Безпека банківських електронних систем

Актуальність проблеми захисту банківських систем

Банківська інформація завжди була об'єктом пильного інтересу всякого роду зловмисників. У наші дні банки перетворилися в обладнані за останнім словом техніки бастіони, що приховують в своїх надрах мільярди. Однак прогрес в техніці злочинів йшов не менш швидкими темпами, ніж розвиток банківських технологій. Особливо небезпечні для банків так звані комп'ютерні злочини. Відкритий характер комп'ютерних систем, які обслуговують велику кількість користувачів за допомогою засобів зв'язку в автоматичному режимі, поряд з високим ступенем концентрації та мобільності коштів сприяли появі нової - комп'ютерної - форми злочинності. За деякими даними, оцінки втрат від злочинів, пов'язаних з втручанням в діяльність банківських електронних систем банків, дуже сильно різняться - від 170 млн до 41 млрд дол, щорічно. Позначається різноманітність методик для їх підрахунку. Середній розмір банківської крадіжки із застосуванням електронних засобів становить близько 9000 дол., А один з найгучніших скандалів пов'язаний зі спробою вкрасти 700 млн дол. (Перший національний банк, Чикаго). За іншими даними, рівень втрат ще вище: щорічні втрати в США оцінюються в 100 млрд дол., А в Європі - 35 млрд євро, причому зберігається стійка тенденція до зростання збитків, пов'язаних з комп'ютерною злочинністю. За оцінками експертів, порушення безпеки банківських систем виявляються лише в кожному десятому випадку.

Втрати несуть і російські банки, недооцінюють питання інформаційної безпеки. За даними МВС, ще в 1995 р в Росії було виявлено 185 розкрадань з використанням електронних засобів, збиток від яких склав 250 млрд руб. Звісна річ Левіна (м Санкт-Петербург) відноситься до транснаціональних мережевих комп'ютерних злочинів і стало першим випадком такого типу в Росії. Левін зі спільниками через комунікаційні мережі входив в систему управління готівкою фондами Сіті-банку (Нью-Йорк). У червні-жовтні 1994 р злочинці організували близько сорока перекладів на загальну суму понад 10 млн дол., З яких майже 400 тис. Дол, їм вдалося викрасти. Географія шахрайства крім Росії і США охоплювала Нідерланди, Швейцарію та Ізраїль.

В даний час у зв'язку з тим, що системи безпеки малих і середніх компаній набагато менш досконалі, ніж банківські, це робить атаки на них набагато вигіднішими економічно. Тому атаки на системи онлайн-банкінгу клієнтів і в найближчі роки будуть однією з головних тенденцій в сфері загроз інформаційній безпеці.

За даними компанії Group IB, зростання інцидентів в області інформаційної безпеки, пов'язаних з шахрайством в системах дистанційного банківського обслуговування (ДБО), тільки за 2011 р склав більше 200%, і найближчим часом цей показник буде збільшуватися. Рівень захищеності web -додатків систем ДБО знаходиться на вкрай низькому рівні. У 2011 р кількість кримінальних справ про шахрайство в IT -сфери збільшилася на 40%. Найпопулярнішими видами шахрайства в цій сфері є скімінг і атаки на користувачів послуг дистанційного банкінгу.

З 1 січня 2013 року набули чинності основні положення Закону про НПС, які зобов'язують банки відшкодовувати клієнтам збитки в разі переведення грошових коштів без згоди клієнта (якщо не доведено, що клієнт порушив порядок використання електронного засобу платежу). Не можна забувати і про ст. 1 095 "Підстави відшкодування шкоди, завданої внаслідок недоліків товару, роботи або послуги" ГК РФ.

На сьогодні можна виділити наступні проблеми.

  • • Клієнти банків слабо уявляють, які операції можуть відбуватися в системах ДБО, а які є шахрайством.
  • • Низька комп'ютерна грамотність населення. В результаті багато клієнтів не уявляють, як виглядає ліцензійне і антивірусне програмне забезпечення (ПО) і т.д.
  • • Російський менталітет: поганим тоном вважається використання ліцензійного ПЗ (правда, тут свою роль відіграє і вартість ліцензійного ПЗ).
  • • Надмірне довіру більшості клієнтів, що дозволяє злочинцям широко використовувати методи соціальної інженерії.
  • • Вимоги але забезпеченню безпеки робочого місця клієнта викладаються таким чином, що більшість клієнтів їх не розуміє або не має можливостей для їх виконання (або і те й інше).

З огляду на все це, банкам необхідно терміново починати вживати заходів щодо підвищення фінансової та комп'ютерної грамотності населення, а також розвитку культури використання ліцензійного ПЗ.

Для подальшого успішного розвитку ДБО і зниження ризиків його використання (крім широко впроваджуються технічних засобів) необхідно проведення постійних широкомасштабних заходів з підвищення обізнаності клієнтів в фінансовій сфері і в області інформаційної безпеки.

Захист інформаційної системи банку - дороге і складне захід. Середній європейський банк витрачає на інформаційний захист до 9% бюджету або приблизно 25% коштів, що витрачаються банком на автоматизацію. З цих коштів 80% йде на забезпечення структури безпеки і 20% - на закупівлю технічних засобів.

Дії зловмисників часто досягають мети. Це пов'язано з тим, що в переважній більшості банків експлуатуються однотипні стандартні обчислювальні засоби ( IBM -сумісні персональні комп'ютери, локальні мережі з програмним забезпеченням фірми Novell, програми автоматизації банківської діяльності, написані на стандартних мовах програмування), які добре документовані і в деталях відомі професіоналам . Найпростіші механізми захисту таких виробів легко переборні. Проблеми створює і зростаюча комп'ютерна грамотність клієнтів.

Наслідки недооцінки питань безпеки можуть виявитися катастрофічними для банку. Відомо, що комерційні банки власних грошей не мають: всі наявні у них гроші - це чужі гроші, якими вони користуються тільки тоді, коли їм довіряють. Тому так важливо не підірвати довіру до банку. Але безпека автоматизованої банківської системи - це не тільки захист від розкрадань. Адже відмова від обслуговування клієнта або несвоєчасне надання користувачеві важливої ​​інформації, що зберігається в системі, через непрацездатність цієї системи за своїми наслідками рівноцінні втраті інформації (несанкціонованого її знищення). Отже, при створенні своїх електронних систем банкам треба приділяти пильну увагу забезпеченню їх безпеки.

Сучасні технології дають банкам переваги в організації систем доставки товарів і послуг. Використання електронних засобів зв'язку дозволяє реалізувати:

  • • електронні платежі і розрахунки в точці продажу;
  • • клієнтські термінали, які здійснюють прямий зв'язок з банком;
  • • домашнє банківське обслуговування за допомогою персонального комп'ютера або телефону;
  • • обмін електронними даними в мережі з розширеним набором послуг;
  • • технології електронних банківських карт, включаючи магнітні пластикові та інтелектуальні карти.

Реалізація цих та інших методів банківського обслуговування в конкретних системах вимагає розробки жорстких заходів захисту для запобігання випадкових і навмисних порушень їх функціонування. Для протидії комп'ютерним злочинам або хоча б зменшення шкоди від них необхідно грамотно вибирати заходи і засоби забезпечення захисту інформації від навмисного руйнування, крадіжки, псування і несанкціонованого доступу. Необхідне знання основних законодавчих положень в цій галузі, організаційних, економічних та інших заходів забезпечення безпеки.

 
< Попер   ЗМІСТ   Наст >