1 октября, 2013, BIS Journal №4(11)/2013

Вкладывайте в безопасность


Сотин Денис

вице-президент – директор Технологической дирекции (ОАО «ТрансКредитБанк»)

Киричек Алексей

директор Департамента сопровождения розничного бизнеса (ОАО «ТрансКредитБанк»)

Присоединение одного банка к другому требует повышенного уровня информационной защиты

В результате юридического присоединения ОАО «ТрансКредит Банк» к ВТБ24 (ЗАО), запланированного на ноябрь 2013 года, обслуживание розничных клиентов и части юридических лиц ТрансКредитБанка (далее – ТКБ) переходит в банк ВТБ24. В филиальной сети ТКБ продажа продуктов ВТБ24 началась уже в апреле, а с начала августа осуществляется во всей сети ТКБ. Далее предстоит трансформация филиальной сети банка и миграция зарплатных проектов, а полная ИТ-миграция ориентировочно завершится в конце 2015 года. Эти перемены сопровождаются повышенным вниманием к обеспечению должного уровня информационной безопасности.

 

СОПРОВОЖДЕНИЕ ПЕРЕМЕН

С начала объединения ТрансКредитБанка и ВТБ24 по совместно разработанному плану был произведён ряд изменений в политиках безопасности обоих банков. Эта работа была напрямую связана с происходящей интеграцией. Функциональная организационная перестройка проводилась как для повышения эффективности работы ТрансКредитБанка в целом, и так и для приближения к стандартам работы ВТБ24.

В процессе интеграции банков наиболее ощутимы риски и угрозы вполне определённого рода, которые требуют реализации ряда мер для повышения информационной безопасности. Как правило, по вполне понятным причинам более высоки риски в присоединяемом банке. Присоединение характеризуется рядом существенных перемен, возникает некоторая временная нестабильность. В частности, снижается уверенность части персонала в своём профессиональном будущем. Соответственно, повышаются операционные риски, связанные с человеческим фактором.

Поэтому за последние 2 года в Транскредитбанке, по согласованию с банком ВТБ24, а также на основании ранее подготовленного Департаментом экономической безопасности и Технологической дирекцией (ТД) ТКБ плана совершенствования системы обеспечения информационной безопасности (СОИБ) заблаговременно был осуществлён ряд мероприятий. В результате была повышена защищенность ТрансКредитБанка как по внешнему периметру, так и на уровне доступа сотрудников к различным информационным системам Банка. В частности, были внедрены такие решения как MaxPatrol, ArcSight и другие. В то же время, даже после реализации указанного плана банк не останавливался в части совершенствования информационной безопасности.

В частности, в целях выполнения рекомендаций внешнего аудитора ИБ по повышению уровня защищенности ИС Банка, в 1-м квартале 2013 года. ТД было принято решение осуществить пилотное внедрение системы Imperva, позволяющей реализовать защитные технологии уровня WAF. Решения этого класса представляют собой программно-аппаратные комплексы, которые применяют наборы правил и политик безопасности к наблюдаемому трафику, идущему от приложений к базе данных и в обратном направлении. Решения класса WAF часто называют Deep Packet Inspection Firewalls (межсетевые экраны с глубоким анализом пакетов), т.к. они анализируют каждый запрос и ответ на уровне прикладных протоколов (HTTP/ HTTPS/SOAP/XML-RPC/Web-служб).

Кроме того, по итогам пилотного тестирования системы Imperva, завершившегося в 1-м квартале 2013 г., стало понятно, что она имеет в своем активе более широкий функционал. Используя запатентованные технологии, система способна контролировать доступ для двух- и трехзвенных моделей клиент-сервер, определять администратора и других привилегированных пользователей СУБД, что позволит существенно снизить риски ИБ, связанные с фальсификацией полномочий администраторов и пользователей, имеющих доступ к критичной для ведения бизнеса информации, хранящейся в Базах Данных, а также риски её хищения или злоумышленного изменения, что (как было указано выше) в условиях интеграции с ЗАО «ВТБ24» особенно актуально.

В сочетании с существующей в Банке системой ИБ MaxPatrol, которая предоставляет информацию о наличии уязвимостей в целевых системах, Imperva даст возможность выявить и предотвратить в режиме реального времени попытку эксплуатации/поиска злоумышленником уязвимостей в ИС. Отсутствие системы такого рода позволяет злоумышленнику проводить более открытые виды атак на вебсервера, СУБД, не боясь быть обнаруженным. В некоторых случаях целевые системы не имеют функциональной возможность регистрировать данные события, в других же, включение дополнительного аудита приведет к многократному увеличению нагрузки на серверы СУБД, что скажется на производительности приложений и качестве предоставляемых сервисов.

Кроме того, был успешно завершён проект по упорядочению прав доступа сотрудников к основным информационным системам (ИС) Банка, изменивший подход к управлению правами доступа в ИС. Раньше в ТрансКредитБанке не было ролевой системы доступа, права могли назначаться произвольно, в зависимости от производственной необходимости, зачастую без привязки к выполняемым функциональным обязанностям сотрудника, что несло в себе риски ИБ связанные с фальсификацией полномочий и т.п. Но в течение последних двух лет проводились работы по внедрению функциональной модели управления банка, определялись и пересматривались функции различных подразделений. Было принято решение о внедрении ролевой системы доступа: на основании функций и ролей определяется характер того или иного доступа в систему. По результатам внедрения данного проекта все права доступа были пересмотрены и изменены по всей филиальной сети ТрансКредитБанка.

ЕДИНОЕ ПРОСТРАНСТВО БЕЗОПАСНОСТИ

Мероприятия, проводившиеся на протяжении нескольких лет, были направлены на приведение систем ТрансКредитБанка в соответствие с нормами СТО БР ИББС – отраслевого стандарта информационной безопасности Банка России. Одним из результатов стало значительное повышение контроля над сетью ТКБ, которая сейчас работает с информационной сетью банка ВТБ24, следуя её стандартам. Управление системами ТКБ, в том числе контроль над сетью, было полностью централизовано.

Жизненный цикл информационных систем нашего банка в зависимости того, как будет идти трансформация филиальной сети, может составить еще 2-3 года. Поэтому после завершения интеграции подразделение ТрансКредитБанка, которое сейчас осуществляет эти контрольные функции, уже в составе ВТБ24 продолжит администрировать те же системы.

В настоящий момент подразделение информационной безопасности ТКБ работает в двух направлениях. Первое – повышение безопасности банковской сети в целом, выполнение требований государственных регуляторов. Второе направление – достижение соответствия унифицированным нормам группы ВТБ, что по завершении объединения двух банков обеспечить единое пространство информационной безопасности.

Единство системы обеспечения информационной безопасности очень важно для запланированной трансформации филиальной сети, чтобы каждый филиал ТрансКредитБанка соответствовал политикам и стандартам ВТБ24. Проводимые сейчас работы как раз позволят обеспечить плавность перехода наших филиалов на инфраструктуру ВТБ24.

БАНКОМАТЫ ПОВЫШЕННОЙ ЗАЩИТЫ

Объединение нашей сети банкоматов с сетью группы ВТБ было завершено в 2011 году, и это слияние также сопровождалось особыми мерами по повышению уровня информационной безопасности. Сеть ТрансКредитБанка насчитывает 2570 банкоматов. Теперь у держателей карт банков ВТБ24, ТрансКредитБанка и Банка Москвы есть возможность снимать наличные денежные средства во всех банкоматах нашей объединенной сети без комиссии.

Объединенная сеть группы ВТБ включает более 10 000 банкоматов в 650 населенных пунктах, более 3 700 банкоматов работают круглосуточно и установлены в свободном доступе. Это очень удобно для всех клиентов, к тому же прежние лимиты снятия денежных средств отменены. Статистика взаимного проникновения показывает, что клиенты всех трех банков объединенной сети с каждым месяцем все активнее используют банкоматы банков-партнеров.

Парк банкоматов ТКБ был обновлён на 10%, завершаются мероприятия, направленные на усиление их защиты. Во всей сети развернуто видеонаблюдение, устанавливаются дополнительные средства механической защиты. В последнее время распространенным способом механического хищения средств из банкоматов стал отжим сейфовой дверцы рычажным инструментом. Поэтому на рынке стали появляться специальные накладки на торцевую планку банкомата, не позволяющие преступникам быстро вскрыть банкомат. У нашего банка есть и собственные подобные ноу-хау.

Обновлённые охранные комплексы обладают повышенной стойкостью и оперативно реагируют на попытки взлома, заметно снижая шансы преступников завершить ограбление до приезда полиции. Кроме того, в этом году мы закончим установку на банкоматах активных и пассивных антискимминговых накладок нескольких типов. Пассивные накладки не позволяют установить скимминговые устройства на картоприемник. Активные же не позволяют осуществлять запись информации с карт, дают сигнал на блокировку банкомата и в службу фрод-мониторинга банка.

В службе фрод-мониторинга ТрансКредитБанка внедрены дополнительные правила и алгоритмы, позволяющие подробно проверять операции, имеющие признаки мошеннических. В случаях компрометации карт наших клиентов проводятся оперативные меры: выявляется место компрометации, блокируется пул карт, данные которых могли стать доступны преступникам. Затем взамен скомпрометированных банковских карт для клиентов выпускаются новые.

Эффективным инструментом обслуживания сети банкоматов является система инцидент-менеджмента. С создания такой системы необходимо начинать строить сервисную модель обслуживания даже небольших парков в несколько десятков и сотен устройств. Инцидент-менеджмент делает прозрачной всю информацию об устройствах: и об инцидентах, и о предпринимаемых мерах реагирования. Данные поступают из сферы процессинга в сервисные компании по принятым принципам SLA, и на основе этих метрик можно эффективно управлять сервисом очень обширного парка, тысячами банкоматов. Такая система в ТрансКредитБанке уже внедрена, в филиалах идет её промышленная эксплуатация.

ГОТОВНОСТЬ К БУДУЩЕМУ

Среди самых опасных угроз информационной безопасности банков в настоящее время нужно выделить «внутреннюю» – мошенничество и неправомерные действия собственных сотрудников. Такие внешние угрозы как скимминг, мошенничество в сервисах ДБО, с интернет-банкингом – явления не новые и уже достаточно привычные.

Рост количества таких инцидентов связан, в первую очередь, с быстрым распространением новых банковских сервисов и увеличением количества их пользователей. Если 5 лет назад наличие 100 000 клиентов интернет-банкинга считалось высоким показателем, то сегодня количество пользователей дистанционными сервисами крупного банка измеряется миллионами. Таким образом, объяснимо и пропорциональное увеличение частоты инцидентов, связанных с внешними угрозами.

В более значительной степени возрастают «внутренние» угрозы, связанные как с пробелами в политике информационной безопасности банка и с недостатком компетенции сотрудников, так и с их злым умыслом. Ущерб от действий внутренних мошенников для банка может оказаться куда большим, чем от внешних. Что, кстати, отражено в последних нормативных документах Банка России, содержащих требования по информационной безопасности. Сотрудники подразделений информационной безопасности банков должны быть готовы к тому, что по мере расширения высокотехнологичных сервисов будут возрастать возможности не только для клиентов, но и для мошенников. Список внешних и внутренних угроз будет расти, их иерархия – меняться. Инвестиции в информационную безопасность – непременное условие надёжной защиты банковского бизнеса завтрашнего дня.

Ужесточение требований к банковской информационной безопасности после принятия федерального закона ФЗ-161 «О национальной платёжной системе» выглядит не совсем обоснованным, кое в чём даже избыточным. Но новые жёсткие нормы стимулируют банки стараться максимально обеспечить безопасность электронных платежей, а также выделять финансирование, понимая необходимость этой работы.

Для банков остаются лазейки – более простые и дешёвые окольные пути формально выполнять новые требования закона. Например, выстраивая юридические механизмы защиты от возможных неправомерных действий клиента, которые оспаривает транзакцию. Таким образом, у банков есть выбор: идти простым и коротким, формальным путём, или всё-таки выстраивать долгосрочные отношения с клиентом, повышая информационную безопасность.

Публикацию подготовила Анна ВЕРХОСЬ.

 

Смотрите также

Подпишись на новости!
Подписаться