение именно информационной безопасности. Круг вопросов, которыми должна заниматься служба по информационной безопасности, очень разнообразен. Здесь и средства защиты от утечки информации через каналы связи , защита технических средств (компьютеров, банкоматов ) , пластиковых карт, а также контроль за сотрудниками, имеющих доступ к базам данных клиентов и коммерческой информации.

У разных банков имеются свои особенности и поэтому система информационной безопасности может строиться индивидуально, и каждый банк для себя определяет, в защиту от каких рисков нужно вложить средства, а какие риски не являются существенными с точки зрения бизнеса. Выбор конкретных средств защиты – индивидуальная задача каждого банка.

Банк в процессе осуществления своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Банк вправе распоряжаться такой информацией, а следовательно и выбирать степень её защиты.

В то же время в отличие от предприятий ряда других секторов экономики банки могут воспользоваться типовым стандартом по информационной безопасности, который выпустил Банк России.

Этот стандарт не является обязательным для коммерческих банков, по нему выстраивает свою работу в области информационной безопасности Банк России. Но поскольку других подобных документов в банковской среде нет, многие банки, понимая необходимость следования мировой тенденции, начали его использовать. Такой стандарт может быть основой для разработки собственной для каждого банка системы информационной безопасности. Стандарты – это общие нормативы, которым должны соответствовать все банки. Но технические реализации стандарта могут быть разными. Всё зависит от того, какая технологическая база используется в конкретном банке.
В своей деятельности служба информационной безопасности  должна учитывать требования Федерального закона «Об информации, информационных технологиях и о защите информации» (№149 –ФЗ от 27.07 2006) . Этот закон регулирует отношения, возникающие при получении, передаче, и распространении информации, а также применения информационных технологий и защиту информации. Он рассматривает информацию как специфический объект права. Законом выделены три категории информации:

  • информация, составляющая государственную тайну;
  • персональные данные;
  • информация, составляющая коммерческую тайну.

Для банка объектами защиты являются персональные данные и информация, составляющая коммерческую тайну.
Согласно  Федеральному закону о персональных данных ( №152- ФЗ от 27.07.2006) персональными данными является любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Та или другая форма уязвимости персональных данных может возникать при ситуациях, когда в период кризиса идёт сокращение штатов или снижения заработной платы. В этом случае у некоторых работников могут возникнуть желания продать часть информации конкурентам. Так, например, случай с продажей баз данных о клиентах швейцарского банка правительству Германии.

Топ-менеджеры, работающие в банке, раньше других ощущают возможные затруднения в работе банка в период кризиса и определяют своё поведение в зависимости от этих ощущений. Одновременно они, сознавая свою ценность и будучи «ходовым» и достаточно дорогостоящим товаром на рынке управленческих кадров, способны неожиданно для работодателя сменить место работы и соответственно прихватить некоторые клиентские базы или «приторговывать» важной информацией, а иногда и прямо работать на конкурента, надеясь в будущем получить работу на стороне. К сожалению, подобное «разночтение» интересов в период кризиса становится повседневностью банковского менеджмента, а анализ практики банковской жизни показывает, что большинство подобных «игр» в банке обнаруживается постфактум.

Даже оставаясь на рабочем месте и не делая попыток искать «лучшую жизнь» на стороне, топ-менеджеры, поддаваясь вызванному кризисом чувству неуверенности, могут снизить степень своей полезности для банка, сосредоточиваясь на своих личных интересах, например, озабоченность собственным бизнесом, если таковой имеется.

Защита персональных данных должна быть построена с учётом возможности либо утраты, либо утечки информации, либо одновременно того и другого. Должны быть созданы условия, ограничивающие распространение информации; предотвращение утечки, хищения, утраты, несанкционированное уничтожение, копирование, разглашение информации и т.д.

Для решения защиты персональных данных в некоторых банках используются как организационные, так и технические меры. Защита информации включает в себя определённый набор методов, средств и мероприятий, При этом средства защиты необходимо постоянно обновлять, так банк может выводить на рынок новые банковские продукты и использовать при этом новые технические средства в работе с клиентами.

Если раньше в некоторых банках доступ к базам данных был открыт для множества сотрудников, то теперь, если сотруднику для работы потребуется дополнительно определённая информация, то для получения её необходимо направить запрос в службу информационной безопасности. Таким образом служба информационной безопасности сможет контролировать использование информации. Благодаря этому можно избежать массового просмотра сотрудниками расширенных персональных данных.

Необходимо также ограничить число сотрудников банка пользующихся Интернетом, запретить скачивание исполняемых файлов любого типа, не допускать сотрудников не работающих с внешними клиентами  к автоматизированной банковской системе (АБС), внедрить схему «запрещено всё, что не разрешено.

Информационные потоки в банках должны быть надёжно защищены и разделены чтобы ни один сотрудник не мог аккумулировать все данные о клиенте. Это не позволит недобросовестно использовать информацию работниками банка в период его работы в банке или после увольнения его из банка.

Для этого необходимо создать эффективные системы внутреннего контроля («китайских стен») между подразделениями банка, ведущими различные виды деятельности.

Информацией, относящейся к категории коммерческой тайне, могут быть: деловая информация о деятельности банка, финансовая документация, различные сведения о клиентах, партнёрах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.

Коммерческая тайна – информация, имеющая действительную или потенциальную коммерческую ценность в силу её неизвестности третьим лицам, к ней нет свободного доступа на законном основании, и банк, как обладатель такой информации, принимает меры к охране её конфиденциальности.

Разглашение коммерческой тайны – предание огласке сведений лицом, которому эти сведений были доверены по службе, работе или стали известны иным путём, в результате чего они стали достоянием посторонних лиц.
Службе информационной безопасности необходимо выделить из общей массы сведения, которые относятся к коммерческой тайне, и установить  необходимые ограничения на распространение этих сведений и оформить разрешение пользоваться кругу лиц соответствующим приказом по банку. В перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Сотрудники банка, которые допущены к информации, являющейся коммерческой тайной, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений. Служба ИБ должна работать совместно со службой внутреннего контроля. Предотвращение мошеннических операций со стороны сотрудников банка или проведения незаконных операций в сговоре с клиентами для личного обогащения, всё это также должно входить в функции службы информационной безопасности.

Защита коммерческой тайны – это постоянный процесс, организуемый и поддерживаемый в банке с целью предупреждения несанкционированного доступа к охраняемой информации и исключения её уничтожения, разглашения и утечки через различные каналы.

Многие сотрудники банков, выполняющие операции с ценными бумагами через биржу или напрямую с клиентом имеют собственные счета на бирже и часто самостоятельно играют на покупке и перепродаже ценных бумаг, в первую очередь, конечно, приобретают ценные бумаги по хорошим ценам лично для себя, а уж потом для клиентов. Установить в обязательном порядке ограничения (или запретить) в банке для тех сотрудников, которые работают на финансовых рынках со средствами клиентов и банка на открытие собственных счетов и совершении сделок в их собственных интересах. Иначе может могут пострадать не только отдельные клиенты банка, но и банк в целом.

Например, при недостаточном контроле со стороны службы ИБ в банке Франции Societe Generale скромный сотрудник Жером Кервьель в 2008 г. втайне от контролёров банка открыл позиции на европейские индексы на 50 млрд евро, значительно превысив свои лимиты на такие операции. Кервьель, сделал ставку на то, что европейские индексы будут расти, и это позволит ему получить прибыль. Открывая торговую позицию, он дублировал её такой же фиктивной. Но ему не повезло – европейский рынок начал резко падать. Потери банка составили 4,9 млрд евро.
Если все же возникают конфликты интересов работников банка и клиента, то их следует производить в пользу клиентов банка и при этом клиенты (инвесторы) должны признаваться равными между собой перед банком.

Для предотвращения конфликтных ситуаций необходимо полно и своевременно информировать своих клиентов обо всех операциях, проведённых по их поручениям, связанных с ними рисках, состоянии счетов.

Для службы информационной безопасности каждый специалист банка, работающий с денежными средствами, ценными бумагами, может подпадать под портрет  потенциального мошенника, так как невозможно заранее предсказать, кто из сотрудников банка способен переступить грань и начать злоупотреблять служебным положением. Поэтому должен быть налажен соответствующий контроль за такой категорией работников.

Что в первую очередь стремятся защищать в банке? Конечно, свою платёжную систему. Многие банки в работе с клиентами используют для ускоренной обработки платёжных документов систему «Банк-Клиент», в которой используется электронная цифровая подпись (ЭЦП). Электронно-цифровая подпись, до недавнего времени считалась надёжной. Но в последнее время мошенники – хакеры, используя специальные программы, довольно легко стали похищать файлы закрытых ключей электронной цифровой подписи и пароли доступа к ним, входить в системы Интернет-банкинга и совершать финансовые операции от имени владельца счёта. Например, они могут переводить деньги на счета систем электронной наличности или на счета в других банках и обналичивать их.

В большинстве случаев, когда были совершены такие хищения у клиентов, у банков отсутствовали даже элементарные средства защиты. У пользователей не были настроены сетевые экраны, операционные системы не обновлялись с момента установки и т. д. Для защиты платёжной системы от возможных хакерских атак необходима многослойная система защиты от внешнего воздействия.

Схемы мошенничество с платёжными документами довольно широко распространены. Так в последние годы крупнейшие российские банки столкнулись с мошенническими схемами при проведении платежей с участием граждан Республик Гайана, Нигерия, Гана, Ангола, Конго, ЮАР, Кения, Гвинея-Бисау и Бенин. Их имена при переводе на русский язык или при перестановке слов совпадают с англоязычным названием крупных корпоративных клиентов. Суть схемы была следующая: мошенники в Нигерии находили через Интернет информацию о российских компаниях, имеющих контрагентов в этих странах, а также о банках, в которых у них открыты счета. Далее мошенники заводили паспорта на имена, совпадающие с названиями российских компаний. Например, совпадение названия РАО «ЕЭС России» и гражданина Нигерии с паспортом на имя Еесрус (EESRUS) и фамилией Оаорао (OAORAO).

Затем злоумышленники открывали счета в российских банках, предъявляя паспорта, идентификация которых подтверждала их подлинность Завершающей стадией махинации была подмена номеров лицевых счетов либо в счёте-фактуре, которая высылается компании-плательщику поставщиком для оплаты, либо в самом платёжном поручении. В результате валютный перевод поступал не компании-поставщику, а физлицу по подложному контракту.
Другое направление работ службы информационной безопасности – это защита от воровства бланков ценных бумаг, которые выпускает банк (например, векселей). Так, например, в 1997 г. одной из компаний был приобретён вексель банка Менатеп на сумму 5 миллиардов неденоминированных рублей. Вексель оказался фальшивым, хотя все необходимые средства защиты на бланке присутствовали, т.е. на украденном настоящем бланке были воспроизведены все необходимые передаточные записи и подписи. Аналогичный случай но уже в 2001 г. произошёл с векселями банка «Менатеп Сан-Петербурга», когда сотрудник, имеющий доступ к бланкам векселей смог просто украсть бланк и затем, подделав подписи, запустить его на финансовый рынок. То же самое можно говорить о фальшивых векселях Сбербанка, которые часто подделываются мошенниками, особенно векселя на предъявителя. В настоящее время на рынке ценных бумаг имеет хождение огромное количество поддельных простых векселей ОАО «Газпром» серии АА.

К объектам информационной безопасности, подлежащим защите относятся:

  • информация с персональными данными и коммерческой тайной на бумажной, магнитной, оптической основе,
  • программное обеспечение,
  • автоматизированные системы и вычислительные сети различного уровня и назначения,
  • линии телефонной, факсимильной, радиосвязи,
  • технические средства передачи информации,
  • средства размножения и отображения информации,
  • вспомогательные технические средства и системы.

Одним из самых уязвимых мест любой системы является точка входа в сеть общего пользования (Internet). Поэтому доступ сотрудников банка к сети общего пользования должен быть строго регламентирован.

Следующим направлением работ службы ИБ это защита персональных компьютеров (ПК) на рабочем места пользователя. Служба ИБ должна обеспечивать:

  • защиту от атак хакеров, новых вирусных программ и программ – закладок,
  • физический доступ к аппаратным ресурсам только для конкретного пользователя ПК;
  • защиту системного и прикладного программного обеспечения.

Необходимо запретить, копирование данных на съёмные носители информации, кроме лиц, имеющих разрешение руководства банка. Защите подлежат сведения, составляющие коммерческую тайну банка, находящиеся на материальных носителях (бумажных, магнитных, оптических, чиповых картах и т.п.). Для этого служба ИБ должна вести учёт материальных носителей, содержащих коммерческую тайну. и определять круг лиц, имеющих доступ к защищаемой информации.

Сейчас наиболее востребована защита удалённых устройств, которыми пользуются клиенты банка. Наиболее уязвимыми элементами банковской системы являются серверы, используемые для работы систем, и каналы связи.

Удаленное обслуживание – важная функциональная составляющая современных банковских систем. Пластиковые банковские карты прочно вошли в жизнь москвичей. Ими удобно расплачиваться, не нося с собой кучу денег.

Многие крупные банки предлагают клиентам использовать дистанционный банкинг. Но именно удалённые услуги в последнее время становятся всё более уязвимыми для атак злоумышленников. Поэтому для поддержания функционирования банковских систем необходимо повысить безопасность удалённых финансовых услуг.

Какие сейчас существуют угрозы безопасности для дистанционного банкинга? Статистика свидетельствует о том, что мошенничество на банкоматах приобретает масштаб отраслевой проблемы. И, как отмечают эксперты, в ближайшие годы положение дел вряд ли изменится. Напротив, катаклизмы финансового рынка будут стимулировать разработку всё более изощрённых атак на терминальные сети банков.

Проблема масштабная, и очевидно, что если ничего не предпринимать, то ситуация будет только ухудшаться, потому что очень выгодно воровать ключи и деньги. Атаки мошенников организуется как бизнес-проекты, и это будет происходить изо дня в день, так как приносит доход.

Новые вредоносные компьютерные программы позволяют мошенникам . проникать в компьютер и получать удалённое управление таким компьютером. Злоумышленники либо могут сделать заражённый компьютер частью botnet1 и использовать его для атак на другие системы, либо украсть интересующую их закрытую информацию, расположенную непосредственно на компьютере жертвы. Германия , по данным корпорации Symantec, специализирующейся на разработке антивирусного ПО , занимает первое место по распространению вредоносных программ и так называемых бот-сетей, объединяющих десятки заражённых компьютеров, которые используют хакеры. Как отмечают эксперты Symantec, доля немецких компьютеров в бот-сетях составляет 14 %. Всего, в десяти крупнейших бот-сетях задействованы как минимум пять миллионов заражённых компьютеров, 85 % спама рассылается именно через бот-сети.

По данным экспертов, в 2009 г. 12 % вирусных программ в европейском сегменте Интернета были запущены с немецких компьютеров. По этому показателю ФРГ обогнала Великобританию, занявшую второе место (9 %), и Россию (8 %).

Для борьбы с хакерами существует специальный приём, который на сегодняшний день является наиболее эффективным, – это использование специализированных смарт-карт. Эта карта в виде специального небольшого устройства подключается к USB-порту. Ни одного случая хищения по этим картам пока не было. Смысл заключается в том, что смарт-карта подписывает документ сама. Закрытый ключ при этом в компьютер не передаётся, и скопировать его невозможно.

Не так давно в России появилась смарт-карта, которая соответствует стандартам России и сертифицирована Федеральной службой безопасности. Она соответствует законодательным требованиям и может использоваться в том числе в государственных учреждениях.

Производители банковского оборудования и ПО постоянно разрабатывают и предлагают клиентам новые методы защиты сетей, чтобы быть на шаг впереди криминального мира. Банкоматы оснащаются специальным детектором, который распознает наличие чужеродного устройства и делает невозможным точное считывание данных с магнитной полосы карты. При обнаружении такого устройства система посылает сигнал тревоги в службу безопасности банка, мониторинговый центр или отделение милиции.

Конечно, в рамках одной статьи сложно охватить весь спектр защиты информации в банковской системе. Однако сегодня в России и за рубежом постоянно ведётся работа по противодействию существующим криминальным угрозам. А значит, при консолидации усилий всех игроков рынка можно добиться неплохих результатов и существенно снизить риски возможных атак со стороны мошенников.

1botnet (от robot и network) — это компьютерная сеть, состоящая из некоторого количества серверов, с запущенными ботами – автономным программным обеспечением, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.

Автор: