Информационная безопасность: как снизить банковские риски
Сегодня банки вынуждены сами защищаться от всевозможных рисков как криминального, так и не криминального характера, причем эта защита, разумеется, должна соответствовать требованиям регулятора. С распространением услуги интернет-банкинга ситуация только усугубилась. Как видно, победить в этой игре может только та финансовая организация, которая полностью оснащена с точки зрения информационной безопасности.Сложность защиты информации в банковском секторе определяется не только огромными массивами обрабатываемых данных и изощренностью средств, применяемых злоумышленниками для доступа к ним. Она характеризуется еще и тем, что банки, являясь частью единой финансовой системы государства, должны соответствовать жестким требованиям безопасности, но реализацию этих требований государство полностью возложило на сами кредитные организации.
ИТ-инфраструктура крупного универсального банка включает до нескольких сотен информационных систем, каждая из которых может стать слабым звеном с точки зрения безопасности. Риски в банковской сфере высоки, разнообразны и связаны не только с криминалом, но и с потерей информации и оперированием недостоверными данными в результате технических сбоев или влияния человеческого фактора.
Именно поэтому в ряде банков создаются целые управления, единственная задача которых – обеспечение информационной безопасности. Ее решения требует комплексного подхода, который включает правовые, организационные, технические, кадровые и другие аспекты.
В прессу попадают случаи ограбления инкассаторов, но ни один грабитель не нанесет такой ущерб, на который способен злоумышленник, получивший доступ к чужим счетам, или инсайдер, "сливающий" конфиденциальную информацию конкурентам.
Скачок в интернет
Эти риски минимизируются защитой информационных систем банка от несанкционированного доступа. Требования к безопасности данных постоянно повышаются, причем случаются периоды скачкообразного роста, один из которых произошел относительно недавно и связан с активным развитием интернет-банкинга. Долгое время банки решали вопросы безопасности данных, не выходя за пределы собственной информационной сети (центрального офиса, филиалов, банкоматов). Затем был сделан первый шаг в интернет: появились программы "клиент-банк" для юридических лиц, доступ к которым был крайне ограничен. И, наконец, в один прекрасный момент финансовые организации оказались перед лицом новых значительных рисков, когда в интернет вышли фронт-офисные системы, обслуживающие физических лиц.
Дистанционное обслуживание должно быть простым и удобным для клиента, иначе эта услуга не станет массовой и не принесет банку ту прибыль, ради которой она вводилась. Оптимальный для клиента вариант – доступ на защищенную часть сайта банка с авторизацией по паролю, и банки сейчас успешно его реализуют. Но чем проще доступ к услуге, тем сложнее обеспечить безопасность данных и не допустить незаконных транзакций.
Сергей Березин: К банковской ИБ надо подходить комплексно
На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC Group
CNews: Какими характеристиками с точки зрения ИБ должна обладать банковская инфраструктура, чтобы быть наименее подверженной рискам?
Сергей Березин: К вопросам ИБ, как и к любой другой безопасности, надо подходить комплексно. В целом, информационная безопасность – это как минимум на 60% продуманная система организационно-технических мероприятий, и лишь потом, в период реализации – разного рода ИТ-продукты по поддержке ИБ. Поэтому ошибочным будет мнение, что приема на работу опытного CIO или CSO будет вполне достаточно для решения вышеуказанных задач, и можно будет лишь средствами ИТ кардинально обезопасить банк от инцидентов ИБ. Однако, поскольку в этом материале мы рассматриваем именно ИТ-составляющую ИБ, постараюсь прокомментировать эту тему под данным углом зрения, хотя все равно придется обращаться к бизнес первопричинам.