Защита банковской информации

 
2.4. Искусственные угрозы

Следующим видом угроз  являются искусственные угрозы, которые  в свою очередь, делятся на непреднамеренные и преднамеренные угрозы. Непреднамеренные угрозы - это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства. К такому типу угроз относят установку программных продуктов, которые не входят в список необходимых для работы, и в последствии могут стать причиной нестабильной работы системы и потеря информации. Сюда же можно отнести и другие «эксперименты», которые не являлись злым умыслом, а люди, совершавшие их, не осознавали последствий. К сожалению, этот вид угроз очень трудно поддается контролю, мало того, чтобы персонал был квалифицирован, необходимо чтобы каждый человек осознавал риск, который возникает при его несанкционированных действиях. Преднамеренные угрозы-угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы. К преднамеренным угрозам относятся внутренние и внешние атаки. Вопреки распространенному мнению, крупные компании несут многомиллионные потери зачастую не от хакерских атак, а по вине своих же собственных сотрудников. Современная история знает массу примеров преднамеренных внутренних угроз информации - это проделки конкурирующих организаций, которые внедряют или вербуют агентов для последующей дезорганизации конкурента, месть сотрудников, которые недовольны заработной платой или статусом в фирме и прочее. Для того чтобы риск таких случаев был минимален, необходимо, чтобы каждый сотрудник организации соответствовал, так называемому, «статусу благонадежности». 
        К внешним преднамеренным угрозам можно отнести угрозы хакерских атак. Если информационная система связана с глобальной сетью интернет, то для предотвращения хакерских атак необходимо использовать межсетевой экран (так называемый firewall), который может быть, как встроен в оборудование, так и реализован программно.

2.5. Методы реализации угроз

Угрозы информационной безопасности банка могут проявляться в следующих формах:

• перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшего банка заключается в том, что о самом факте утечки он, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);
• хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи - приобретает соответствующие сведения и лишает их пострадавший банк;
• повреждение или уничтожение информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемому банку.

Методы реализации угроз  информационной безопасности банка

дифференцируются в  зависимости:

• от вида данных, являющихся объектом угрозы;
• от субъекта угрозы.

При использовании классификации  по первому признаку можно отметить, что основной угрозой является несанкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для банка структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любого банка системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций (см. 1.3.3 настоящего УПП). Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать (снимать) информацию с работающих компьютеров, факсов, модемов. Возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самого банка, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз  в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений - включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в банк всегда достаточно затруднительно, сторонние для него субъекты угроз так же стремятся использовать в этих целях собственный персонал кредитно-финансовых организаций.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства - скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе - в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемого банка в части приобретения необходимых технических средств перехвата ин формации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).

Классификация по второму  признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты, как самого банка, так и его клиентов. Чаще всего ими применяются:

• вербовка сотрудников территориальных налоговых органов и учреждений Центрального банка, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкурирующему банку и особенно распространено в современных отечественных условиях);
• внедрение своих агентов в атакуемый банк, что доступно лишь для наиболее крупных конкурирующих банков и корпораций, располагающих мощными службами безопасности и специально подготовленными сотрудниками;
• вербовка сотрудников атакуемого банка с использованием методов подкупа и реже шантажа;
• использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;
• использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемого банка, применяя для этого прямые угрозы, шантаж и, реже, подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях чаще всего  наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники банка могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних для банка структур. Чаще всего, при реализации рассматриваемых угроз они используют собственное  служебное положение,  обеспечивающее им доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять роль резидентов нанявших их сторонних для банка структур. В этом случае, сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовка информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государство в отличие от конкурентов, чаще используют метод внедрения в контролируемый ими банк собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших банков функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о конкретном клиенте из числа представителей теневой экономики). В крупнейшие банки агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.

Глава 3. Способы защиты банковской информации

Уровень защищенности информации формально должен определяться исходя из уровня конфиденциальности обрабатываемой информации, уровня ущерба от нарушения защиты. Определение требуемого уровня конфиденциальности - прерогатива руководства банка, он может меняться в широких пределах в зависимости от стратегических и тактических целей банка, применяемой технологии обработки информации, частного мнения руководства, состава обслуживающего персонала, состава автоматизированных средств и великого множества иных причин, перечень которых может занять не одну страницу. Важным моментом при определении уровня конфиденциальности информации являются требования законодательной базы и государственных структур.

Мероприятия по обеспечению  физической безопасности включают ограничение  доступа в банк. Посетитель проходит целую процедуру на доступ в конкретное банковское подразделение. Часто к нему на время пребывания в банке приставляют сопровождающего, но проследить все действия сотрудников банка - трудная задача. В большинстве случаев компьютерные преступления совершаются именно сотрудниками банка, по тем или иным причинам обиженными руководством или продающими информацию конкурентам. Организационные мероприятия по ограничению доступа в помещения подразделений, как правило, заканчиваются на входе в банк. По помещениям банка, в том числе и в помещения вычислительного центра, где находится вся обрабатываемая информация, доступ практически остается свободным.

Некоторые банки предпочитают содержать штат разработчиков программного обеспечения и своими силами разрабатывать  функциональные задачи. Конечно, никто  лучше вас не знает, что именно и как вам нужно автоматизировать, но при этом возможности системы, предоставляемые потенциальным нарушителям, существенно возрастают. В составе имеющихся в банке средств появляются отладчики, дизассемблеры, компиляторы, трансляторы и другие вспомогательные средства. Кроме того, никто даже не может подозревать о наличии программных закладок в разработанном программном обеспечении, пока их действия не начинает сказываться. Разработчик системы становится "компьютерным богом", ему известно о системе все, все ее слабые места, он знает как можно модифицировать информацию так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровождение системы. Банк становится полностью от него зависимым.

Как показывает практика, осуществлению компьютерных преступлений способствует нарушение регламента и правил архивирования информации. Если копия всей информации с файл-сервера снимается раз в неделю на магнитную ленту, то через две недели или, в лучшем случае, через месяц на эту же ленту записывается очередная копия информации. Уничтожение информации приводит к невозможности определения фактов злоумышленной модификации информации. Все следы уничтожаются.

Проведение анализа  состояния систем защиты показало, что в ряде случаев не то что  не соблюдается, а просто отсутствует регламент проведения антивирусной диагностики. Антивирусные мероприятия начинают проводиться только при обнаружении (!) очередного вируса в системе.

Потери дорогостоящего машинного времени на профилактические работы иногда заставляют персонал, сопровождающий автоматизированную систему, отказаться от регламентированных запусков антивирусных средств. При этом потери ресурсов из-за необходимости глобального восстановления информации после действия вируса не оцениваются, а реально они составляют гораздо больше, чем затраты на профилактику.

3.1. Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).

Основным направлением защиты информации от утечки за счет ПЭМИН  является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Первый способ реализуется  выбором системно-технических и  конструкторских решений при  создании технических средств ЭВТ  в "защищенном исполнении", а также  рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.

Второй способ реализуется  в основном за счет применения активных средств защиты в виде "генераторов  шума" и специальной системы  антенн.

3.2. Защита информации в линиях связи.

К основным видам линий  связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио и радиорелейные, тропосферные и космические линии  связи.

При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование криптологического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.

Для защиты информации должны использоваться средства криптографической  защиты данных гарантированной стойкости  для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений. ²