1.4.8 Дбо Атаки
Пожалуй, в числе самых распространенных остаются инциденты, связанные с использованием системы дистанционного банковского обслуживания. Существует несколько основных типов атак: • атака типа «человек посередине»; • кража ключевого контейнера; • атака удаленного управления. Против всех эти типов атак уже разработаны и активно применяются меры противодействия, а именно: • шифрование передаваемых данных; • использование технологии ЭЦП; • использование отторгаемых носителей (токенов), в том числе и с не извлекаемыми ключами; • использование одноразовых паролей; • использование виртуальных клавиатур; • использование систем оповещения; • использование систем фрод-анализа.
Новым типом атак является «атака подмены документа». В процессе данной атаки злоумышленник с помощью вредоносного программного обеспечения подменяет реквизиты платежного поручения перед его отправкой банку. Причем для пользователя подмена реквизитов происходит совершенно незаметно, а потому он, ни о чем не подозревая, подписывает поддельный документ с помощью своей ЭЦП, вводит одноразовый пароль и отправляет поручение в банк. Методом противодействия таким атакам является использование средств визуализации подписываемых данных, которые сейчас активно внедряются разработчиками систем ДБО. Действенным средством борьбы с новым типом атак подтверждение через мобильный телефон.
1.6 Инсайдеры
Исследование, проведенное компанией Perimetrix, показало, что по данным опроса, в 2007 году лишь 5% компаний избежали инсайдерских утечек. 19% респондентов лишались информации от 6 до 25 раз, а 7% - более 25. Специалисты и руководители отделов ИТ и ИБ называют утечки самой большой (76%) угрозой электронной безопасности.
Основная причина заключается в том, что лишь немногие организации (24%) используют системы защиты от утечек.
На настоящий момент угроза инсайда является угрозой номер один, для безопасности АБС. В связи с этим, предлагаю ознакомится с документами, которые либо пресекают деятельность инсайдеров на законодательном уровне, либо вводят нормативные акты, значительно ужесточающие требования к операционной деятельности банков. О двух из них уже говорилось в пункте 1.3 данной дипломной работы.
Федеральный закон «О персональных данных». Этот закон предъявляет целый ряд требований к безопасности персональных данных, а также предусматривает ответственность для тех лиц, которые украли информацию или пытаются ею злоупотреблять. Все эти требования вступили в силу в феврале 2007 года.
Стандарт Банка России по ИТ-безопасности. В область его действия попадают все предприятия кредитно-финансовой сферы. Стандарт выдвигает большое количество требований к системе ИТ-безопасности финансовых компаний, объединяя положения международных нормативов и передовой опыт (best practices). Помимо всего прочего, норматив предусматривает внедрение системы защиты от инсайдеров и механизмов контроля над чувствительной информацией.
Не менее важным нормативным актом для кредитно-финансовых организаций является соглашение Basel II, которое выдвигает целый ряд требований к резервированию капитала для покрытия рисков, системе управления рисками и т.д. В частности, оно предписывает всем банкам взять под контроль операционные риски, в состав которых входит угроза утечки и злонамеренных действий инсайдеров. Более того, положения соглашения Basel II являются обязательными для исполнения, хотя и с 2009 года.
Соглашение Basel II «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.
Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. Исходя из ряда исследований российского кредитно-финансового сектора и опыта стран «большой десятки» именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.
Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Таким образом, под определение операционных рисков попадают прежде всего действия инсайдеров - кража конфиденциальной информации, мошенничество, халатность и безалаберность. Разобраться в структуре операционных рисков позволяют результаты исследования «Соглашение Basel II в России 2006: операционные риски — основная проблема банков», при проведении которого компания InfoWatch и «Национальный Банковский Журнал» опросили более 30 российских банков и установили наиболее опасные компоненты операционного риска. Заметим, что варианты ответов были составлены точно в соответствии со структурой операционного риска в пункте 644 соглашения Basel II (Рисунок - 1).
Рисунок - 1
Данное исследование показало, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием за ними следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, поскольку кредитно-финансовые организации традиционно являются уязвимыми именно по отношению к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35%) и персоналом (который представляет основную угрозу — так считает 91% респондентов).
Можно сделать вывод, что именно угрозы ИT-безопасности, в особенности действия инсайдеров, представляют собой наиболее важную составляющую операционных рисков. При этом начиная с 2009 года каждая российская кредитно-финансовая организация должна внедрить систему управления данным видом рисков и резервировать под них капитал. Специфика нынешнего положения дел такова, что внешними угрозами для банков, по сути, являются только DOS-атаки. Злоумышленники в подавляющем большинстве случаев не тратят силы на преодоление системы защиты информации банков, которые обычно находятся все же на достаточно приличном уровне. А вот внутренние, инсайдерские атаки представляют действительно серьезную угрозу. Как правило, к защите от внутреннего нарушителя банки относятся достаточно небрежно. А зря, поскольку инсайдер может нанести весьма существенный урон. Методы борьбы с инсайдом существуют. Использование технических средств: • строгая аутентификация сотрудников (например, с помощью USB-ключа или биометрии); аудит всех действий всех пользователей включая администраторов в сети; • использование средств защиты конфиденциальной информации от инсайдеров; • шифрование конфиденциальных данных. Использование организационных мер: • обучение сотрудников, отвечающих за информационную безопасность; • повышение личной ответственности сотрудников; • постоянная работа с персоналом, имеющим доступ к конфиденциальной информации инструктаж, обучение, проверка знания правил и обязанностей по соблюдению информационной безопасности.