ИТ и ИБ – ​конъюнкция или дизъюнкция? Взгляд со стороны ИТ на современную проблематику информационной безопасности в банках

BIS Journal №2(37)/2020

20 мая, 2020

ИТ и ИБ – ​конъюнкция или дизъюнкция? Взгляд со стороны ИТ на современную проблематику информационной безопасности в банках

Для начала обсуждения того, как сосуществуют информационная безопасность и автоматизация деятельности в рамках финансовых организаций, давайте определимся, с какими угрозами прежде всего приходится сталкиваться в аспектах информационной безопасности. Отмечу несколько угроз в порядке убывания массовости и соответственно увеличения негативных финансовых последствий.

 

УТЕЧКА ДАННЫХ

Утечка данных за периметр организации является сейчас наиболее массовым явлением в различных индустриях, и поэтому борьба с этим злом многофакторная и имеет разные уровни: от организационных мер до разделения уровней доступа, технических средств слежения за доступом, контроля копирования данных и многого другого. Основной ущерб — ​это потеря данных относящихся к коммерческой тайне и потеря персональных данных клиентов, сотрудников и контрагентов.

 

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Этот вид угроз представляет из себя коммуникацию с клиентом или сотрудником банка, для того чтобы тот выполнил необходимые злоумышленникам действия по самостоятельному переводу им денежных средств или предоставлению необходимых данных для совершения таких операций. Обычно мошенники представляются операционными сотрудниками банка или сотрудниками службы безопасности. Для финансовых учреждений такой вид мошенничества сложен к разбирательству именно потому что для банков они выглядят как совершенно легитимные операции, выполненные самим клиентом и не имеют никаких следов преступных действий.

 

ЗАРАЖЕНИЕ ПОЛЬЗОВАТЕЛЬСКИХ КОМПЬЮТЕРОВ

Заражение пользовательских компьютеров является обычно методом для несанкционированного получения доступа к данным и проведения незаконных операций, тем не менее мы выделяем его в списке современных угроз.

 

ВЫВОД ИЗ СТРОЯ ИНФРАСТРУКТУРЫ

Уничтожение бизнес-данных или их шифрация так же, как и удаление конфигураций оборудования, компонентов системного программного обеспечения являются угрозами вывода инфраструктуры из строя, использующегося в недобросовестной конкурентной борьбе и иных противоправных действиях. Одной из разновидностей вывода инфраструктуры из строя можно считать DoS-атаки, когда нецелевым трафиком заполняются ресурсы вычислительных мощностей или систем хранения данных.

 

ВЗЛОМ СИСТЕМ ДБО

Самыми заветными для злоумышленников являются системы, которые позволяют напрямую получить доступ к денежным средствам. Первой категорией таких систем являются системы дистанционного банковского обслуживания и особенно системы ДБО юридических лиц. Взлом системы ДБО не является взломом учётных систем и не меняет балансов на остатках счетов клиентов, но даёт доступ к расходным операциям по этим счетам, и поэтому системы ДБО юридических лиц подвержены в большей степени таким атакам — ​остатки у компаний гораздо больше, чем у частных клиентов. Более распространённым этот риск является потому, что системы ДБО по умолчанию выведены в публичную сеть интернет для использования клиентами.

 

ВЗЛОМ УЧЕТНЫХ СИСТЕМ

Получение доступа к учётным системам, как и следующий пункт в списке, являет собой банковский «Форт Нокс». Учётные системы — ​это системы которые хранят остатки на депозитных, текущих или карточных счетах, что является наиболее чувствительной информацией. Изменение информации в этих системах приводит к прямым финансовым убыткам.

 

ВЗЛОМ ИНФРАСТРУКТУРЫ ВЗАИМОДЕЙСТВИЯ С ПЛАТЕЖНЫМИ СИСТЕМАМИ

Инфраструктура платежным систем (SWIFT, РКЦ, карточные платёжные системы) — ​это компоненты ИТ-ландшафта, отвечающие за взаимодействие с другими финансовыми институтами. Заветной целью злоумышленников является вывод денег из финансового учреждения, а платёжные системы стоят как раз на стыке такого взаимодействия. Поэтому, получив контроль над этой инфраструктурой, можно от лица банка сообщать о движении средств внешним контрагентам. Например, карточной платёжной системе «сказать» при запросе на выдачу денег в банкомате другого банка, что платёжное средство проверено и транзакция авторизована, не выполняя реальную проверку.

 

ПРОБЛЕМАТИКА БАЛАНСА БЕЗОПАСНОСТИ И СКОРОСТИ РАЗВИТИЯ

Много перечислено угроз, и первый вывод, который приходит в голову, — ​всё запретить, всё отключить и действовать только после многократных проверок подлинности и достоверности. Вот тут и встаёт главная проблематика взаимодействия информационной безопасности и других служб финансовой организации: как найти баланс между скоростью развития, удобством клиентского сервиса и безопасностью информационных систем. Если выстроить очень сложную систему доступа клиентов к своим счетам через дистанционные каналы, то клиенты не будут пользоваться такими сервисами, и конкуренты, построившие данный процесс эффективнее, получат преимущества. Например, не очень далеки те времена, когда банки раздавали своим клиентам так называемые CAP-калькуляторы или скретч-карты для получения одноразовых паролей, подтверждающих выполнение действий. Из-за сложности дистрибуции и неудобства использования они ушли в прошлое в розничном обслуживании физических лиц, и баланс безопасности и удобства сместился в сторону клиентского сервиса.

 

ПУТИ НАХОЖДЕНИЯ ИДЕАЛЬНОГО БАЛАНСА

Однозначного лекала, позволяющего определить что есть истина, в данном вопросе не существует. Есть методики, определяющие уровень риска, но самый действенный метод — ​это опыт, эффективно построенная операционная работа по определению минимально возможных заградительных мер, обеспечивающих безопасность информационных систем, постоянная оценка уровня риска и быстрое реагирование на возникающие угрозы. Для быстрой реакции должны быть выстроены процессы, обеспечивающие минимальный time-to-market. Но это уже тема отдельной беседы.

 

ПРОБЛЕМАТИКА МАСШТАБА. СИСТЕМЫ КОНТРОЛЯ ДЕЙСТВИЙ

Как в бизнесе, так и в области информационной безопасности банков, на первый план выходит эффект масштаба финансовой организации. В связи с постоянной «гонкой вооружений» между средствами защиты и средствами атак постоянно совершенствуются и усложняются технологии работы. Субъектов ИТ-инфраструктуры и их разновидностей становится с каждым годом всё больше и больше, и поэтому необходимые инвестиции в программно-аппаратные комплексы, обеспечивающие информационную безопасность, растут и уже очень заметны на фоне всех административно-хозяйственных расходов. Закономерность тут проста: чем крупнее бизнес, тем больший объём инвестиций в информационную безопасность он может себе позволить и тем меньше удельная стоимость такой безопасности для кредитной организации. Также, чем крупнее бизнес, тем интереснее он злоумышленникам.

 

БЕЗОПАСНОСТЬ VS УДОБСТВО

Очень важным аспектом, зачастую упускаемым из виду, является удобство не только клиентов, использующих банковские продукты, но также и удобство работы внутренних пользователей-сотрудников банков — ​пользователей информационных систем. Неэффективная и неудобная работа внутренних пользователей зачастую приводит к текучке кадров, невысокой производительности и, как следствие, к общей неэффективности производственного процесса. В этом вопросе надо так же, как и в вопросе удобства клиентов, проявлять повышенное внимание, проводить постоянную оценку и использовать всесторонние подходы — ​не только технические, но и организационные — ​для решения проблем рисков халатности или внутреннего мошенничества (фрода).

 

ИТ И ИБ — ​КОНЪЮНКЦИЯ ИЛИ ДИЗЪЮНКЦИЯ?

В ситуации некоторой полярности интересов служб ИБ и ИТ встаёт вопрос эффективности их взаимодействия и нахождения компромиссов, способных устроить обе стороны. ИТ заинтересовано в максимальном упрощении процессов, «лёгкости» и доступности информационных систем для пользователей внутри банка, отсутствии большого количества уровней авторизации для доступа к данным и т. д. У ИБ полярный взгляд на данные вопросы. В такой ситуации на первый план выходят вопросы внутренних коммуникаций и эффективно построенной модели управления, когда с одной стороны идёт постоянное общение на всех уровнях менеджмента между ИТ и ИБ, и кроме этого настроена качественная система эскалации вопросов и принятия решений в спорных ситуациях.

 

МОБИЛИЗАЦИЯ УСИЛИЙ

Хорошим примером такой слаженной и эффективной работы можно считать события последних дней, когда сотрудникам ИТ и ИБ пришлось вместе искать быстрые способы трансформации работы организаций и перевод их в дистанционные режимы работы. Коллективы показали свою нацеленность на результат и возможность работать как единый организм, обеспечивающий технологическое совершенство операционных процессов с соблюдением современных норм информационной безопасности.

Смотрите также