Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Здесь уместно привести две цитаты из так называемых официально установленных в США «Стандартов Безопасности и Надежности» банковской деятельности [154] 12 CFR (Code of Federal Regulations), Pt. 30 — SAFETY & SOUNDNESS STANDARDS (пункты E и F). Под «Программой обеспечения информационной безопасности» имеется в виду «Политика информационной безопасности». , а именно: «Каждый банк обязан осуществлять мониторинг, оценку и, при необходимости, корректировку Программы информационной безопасности в зависимости от затрагивающих соответствующие вопросы изменений в технологиях, значимости клиентской информации, внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые соглашения, таких как слияния и приобретения, совместная и партнерская деятельность, использование аутсорсинга и внесение изменений в клиентские информационные системы» и «каждый банк обязан как минимум ежегодно составлять для своего совета директоров или соответствующего комитета такого совета отчет с описанием общего состояния программы информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в этом отчете следует рассмотреть значимые для этой программы вопросы, касающиеся: оценки риска, управления риском и соответствующих решений, отношений с провайдерами, результатов тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению изменений в программу».

Эти законодательно закрепленные в США положения, возможно, было бы полезно использовать и отечественным кредитным организациям.

Наконец, целесообразно привести еще ряд соображений, высказанных в работе /. Сгите’а относительно учета в процедурах ОИБ, устанавливаемых в высокотехнологичной кредитной организации, некоторых специфических факторов возникновения дополнительных источников компонентов банковских рисков, о которых часто забывают, считая их незначительными:

1) брандмауэры — это только начало защиты.При организации сетевой защиты внимание уделяется преимущественно брандмауэрам. Это действительно критично важные компоненты защиты, но они защищают не от всех атак и не все атаки могут обнаружить;

2) не все «плохие парни» находятся вне организации.Предположение о том, что в организации все работники честные, а все мошенники действуют извне, далеко не всегда справедливо, примерно половина атак замышляются сотрудниками, хорошо знающими объекты атак и способными нанести гораздо больший ущерб, чем хакеры;

3) человек — самое слабое звено в компьютерной системе.Прочность цепи определяется ее слабейшим звеном; в компьютерном мире этим звеном может оказаться человек, которому «свойственно ошибаться», особенно при недостаточной квалификации, чем часто пользуются хакеры;

4) пароли могут оказаться незащищенными.Пароли используются для идентификации личностей чаще всего, но это одно из наиболее слабых мест в защищаемых компьютерных системах, вследствие чего защита должна быть комплексной и контролируемой;

5) хакеры могут незаметно наблюдать за деятельностью.Прослушивание сетевого трафика или перехват передаваемой по вычислительной сети информации может раскрыть более чем достаточно сведений для хакера, стремящегося к получению прав и полномочий наиболее высокого уровня. Такие атаки являются пассивными, вследствие чего их трудно обнаружить, поэтому целесообразно применять средства обнаружения «прослушки» в вычислительных сетях;

6) устаревшее программное обеспечение уязвимо.Давно используемое программное обеспечение хорошо изучено хакерами, и его недостатки, обычно известные хакерскому сообществу, легко могут быть использованы в хорошо известных атаках. Необходимо постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы, и разработать соответствующий порядок обновления;

7) установки по умолчанию могут быть опасны.Многие программно-технические средства часто поставляются с системными предустановками, которые хорошо известны хакерам (логины, пароли и т. д.). Следует отключить функции и сменить внутрисистемные установки;

8) лучше всего жуликов ловят другие жулики.Защита должна быть не «реактивной», а «проактивной». Необходимо представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого строится система обеспечения информационной безопасности, определяются методы и средства защиты данных и операций;

9) средства защиты от вирусов обычно неадекватны.Средствами антивирусной защиты или регулярностью их обновления часто пренебрегают. В то же время достаточно одной «удачной» атаки, чтобы нарушить или разрушить бизнес. Необходимо определить порядок и регламент работ с антивирусными средствами, назначить ответственных и контролирующих, обучить и контролировать пользователей;

10) «активное содержимое» может быть активнее, чем кажется.Такие средства формирования «активного контента», т. е. динамического и интерактивного содержания web-страниц, как Java, JavaScript, ActiveX могут использоваться и для скрытого вредоносного воздействия на компьютерные системы, краж данных и т. д. Часто полезно отключать их;

11) надежная вчера криптозащита ненадежна сегодня.Само по себе шифрование сообщений не гарантирует от их несанкционированного прочтения. По мере роста вычислительной мощности компьютеров и с применением распределенного подхода вероятность взлома повышается. Необходимо следить за устареванием средств криптозащиты;

12) «дверь черного хода» может оказаться открытой.Брандмауэры по периметру вычислительной сети защищают от сетевых проникновений, но не от атак через модемы, особенно несанкционированные. Необходимо следить за действиями пользователей и попытками такого проникновения через «дыры» в защите, проводя аудит линий связи;

13) не может быть «безвредных» атак.Даже если хакеру не удается нанести ущерб, скопировать какие-то данные или украсть деньги, сам факт проникновения может стать известен и негативно сказаться на «бренде» организации, вызвав в конце концов и одинаковые потери;

14) у хакеров прекрасное светлое будущее.Хакеров становится все больше, средства взлома всегда доступны на их web-сайтах и совершенствуются. Необходимо периодически пересматривать политику безопасности.

Мало того, «выиграть у хакеров невозможно, потому что у нормальных людей есть нормальные человеческие потребности: они работают, едят, пьют, спят, гуляют с девушками и т. д., а хакера все это не интересует — он живет только ради несанкционированного доступа и занимается только и исключительно этим круглосуточно».