Статья: обеспечение информационной безопасности при расчетах в системе интернет-банкинга (лукин и.в., сухобоченков с.е., ревенков п.в.) ("расчеты и операционная работа в коммерческом банке", 2009, n 4)

"Расчеты и операционная работа в коммерческом банке", 2009, N 4
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ РАСЧЕТАХ В СИСТЕМЕ ИНТЕРНЕТ-БАНКИНГА
Нет большей мудрости, чем своевременность
Фрэнсис Бэкон
В статье <1> рассматриваются основные угрозы информационной безопасности при расчетах с использованием систем интернет-банкинга. Приведены рекомендации по предотвращению рассматриваемых угроз, а также положения ряда документов Банка России, имеющих прямое отношение к обеспечению информационной безопасности и поддержанию непрерывности выполнения банковских операций при использовании систем интернет-банкинга.
--------------------------------
<1> Настоящая статья выражает исключительно мнение авторов и не отражает позицию Банка России.
На протяжении последних 15 лет системы дистанционного банковского обслуживания (ДБО) стали широко применяться в российских кредитных организациях. Их основными достоинствами являются:
- существенная экономия времени за счет исключения необходимости посещать банк лично;
- возможность 24 часа в сутки контролировать собственные счета;
- оперативно реагировать на изменения ситуации на финансовых рынках.
Наиболее востребованным видом ДБО у клиентов является интернет-банкинг, который позволяет управлять своими банковскими счетами и картами через сеть Интернет в онлайн-режиме. Помимо уже перечисленных выше достоинств систем ДБО, к достоинствам интернет-банкинга можно добавить то, что работа с этой системой не имеет привязки к месту - достаточно иметь доступ к сети Интернет и веб-браузер <2>.
--------------------------------
<2> Веб-браузер - приложение на компьютере, которое применяется для доступа к веб-страницам в Интернете. Веб-браузер запрашивает, загружает и отображает веб-страницы при переходе с одного интернет-сайта на другой. Сегодня в России самым популярным веб-браузером является Internet Explorer.
Во многих зарубежных источниках интернет-банкинг определяют как способ управления своим счетом через сеть Интернет, таким образом делая акцент на операционной составляющей. Но если рассматривать этот способ ДБО с позиций риск-фокусированного надзора, то становится очевидным, что такой подход не учитывает весь спектр возможных рисков при использовании кредитными организациями систем интернет-банкинга.
В Письме ЦБ РФ от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга" (далее - Письмо N 36-Т) дается более полное определение этого вида ДБО. В нем интернет-банкинг определяется как способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через веб-сайт(ы) в сети Интернет) и включающего информационное и операционное взаимодействие с ними.
Данное определение является более точным, так как учитывает не только операционную, но и информационную составляющую данного вида ДБО. Еще совсем недавно (не более 10 лет назад) в России насчитывалось несколько десятков банков, которые использовали свои веб-сайты только в маркетинговых целях, предоставляя клиентам информацию относительно банковских услуг и обслуживания (информационный интернет-банкинг). При наличии уязвимостей веб-сайтов кредитные организации подвергаются различным рискам (например, намеренное искажение представляемой информации). В случае информационного интернет-банкинга на веб-сайтах кредитных организаций компьютерные злоумышленники могут размещать ссылки на фальшивые веб-сайты, созданные с целью выманивая у клиентов конфиденциальной информации (сведения о состоянии счетов, пароли и номера кредитных карт и т.д.).
В настоящее время почти все банки предоставляют операционный (транзакционный) интернет-банкинг, где клиенты могут управлять своим счетом посредством сети Интернет. Данный уровень интернет-банкинга подразумевает наличие непосредственной связи с сервером и внутренней вычислительной сетью банка или обслуживающей его организации (в случае аутсорсинга). По сравнению с информационным у операционного интернет-банкинга риски намного выше. В связи с этим на вооружении кредитной организации должны находиться более сложные средства обеспечения информационной безопасности (ИБ), а также разработанные и реально действующие планы по поддержанию непрерывности выполнения операций, в том числе при возникновении чрезвычайных ситуаций (пожары, наводнения и т.д.).
Угрозы информационной безопасности
Приведем основные угрозы ИБ при осуществлении расчетов с помощью систем интернет-банкинга:
- несанкционированный доступ (НСД) к секретной или конфиденциальной информации как банка, так и клиента;
- представление себя в качестве другого лица с целью уклонения от ответственности, либо отказа от обязательств, либо с целью использования прав другого лица для:
отправки фальсифицированного электронного сообщения (ЭС) на проведение банковской операции;
искажения имеющейся информации;
НСД с помощью фальсификации или кражи идентификационных данных или их носителей;
фальсифицированной авторизации транзакций или их подтверждения;
- уклонение от ответственности за созданные электронные сообщения;
- фальсификация источника ЭС или степени ответственности, например, заявление о получении некоторого ЭС от другого абонента, хотя на самом деле ЭС было создано самим нарушителем;
- фальсификация времени отправки или самого факта отправки ЭС;
- отрицание факта получения ЭС или искажение сведений о времени его получения;
- расширение своих полномочий нарушителем, например, на получение доступа к определенным информационным ресурсам БАС, создание ЭС в системе интернет-банкинга и т.д.;
- несанкционированное создание учетных записей или изменение (ограничение или расширение) полномочий других пользователей системы интернет-банкинга;
- внедрение в линию связи между другими участниками расчетов в системе интернет-банкинга в качестве активного тайного ретранслятора;
- слежение за особенностями информационного обмена и анализ различных характеристик (объекты и субъекты доступа, время доступа и пр.) передаваемых данных;
- дискредитация защищенного протокола информационного взаимодействия, например, путем разглашения сведений, которые согласно этому протоколу должны храниться в секрете;
- изменение функций программного обеспечения (обычно с помощью добавления скрытых функций);
- провоцирование других участников информационного взаимодействия в системе интернет-банкинга на нарушение правил обмена электронными сообщениями, например, путем предоставления неправильной информации;
- препятствование взаимодействию других абонентов, например, с помощью организации DoS-атак <1>, или прекращение легального сеанса как якобы нелегального и пр.
--------------------------------
<1> DoS-атака (от англ. Denial of Service - отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service - распределенный отказ в обслуживании) - это разновидности атак на вычислительную систему. Цель этих атак - довести систему до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам либо этот доступ затруднен.
Предотвращение угроз информационной безопасности
Предотвратить проявление вышеназванных угроз возможно, только имея отлаженную систему обеспечения ИБ. Так, например, если сравнить случаи, когда клиент связывается с банком по коммутируемой линии, приходящей на модемный пул банковского узла связи, и когда такая же связь устанавливается по IP-протоколу через Интернет, то в первом случае максимально возможное количество подключений ограничивается техническими характеристиками модемного пула, во втором же - возможностями Интернета, которые могут быть существенно масштабней. Более того, сетевой адрес банка чаще всего является общедоступной информацией, а вот телефонные номера модемного пула сообщаются, как правило, заинтересованным лицам. Следовательно, открытость банка, чья информационная система связана с Интернетом, значительно выше, чем в первом случае.
В таких случаях возникает необходимость пересмотра подходов к обеспечению ИБ банка. Кредитным организациям, предоставляющим доступ к банковской автоматизированной системе (БАС) через Интернет, следует заново провести анализ рисков и скорректировать план защиты БАС с учетом новой "модели нарушителя", а также план поддержания непрерывности выполнения банковских операций, ликвидации последствий, возникающих в случае тех или иных нарушений конфиденциальности, сохранности и доступности информации.
Способы обеспечения информационной безопасности
Существуют два подхода к проблеме обеспечения ИБ: фрагментарный и комплексный.
Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.
Достоинством такого подхода является высокая избирательность в отношении конкретной угрозы. Однако есть и существенный недостаток - отсутствие единой защищенной среды обработки информации. Фрагментарные меры ИБ обеспечивают защиту конкретных объектов БАС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в БАС, объединяющей в единый комплекс различные меры противодействия угрозам ИБ. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень ИБ, что является достоинством комплексного подхода.
К недостаткам этого подхода можно отнести:
- определенные ограничения на свободу действий пользователей информационных ресурсов БАС;
- чувствительность к ошибкам установки и настройки средств защиты;
- сложность управления.
Комплексный подход применяют для защиты информационных ресурсов большого объема (или небольшого, но при этом информация имеет особую важность для ее владельца).
Нарушение в обеспечении ИБ кредитных организаций может нанести огромный материальный ущерб как самим банкам, так и их клиентам. Поэтому кредитные организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений.
Комплексный подход к проблеме обеспечения безопасности охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях, и основан на разработанной для конкретной кредитной организации политике безопасности, которая регламентирует эффективную работу всех составляющих комплекса мероприятий по обеспечению ИБ в кредитной организации.
Надежная система обеспечения ИБ не может быть создана без эффективной политики сетевой безопасности, включая отдельные требования по защите информации, входящей в информационный контур ДБО.
Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
- законодательного (стандарты, законы, нормативные акты и т.п.);
- административно-организационного (действия общего характера, предпринимаемые руководством кредитной организации, и конкретные меры обеспечения ИБ);
- программно-технического (конкретные технические меры обеспечения ИБ).
Меры законодательного уровня очень важны для обеспечения ИБ. К этому уровню относится комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям ИБ.
Как область деятельности ИБ - дело относительно новое. Поэтому важно не только запрещать и наказывать, но и учить, разъяснять, помогать. Участники информационного обмена, особенно при осуществлении банковских операций через Интернет, должны осознавать важность данной проблематики, понимать основные пути решения соответствующих проблем.
Меры административно-организационного уровня. Руководство кредитной организации должно сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня являются политика безопасности и комплекс организационных мер.
К комплексу организационных мер относятся меры безопасности, реализуемые персоналом кредитной организации. Выделяют следующие группы организационных мер:
- управление персоналом;
- физическая защита;
- поддержание работоспособности системы обеспечения ИБ;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
Для каждой группы в каждой кредитной организации должен существовать набор регламентов, определяющих действия персонала.
Меры и средства программно-технического уровня особенно важны для поддержания должного уровня ИБ, поскольку основная угроза компьютерным системам исходит от них самих: неисправности и выход из строя оборудования, сбои в работе программного обеспечения, ошибки пользователей, а также администраторов сети и администраторов ИБ и т.п.
В рамках современных информационных систем должны быть доступны следующие механизмы безопасности:
- идентификация и проверка подлинности пользователей;
- управление доступом;
- протоколирование и аудит;
- криптография;
- экранирование;
- обеспечение высокой доступности.
Банковские автоматизированные системы кредитных организаций почти всегда построены на основе программных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения защищенной БАС. Чтобы обеспечить в разнородной БАС надежную защиту информации, требуются специалисты высокой квалификации, которые должны отвечать за безопасность каждого компонента БАС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее БАС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, клиентов и заказчиков приводят к созданию сложной среды защиты, трудной для управления.
Принятое кредитной организацией решение безопасности должно гарантировать защиту на всех платформах (при наличии удаленной филиальной сети) в рамках одной кредитной организации. Поэтому вполне очевидна потребность в применении единого набора стандартов как поставщиками средств защиты, так и кредитными