Работа любых финансовых организаций основывается на доверии клиентов и репутации на рынке. Поэтому значение защиты информации в данном бизнесе трудно переоценить.
В настоящей статье мы рассмотрим технологические и бизнес-процессы банков и страховых организаций, повышающие риски информационной безопасности (ИБ). Вопросы других угроз для финансовой отрасли — например, мошенничества, не относящегося к ИБ, и краж материальных ценностей — останутся за пределами нашего внимания.
Финансы — область повышенного риска ИБ
Особенностью работы финансовых организаций является то, что информационные потери здесь могут выражаться в огромных денежных суммах. Это происходит из-за того, что банки сохраняют не только материальные ценности своих клиентов, но и банковскую тайну — данные о вкладчиках, кредиторах, их счетах и средствах. Любая утечка подобной информации ведет финансовую организацию к серьезным репутационным, юридическим и операционным проблемам и, следовательно, к потере доходов.
Взлом автоматизированных банковских систем и кража средств путем несанкционированных переводов с одних счетов на другие негативно отражается на репутации банка и влечет за собой необходимость возмещения огромных сумм денег. Те же последствия для банков имеют переводы со счетов путем подделки пластиковых банковских карт и фишинга.
Решение любой задачи в финансовой сфере невозможно без эффективной поддержки повседневной управленческой деятельности и глубокого анализа большого объема информации — данных о рыночной конъюнктуре, инвестициях, финансово-хозяйственных показателях и т. д. Поэтому любая их утечка или дезинформация персонала, а также недоступность данных могут нанести огромный ущерб.
Кроме того, особенностью финансовой сферы является требование обеспечения юридической силы документов, что вызывает необходимость их защиты от фальсификации и искажений. Также отметим, что финансовые организации, как и организации других видов деятельности, могут проиграть в конкурентной борьбе соперникам, овладевшим конфиденциальной внутренней информацией, ведь доступ к коммерческой и служебной тайне дает конкурентам возможность срывать сделки, нарушать связи с партнерами, перехватывать клиентов и т. д.
Основные бизнес- и технологические процессы
Под основными бизнес- и технологическими процессами финансовых организаций мы будем подразумевать процессы, непосредственно связанные с обслуживанием клиентов.
Тенденцией развития основных бизнес-процессов в банковском и страховом секторах является бурный рост технологий обслуживания массового рынка. Однако при этом помимо расширения перспектив увеличиваются и риски ИБ.
С ростом числа клиентов существенно возрастает объем вводимой и обрабатываемой информации, что повышает вероятность ошибок и затрудняет контроль над утечками. Увеличиваются требования к скорости и точности обработки данных, причем в круглосуточном и круглогодичном режиме.
Массовая клиентура требует новых подходов к обслуживанию: развития удаленного доступа к счетам и финансовым рынкам, возможностей самостоятельного управления счетами (например, персонального интернет-банкинга), новых технологий информирования клиентов, в частности через сотовые телефоны, и т. д. Современные методы обслуживания банковских клиентов задействуют обычные публичные каналы связи, которые менее защищены, чем специализированные финансовые сети, такие как SWIFT, VisaNet и Western Union. Кроме того, самостоятельный доступ пользователей к финансовым сервисам влечет за собой риски ИБ, связанные с их неосведомленностью, халатностью и недобросовестностью.
Массовое обслуживание предполагает и широкий территориальный охват. Финансовым организациям приходится создавать обширные сети точек доступа к своим услугам, защита которых вызывает определенные сложности ввиду их удаленности и трудностей с обеспечением контроля над ними.
Согласно отчету Deloitte “2007 Global Security Survey” (“Глобальный обзор безопасности 2007”), созданному на основе опроса представителей 169 международных финансовых компаний, главные угрозы безопасности возникают при обслуживании клиентов; среди этих угроз эксперты Deloitte выделили три: компьютерные вирусы, спам и фишинг/фарминг.
Из процессов финансовых организаций, наиболее подверженных рискам ИБ, мы рассмотрим обслуживание пластиковых карт и счетов клиентов, а также новые методы платежей.
Риски при обслуживании пластиковых карт
Существуют различные виды банковских карт, операции с которыми связаны с разным уровнем рисков ИБ. Банки должны обеспечивать конфиденциальность, целостность и достоверность информации, включая данные, записанные на лицевой части, магнитной полосе и в памяти микропроцессора карты.
Наиболее распространены дешевые и простые в использовании карты с магнитной полосой. Для осуществления платежа с их помощью надо получить разрешение банка. Поэтому основная задача финансовой организации, эмитирующей и обслуживающей магнитные карты, сводится к защите и правильному управлению запасами карт, а также обеспечению надежной связи между точкой платежа и процессинговым центром банка. Несмотря на применение ПИН и других защитных кодов с целью идентификации пользователя и контроля за подлинностью магнитной ленты, этот вид карт относительно легко подделывается.
Более безопасными являются смарт-карты, которые имеют многоступенчатую систему защиты, включающую разрушаемый при вторжении чип на одном кристалле, а также развитые программные и криптографические средства обеспечения безопасности. Однако технологии управления смарт-картами более сложны, чем картами с магнитной лентой, и требуют от банка наличия безопасной системы генерации и распределения ключей, а также защиты систем обработки транзакций.
Защиты помимо самих карт требуют и сети процессинговых центров и банкоматов. Смарт-карты достаточно интеллектуальны не только для “самостоятельного” принятия решения о платеже — на них также можно размещать дополнительные бизнес-приложения различных торговых компаний, операторов связи и т. д. Это ставит перед финансовыми организациями, телекоммуникационными, торговыми компаниями, а также регуляторами рынка вопрос о том, кто должен считаться эмитентом карт и в конечном итоге отвечать за их безопасность.
Бурно развивающимся направлением банковской деятельности является эквайринг — расчеты по операциям с использованием банковских карт с торговыми и сервисными компаниями. Безопасный эквайринг требует от банка защиты POS-терминалов, клиентской информации в процессе совершения платежей и всей процессинговой сети. Эта задача в большинстве случаев осложняется тем, что POS-терминалы подключаются к процессинговому центру по слабо защищенным каналам городских телефонных сетей.
Иногда в пластиковые банковские карточки встраивают RFID-метку для осуществления платежей. Такие платежи удобны, поскольку не требуют нахождения карты в зоне прямой видимости карт-ридера и обладают большой информационной емкостью радиочастотных меток. Однако RFID-технологии довольно уязвимы в отношении несанкционированного удаленного считывания информации, что требует введения дополнительных средств защиты — ПИН-кодов и специальных блокирующих чехлов.
Следует отметить и то, что в последнее время развивается такое средство платежей, как электронные деньги, не привязанные к какому-либо счету. Они могут храниться как в смарт-картах, так и в памяти вычислительных устройств, например на жестких дисках настольных компьютеров. Это требует особых мер программной и аппаратной защиты пользовательского оборудования.
По мере совершенствования защиты карт с магнитной полосой и распространения карт с микропроцессором деятельность злоумышленников мигрирует в Интернет. Банки все чаще сталкиваются с онлайновыми кражами идентификационных данных владельцев карт путем фишинга.
Риски онлайновых услуг
Работа на розничном рынке и развитие средств коммуникаций приводят финансовые организации к необходимости предоставлять различные сервисы через Интернет и другие публичные каналы связи. Например, банки дают своим клиентам возможность получать информацию о состоянии счета и совершать онлайновые финансовые транзакции через системы интернет-банкинга, телебанкинга и WAP-терминалы. Несмотря на шифрование передаваемых данных, использование электронной цифровой подписи и цифровых сертификатов, данный подход несет серьезные угрозы ИБ.
Причины заключаются в беспечности пользователей, заражении клиентских компьютеров шпионскими программами, изощренности приемов злоумышленников, уязвимости банковских систем на уровне как приложений, так и сетевой инфраструктуры. Серьезную опасность несут и бреши в информационных системах третьих сторон — интернет-провайдеров, биллинговых компаний, получателей удаленных платежей.
Наиболее часто встречающиеся способы несанкционированного доступа к данным о банковских счетах — фишинг и заражение клавиатурными шпионами с последующим переводом денег в системах интернет-банкинга и/или изготовлением поддельной карты. Кроме фишинга распространение получили не менее опасные методы, принуждающие пользователей раскрывать свою конфиденциальную информацию, — фарминг и вишинг.
Фарминг заключается в перенаправлении подключения на подставные ресурсы. Вишинг — в использовании для получения конфиденциальных сведений ложных сообщений по каналам интернет-телефонии. Применение недорогой интернет-телефонии для внутренних и внешних коммуникаций привлекательно для финансовых организаций, но в то же время несет риск вишинга, а также другие угрозы, связанные с захватом злоумышленниками телефонных каналов.
С указанными проблемами можно бороться с помощью технических средств — генераторов одноразовых паролей, антифишинговых фильтров браузеров и т. д. Однако по-настоящему успешная борьба здесь невозможна без повышения уровня осведомленности клиентов.
Бизнес-процессы управления и ИБ
Среди бизнес-процессов управления финансовыми организациями, наиболее подверженных рискам ИБ, выделим управление персоналом, взаимоотношениями с клиентами, взаимоотношениями со сторонними организациями и партнерами.
Риски управления персоналом
Как отмечают многие эксперты, ведущей угрозой ИБ банковского сектора являются собственные сотрудники. Согласно отчету Deloitte “2007 Global Security Survey”, в 91% финансовых организаций руководство обеспокоено рисками ИБ, сопряженными с ошибками, халатностью и злонамеренным поведением своих сотрудников.
45% респондентов Deloitte отметили, что наибольшие угрозы ИБ связаны с человеческими ошибками, 40% — с техническими, а 2% — со злонамеренными действиями инсайдеров. В 14% случаев инсайдерских нападений происходили утечки внутренних конфиденциальных данных, включая данные о клиентах.
Результаты исследования аналитического центра компании Perimetrix свидетельствуют о том, что инсайдерские угрозы также лидируют в рейтинге угроз ИБ отечественных организаций. Согласно отчету “Инсайдерские угрозы в России 2008”, всего лишь 5% российских организаций не пострадали от утечек данных в 2007 г. Наибольшие опасения опрошенных (см. рис. 1) вызывают утечки данных (76%) и халатность сотрудников (67%).
Как отмечается в исследовании Perimetrix, чаще всего инсайдеры крадут персональные данные (57%), детали конкретных сделок (47%) и финансовые отчеты (38%), а самыми популярными каналами утечек являются мобильные накопители (74%) и электронная почта (58%).
Отметим, что основная причина утечек через инсайдеров — несоблюдение принципов полномочий и разграничения доступа. Эти принципы выражаются в том, что сотрудник должен иметь доступ только к той информации, которая необходима ему для выполнения служебных обязанностей.
Многим банковским служащим предоставляются излишние права из-за того, что службы безопасности несвоевременно реагируют на кадровые изменения, указывается в докладе Deloitte. При этом в финансовых организациях, как и во многих других, существуют группы работников, по отношению к которым сложно реализовать указанные выше принципы. Например, это системные администраторы, имеющие расширенные возможности для кражи информации и сокрытия действий такого рода.
Следует помнить, что защищать необходимо как документированную, так и недокументированную банковскую информацию. Документированная информация существует в виде документов, все большая часть которых благодаря системам электронного банковского документооборота переводится в электронную форму. Миниатюризация устройств памяти и расширение каналов связи увеличивают возможности краж электронных документов недобросовестными сотрудниками. Как отмечают эксперты Perimetrix, эффективным способом защиты электронных документов от инсайдеров является выделение защитных средств в отдельный слой “невидимого” сотрудниками промежуточного ПО.
Недокументированная информация не существует в виде документов. В качестве примеров такого рода информации можно назвать служебные знания сотрудников. К числу особенностей “хранения” конфиденциальной информации в виде знаний сотрудников относится и то, что ее носители могут не только запоминать и передавать данные, но и анализировать и обобщать их. От финансовых организаций требуется введение организационных и технических методов, повышающих персональную ответственность сотрудников за разглашение служебной тайны. Крайне необходимо также защищать речевую информацию при проведении переговоров, в том числе в помещениях и на линиях связи.
Отметим также, что особенность страховых компаний заключается в том, что розничные продажи они осуществляют через широкие сети агентов, которые работают удаленно. Это накладывает дополнительные требования на системы управления персоналом.
Риски управления взаимоотношениями с клиентами, сторонними организациями и партнерами
Переход к розничному рынку требует от финансовых организаций грамотного управления отношениями с клиентами, о которых накапливается большой объем, концентрирующейся в базах данных, включая БД систем CRM, что повышает риски утечки массивов конфиденциальных данных.
Также следует отметить, что угрозу для ИБ представляет развитие эквайринга, электронного биллинга и других технологий, связанных с необходимостью делиться информацией с бизнес-партнерами. Массовые утечки данных зачастую происходят именно через третью сторону, имеющую бреши в системе ИБ, например,через розничные компании, пренебрегающие шифрованием.
Финансовым организациям выгодна возможность применять подход opt-out, заключающийся в возможности обмениваться клиентской информацией до тех пор, пока клиент не отказался от сервисов, требующих такого обмена. Подход opt-out намного увеличивает эффективность финансовых операций, но в то же время повышает уязвимость конфиденциальных клиентских данных.
Нужно помнить и о рисках ИБ, связанных с доступом к программам и данным со стороны сотрудников фирм-разработчиков и интеграторов ПО, а также других аутсорсеров. Кроме того, важно отметить, что в настоящее время финансовый рынок переживает период консолидации. Идут процессы слияния, поглощения и укрупнения банковского бизнеса. При этом объединяются информационные системы, в которых реализованы различные подходы к обеспечению безопасности, используется защитное программное обеспечение разных производителей.
Такой “зоопарк” систем ИБ требует интеграции, изменения технических и управленческих процессов, приведения их к единым стандартам обеспечения безопасности. Согласно результатам исследования компании Perimetrix “Информационная безопасность в банках. Общий взгляд”, руководство финансовых организаций в настоящее время проявляет большую заинтересованность во внедрении комплексных систем ИБ и создании непротиворечивой базы для оценки состояния системы управления в целом.
Обслуживающие бизнес-процессы
Обслуживающие бизнес-процессы — это процессы, обеспечивающие банки материальными и прочими необходимыми ресурсами. Среди данных процессов, наиболее подверженных рискам ИБ, отметим такие, как обслуживание зданий и помещений, стационарного и мобильного оборудования, линий связи, ИТ-систем.
Современные финансовые организации имеют сложные гетерогенные информационные системы, включающие как физические, так и электронные носители конфиденциальной информации. Данные системы являются критичными для осуществления практически всех бизнес-процессов и требуют полной защиты.
Финансовые организации существуют не в изолированном режиме, их каналы связи с внешним миром, как физические, так и “виртуальные”, постоянно расширяются. Например, сегодня для успешного ведения банковского бизнеса требуется обеспечивать удаленный доступ сотрудников к конфиденциальной информации через обычный интернет-браузер. Угрозу же для ИБ могут нести совершенно различные объекты, оставшиеся без защиты, — от корзины с офисным мусором до не очищенного вовремя буфера памяти компьютера.
Современный банк оперирует огромными объемами информации, требующими для своей сохранности быстрого шифрования “на лету”, что существенно повышает системные требования к вычислительной технике и криптографическим устройствам. Кроме того, банкам необходимо обеспечивать резервное копирование больших массивов данных и безопасное хранение полученных копий.
Сотрудники финансовых организаций используют в работе не только стационарные, но и мобильные вычислительные устройства, что несет угрозу их кражи либо утери и последующей утечки хранимой информации. Запрет же использования, к примеру, ноутбуков и КПК невозможен, так как в современном мире эффективный бизнес немыслим без обеспечения условий для удаленной работы.
Технические возможности краж данных постоянно растут — разведывательная аппаратура и устройства памяти развиваются в сторону миниатюризации и удешевления, скорость передачи данных в сетях связи увеличивается. Методики злоумышленников становятся все более изощренными.
Все это осложняет задачи обеспечения ИБ — защиту автоматизированных банковских систем от хакерских вторжений, физическую охрану и контроль помещений, защиту от радиозакладок и побочных электромагнитных излучений, акустических излучений и т. д.
Любой инцидент безопасности может осложниться тем, что информация об уязвимости, а также программные инструменты для ее использования мгновенно распространяются по Интернету, приводя к масштабной эксплуатации бреши. Поэтому финансовым организациям требуется уделять особое внимание выбору программного обеспечения, в том числе защитного, а также его своевременному обновлению.
Россия — не на последнем месте в области обеспечения банковской безопасности
В заключение отметим, что российские банки находятся в мире далеко не на последнем месте в области ИБ. Их деятельность регламентируется федеральным законом “О банках и банковской деятельности”, определяющим понятие “банковская тайна”. Рекомендации по защите банковской тайны содержатся в стандарте Центрального банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения”.
Согласно данным исследования Perimetrix “Информационная безопасность в банках. Общий взгляд”, в настоящее время уже более 80% российских банков планируют внедрить стандарт или некоторые из его положений. При этом отечественные банки готовы тратить на обеспечение ИБ довольно серьезные средства — почти 40% респондентов вкладывают в эту область от 5 до 15% всего ИТ-бюджета (см. рис. 2), что примерно соответствует мировым показателям.
С автором, руководителем аналитического центра компании Perimetrix, можно связаться по адресу: vladimir.ulyanov@perimetrix.com.