Ради обеспечения ИБ надо отключать все «лишние» устройства, интерфейсы и шлюзы.
При защите информации от несанкционированного доступа, пожалуй, наиболее эффективными являются превентивные меры: корректное распределение прав пользователей, своевременный их пересмотр, мониторинг событий доступа и регулярные аудиты. Если несанкционированный доступ уже произошел, дальнейшее развитие событий очень сложно и даже практически невозможно держать под контролем.
Несмотря на всю важность проблемы защиты данных в финансово-кредитных организациях, информационная безопасность (ИБ) не является самоцелью для банка. ИБ - это, прежде всего, вспомогательный процесс или сервис, позволяющий банку достичь поставленных бизнес-целей. В этом контексте не вызывает удивления тот факт, что многие «безопасники» сталкиваются с общей для всех трудностью при построении систем управления ИБ: с пренебрежительным отношением к информационной безопасности со стороны сотрудников банка или с пониманием ее как процесса, который только мешает жить и работать.
Поэтому с точки зрения службы безопасности банка никакие системы аутентификации, никакая защита данных от несанкционированного доступа, никакие программные средства защиты информации не способны контролировать инсайдеров и сотрудников с низким уровнем компетентности, профессиональной подготовки, осознания личной ответственности.
Специалисты в области ИБ видят только один выход из такой ситуации: повышать уровень ограничений при работе в информационных системах, уменьшать область доступа, отключать все «лишние» устройства, интерфейсы и шлюзы. Безусловно, некоторая доля рисков в процессе эксплуатации информационных систем возникает не только вследствие несанкционированных действий с финансовой информацией, но и в работе сотрудников, совершающих непреднамеренные ошибки. Эти ошибки также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.
Серьезной проблемой ИБ является вопрос распределения прав доступа и прав управления. «Безопасники» говорят о том, что зачастую пользователи получают набор прав, который избыточен для выполнения их служебных обязанностей. Сотрудники переходят из одного подразделения в другое, им предоставляются новые права, при этом старые не изымаются. Данная проблема усугубляется еще и тем, что в каждой системе пользователь регистрируется под отдельной учетной записью, что значительно усложняет процесс управления доступом.
Еще один важный момент в ИБ - это использование сотрудниками на работе мобильных устройств: ноутбуков, планшетов, смартфонов. Средства защиты информации на них не так сильно развиты, как системы на персональных компьютерах. К тому же пользователи неохотно ограничивают возможности своих персональных устройств, устанавливая пароли на вход в систему.
В настоящее время широко используется удаленный доступ к корпоративной сети, а также практикуется удаленная работа. Это приводит к тому, что периметр сети компании как понятие становится очень размытым. В результате в него попадают домашние компьютеры, контролировать состояние которых очень сложно, хлопотно, дорого, а зачастую практически невозможно.
Эффективные меры защиты
Необходимо отметить, что несанкционированный доступ к данным осуществляется с различными целями. Злоумышленнику может требоваться как извлечение ценной и полезной информации, то есть нарушение их конфиденциальности, так и удаление данных с целью выведения ИТ-сервисов из строя. Конечно, наиболее распространенная цель несанкционированного доступа - это нарушение конфиденциальности. В этом случае, по мнению ряда банковских экспертов в области ИБ, самыми эффективными мерами защиты были, есть и в ближайшей перспективе будут оставаться программные или программно-аппаратные средства шифрования, благо рынок средств защиты насыщен, и на нем представлен самый широкий спектр данных продуктов.
В отличие от других программных или программно-аппаратных средств защиты у шифрования меньшая вероятность присутствия уязвимостей и ошибок, ему свойственна относительная простота в реализации. При этом стойкость ко взлому фактически зависит только от длины ключа шифрования. Даже если злоумышленник украдет зашифрованные данные, то без ключа шифрования он не сможет получить какие-либо полезные сведения из этих данных. Надежность и эффективность шифрования проверена как временем и опытом, так и строгими математическими обоснованиями.
Если речь идет об оптимальных для клиентов банков способах обеспечения безопасности, то здесь наиболее эффективным будет сочетание нескольких инструментов контроля доступа. В частности, клиент может использовать постоянный логин и пароль, но при этом подтверждать свой доступ к базе данных. Для совершения каждой платежной операции необходимо будет вводить одноразовый пароль, например, высылая его на зарегистрированный в системе мобильный телефон.
При совершении же платежей по банковским картам необходимым является обеспечение их соответствия актуальным протоколам безопасности, реализуемым платежными системами. При использовании Интернета - технология 3D-Secure, а при базовых транзакциях -встроенный в карту чип.
Безусловно, внедрение и сопровождение указанного функционала может вызвать недовольство клиентов (из-за временных потерь в результате введения одноразовых паролей). Не подлежит сомнению и тот факт, что использование вышеназванных инструментов ИБ приведет к некоторому удорожанию процесса обслуживания. Но, с другой стороны, это позволит в максимально возможной степени обеспечить защиту информации, а значит, и финансовых интересов как самого банка, так и его клиентов. Цена ошибки, допущенной при работе с системой информационной безопасности, слишком высока и для финансово-кредитных организаций, и для рядовых пользователей финансовыми услугами, чтобы можно было ее игнорировать.
Начать дискуссию