Безопасность банковских электронных систем, Актуальность проблемы защиты банковских систем

Безопасность банковских электронных систем

Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. В наши дни банки превратились в оборудованные по последнему слову техники бастионы, скрывающие в своих недрах миллиарды. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. Особо опасны для банков так называемые компьютерные преступления. Открытый характер компьютерных систем, обслуживающих большое число пользователей с помощью средств связи в автоматическом режиме, наряду с высокой степенью концентрации и мобильности денежных средств способствовали появлению новой – компьютерной – формы преступности. По некоторым данным, оценки потерь от преступлений, связанных с вмешательством в деятельность банковских электронных систем банков, очень сильно разнятся – от 170 млн до 41 млрд долл, ежегодно. Сказывается разнообразие методик для их подсчета. Средний размер банковской кражи с применением электронных средств составляет около 9000 долл., а один из самых громких скандалов связан с попыткой украсть 700 млн долл. (Первый национальный банк, Чикаго). По другим данным, уровень потерь еще выше: ежегодные потери в США оцениваются в 100 млрд долл., а в Европе – 35 млрд евро, причем сохраняется устойчивая тенденция к росту убытков, связанных с компьютерной преступностью. По оценкам экспертов, нарушения безопасности банковских систем выявляются лишь в каждом десятом случае.

Потери несут и российские банки, недооценивающие вопросы информационной безопасности. По данным МВД, еще в 1995 г. в России было выявлено 185 хищений с использованием электронных средств, ущерб от которых составил 250 млрд руб. Известное дело Левина (г. Санкт- Петербург) относится к транснациональным сетевым компьютерным преступлениям и стало первым случаем такого типа в России. Левин с сообщниками через коммуникационные сети входил в систему управления наличными фондами Сити-банка (Нью-Йорк). В июне-октябре 1994 г. преступники организовали около сорока переводов на общую сумму свыше 10 млн долл., из которых почти 400 тыс. долл, им удалось похитить. География мошенничества помимо России и США охватывала Нидерланды, Швейцарию и Израиль.

В настоящее время в связи с тем, что системы безопасности малых и средних компаний гораздо менее совершенны, чем банковские, это делает атаки на них гораздо более выгодными экономически. Поэтому атаки на системы онлайн- банкинга клиентов и в ближайшие годы будут являться одной из главных тенденций в сфере угроз информационной безопасности.

По данным компании Group IB, рост инцидентов в области информационной безопасности, связанных с мошенничеством в системах дистанционного банковского обслуживания (ДБО), только за 2011 г. составил более 200%, и в ближайшее время этот показатель будет увеличиваться. Уровень защищенности web-приложений систем ДБО находится на крайне низком уровне. В 2011 г. количество уголовных дел по мошенничеству в IT-сфере увеличилось на 40%. Самыми популярными видами мошенничества в этой сфере являются скимминг и атаки на пользователей услуг дистанционного банкинга.

С 1 января 2013 г. вступили в силу основные положения Закона о НПС, обязывающие банки возмещать клиентам ущерб в случае перевода денежных средств без согласия клиента (если не доказано, что клиент нарушил порядок использования электронного средства платежа). Нельзя забывать и о ст. 1095 "Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги" ГК РФ.

На сегодня можно выделить следующие проблемы.

• Клиенты банков слабо представляют, какие операции могут совершаться в системах ДБО, а какие являются мошенничеством.

• Низкая компьютерная грамотность населения. В результате многие клиенты не представляют, как выглядит лицензионное и антивирусное программное обеспечение (ПО) и т.д.

• Российский менталитет: дурным тоном считается использование лицензионного ПО (правда, здесь свою роль играет и стоимость лицензионного ПО).

• Излишнее доверие большинства клиентов, позволяющее преступникам широко использовать методы социальной инженерии.

• Требования но обеспечению безопасности рабочего места клиента излагаются таким образом, что большинство клиентов их не понимает или не имеет возможностей для их исполнения (или и то и другое).

Учитывая все это, банкам необходимо срочно начинать принимать меры по повышению финансовой и компьютерной грамотности населения, а также развитию культуры использования лицензионного ПО.

Для дальнейшего успешного развития ДБО и снижения рисков его использования (помимо широко внедряющихся технических средств) необходимо проведение постоянных широкомасштабных мероприятий по повышению осведомленности клиентов в финансовой области и в области информационной безопасности.

Защита информационной системы банка – дорогостоящее и сложное мероприятие. Средний европейский банк тратит на информационную защиту до 9% бюджета или примерно 25% средств, затрачиваемых банком на автоматизацию. Из этих средств 80% уходит на обеспечение структуры безопасности и 20% – на закупку технических средств.

Действия злоумышленников часто достигают цели. Это связано с тем, что в подавляющем большинстве банков эксплуатируются однотипные стандартные вычислительные средства (IBM-совместимые персональные компьютеры, локальные сети с программным обеспечением фирмы Novell, программы автоматизации банковской деятельности, написанные на стандартных языках программирования), которые хорошо документированы и в деталях известны профессионалам. Простейшие механизмы защиты таких изделий легко преодолимы. Проблемы создает и возрастающая компьютерная грамотность клиентов.

Последствия недооценки вопросов безопасности могут оказаться катастрофическими для банка. Известно, что коммерческие банки собственных денег не имеют: все имеющиеся у них деньги – это чужие деньги, которыми они пользуются только тогда, когда им доверяют. Поэтому так важно не подорвать доверия к банку. Но безопасность автоматизированной банковской системы – это не только защита от хищений. Ведь отказ от обслуживания клиента или несвоевременное предоставление пользователю важной информации, хранящейся в системе, из-за неработоспособности этой системы по своим последствиям равноценны потере информации (несанкционированному ее уничтожению). Следовательно, при создании своих электронных систем банкам надо уделять пристальное внимание обеспечению их безопасности.

Современные технологии дают банкам преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:

• электронные платежи и расчеты в точке продажи;

• клиентские терминалы, осуществляющие прямую связь с банком;

• домашнее банковское обслуживание с помощью персонального компьютера или телефона;

• обмен электронными данными в сети с расширенным набором услуг;

• технологии электронных банковских карт, включая магнитные пластиковые и интеллектуальные карты.

Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования. Для противодействия компьютерным преступлениям или хотя бы уменьшения ущерба от них необходимо грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, порчи и несанкционированного доступа. Необходимо знание основных законодательных положений в этой области, организационных, экономических и иных мер обеспечения безопасности.