Аналитика и комментарии
Рубрики:
защита не на все времена
современные средства обеспечения безопасности и сохранности информации «подстраиваются» под хакеров
Риски возникновения информационных угроз растут наперегонки с надежностью средств информационной безопасности. Эта вечная борьба протекает в двух основных направлениях - манипулирование транзакциями и манипуляции базами данных. Если от первой разновидности атак найдена универсальная «вакцина», то от второй, несмотря на применяемый комплекс мер, - пока нет, и ситуация обостряется.
УНИВЕРСАЛЬНОЕ ШИФРОВАНИЕ
При манипулировании транзакциями атаки в основном производятся через сеть платежных устройств (POS-терми-налы, банкоматы, терминалы SWIFT). Однако данный вид атак не получил широкого распространения, так как на их пути встречается стойкая система защиты - криптографические системы.
При этом стоит отметить, что система криптографической защиты существует уже десятки лет, и за это время она не утратила своей актуальности. «Не стареют и более традиционные методы, например криптография. Для сотрудников банка, использующих мобильные компьютеры (ноутбуки), предоставляется возможность дополнительной криптографической защиты служебной информации, хранящейся на этих компьютерах», - рассказывает директор департамента безопасности инвестиционного банка «КИТ Финанс» Сергей Глу-хов. «Единственное, что может подвести банки, - это ненадежная система распределения ключей и отсутствие физической безопасности терминалов», - поясняют в банке ВТБ24.
При этом на рынке давно обсуждается вопрос об использовании несерти-фицированной зарубежной криптографии. Дело в том, что согласно российскому законодательству продукция двойного назначения в обязательном порядке должна проходить сертификацию средств защиты информации. Таким образом, обеспечивается не только безопасность российской финансовой системы, но и косвенным образом поддерживаются отечественные производители. Некоторые эксперты предполагают, что если данный запрет будет снят, качество и цена упомянутых систем защиты повысится.
ПЕРЕД ИТ ВСЕ РАВНЫ
Более существенную угрозу для банков представляют атаки на системы бэк-офиса. Эти атаки могут быть как внешними, так и внутренними. В этой связи банкам нужно обезопасить себя с двух сторон.
При этом считается, что внутренние угрозы могут нанести больший вред. Сергей Глухов поясняет: «По нашему мнению, наиболее распространены внутренние нарушения - неисполнение действующих требований без умысла нанесения ущерба. Инсайдерская атака, или использование дополнительных полномочий и возможностей, предоставленных статусом сотрудника, для нанесения ущерба, встречается гораздо реже. Однако ущерб от таких действий может быть гораздо большим. Очевидно, что чем чаще в организации допускаются нарушения, тем легче спланировать и провести инсайдерскую атаку. Именно поэтому подразделения безопасности уделяют очень большое внимание профилактике и контролю за соблюдением сотрудниками установленных правил и процедур».
Одним из методов противодействия внутренним угрозам является разграничение прав доступа, которое используется практически во всех кредитных организациях.
Например, в банке ВТБ24 используется мандатное управление доступом. При этом в кредитной организации поясняют, что у руководителей разных департаментов разные права доступа к различным информационным ресурсам. И в ряде случаев у операциониста может быть значительно больше прав, чем у руководителя департамента. Например, в банковской системе операционист может совершать операции, а руководители департаментов - нет. Кроме того, целый ряд руководителей департаментов туда вообще доступа не имеет.
В ИБ «КИТ Финанс» для разграничения прав доступа применяется ролевой принцип, при котором для разных категорий сотрудников заранее оговорены и настроены наборы необходимых и минимально достаточных прав. «Они сведены в некую сущность - «Роль». Именно эта «Роль» добавляется пользователю системы. Естественно, для роли «операционист» и для роли «вице-президент» набор полномочий существенно отличается», - рассказывает Сергей Глухов.
Примечательно, что часто банки не делают различий в средствах защиты между рядовыми сотрудниками и топ-менеджментом, руководствуясь тем, что часто утечки могут происходить на самом высшем уровне.
«Мы стремимся унифицировать технические и программные средства, установленные на идентичных рабочих станциях как руководителей, так и рядовых сотрудников. Это позволяет проводить единую политику информационной безопасности, эффективно управлять системой защиты, поддерживать необходимый уровень ее устойчивости и оптимизировать расходы на защиту информации. В то же время для некоторых специфических систем методы и средства защиты разрабатываются индивидуально», - поясняет Сергей Глухов.
В ВТБ24 использование специальных средств также зависит от степени конфиденциальности и критичности информации, с которой работает пользователь, а не от его статуса.
Виктор СЕРДЮК, генеральный директор ЗАО «ДиалогНаука»
На сегодняшний день проблема защиты от внешних угроз безопасности является одной из наиболее актуальных. Это связано с тем, что большая часть российских банков все еще остается потенциально уязвима к хакерским атакам. Так, опыт ЗАО «ДиалогНаука» показывает, что в 95% случаев реализации проектов тестирования банков на возможность проникновения (так называемая услуга penetration test), в которых имитируются действия внешнего злоумышленника, удавалось успешно «взломать» корпоративную сеть кредитной организации.
Все это говорит о том, что периметр безопасности большинства банков все еще остается плохо защищенным. При этом можно выделить следующие основные причины сложившейся ситуации:
• отсутствие комплексной системы защиты информации. В некоторых случаях в банке устанавливается минимальный набор средств защиты, включая антивирус, межсетевой экран и средство криптографической защиты данных. Однако необходимо понимать, что эти элементы, безусловно, являются необходимыми, но недостаточными для решения всего комплекса проблем. Так, в ряде случаев необходимо дополнительно применять системы обнаружения и предотвращения атак, средства анализа защищенности, системы мониторинга событий безопасности и др.;
• неправильная конфигурация используемых средств защиты. Как известно, чем более защищенной является информационная система, тем менее она удобна для использования. Это приводит к тому, что в ряде случаев происходит умышленное или непреднамеренное «ослабление» настроек средств защиты, что приводит к снижению общего уровня защищенности банка;
• отсутствие необходимых формализованных процессов по защите информации. Во многих компаниях все еще отсутствует полноценная нормативная база, которая позволяла бы определить требования по защите информации в банке и пути их реализации;
• отсутствие полноценной программы повышения осведомленности персонала компании. Помимо разработки документов по защите информации необходимо довести их до сотрудников банка. Для этого необходимо регулярно проводить обучающие семинары и курсы, по результатам которых должна осуществляться аттестация;
• отсутствие достаточного количества персонала, отвечающего за решение задач по защите информации. В некоторых случаях в целях экономии задачи по защите информации возлагают на сотрудников в качестве дополнительных к своим основным обязанностям. Тогда эти задачи решаются по остаточному принципу и крайне неэффективно. Только комплексное решение всех вышеуказанных проблем позволит существенно повысить общий уровень информационной безопасности банка.
ХАКЕРСКАЯ РЕАЛЬНОСТЬ
Количество хакерских атак на компьютерные системы банков резко увеличилось в 2009 году, а общее количество средств, украденных хакерами с банковских счетов в прошлом году, достигло 40 млн долларов. Примечательно, что жертвами online-краж в основном становились мелкие и средние предприятия, обслуживаемые мелкими и средними банками с менее эффективной компьютерной системой безопасности, чем у их крупных конкурентов. Для российского рынка хакерские атаки также представляют угрозу. «Хакерские атаки - это, к сожалению, реальность. В случае отсутствия системы защиты информации ущерб от этих атак может быть весьма значительным. Большинство хакерских атак обнаруживаются и блокируются системой защиты автоматически. В ряде случаев для отражения атаки требуется вмешательство специалистов и проведение дополнительных технических и организационных мероприятий», - рассказывает Сергей Глухов.
В ВТБ24 также отмечают: «Хакерские атаки - не миф. Попытки совершаются очень часто. Но попытка проникновения куда-либо - это только один из видов хакерских атак. Для крупной компании со своим ИТ-подразделением и службой информационной безопасности отбить такие атаки несложно».
В основном хакерские атаки бывают мелкими. Однако иногда случаются и такие, отбить которые под силу только высокотехнологичному банку.
Так, в свое время банк «Северная Казна» подвергся хакерской атаке. Системы обеспечения информационной безопасности банка зафиксировали начало мощной распределенной сетевой атаки на информационные ресурсы банка, расположенные в сети Интернет. В результате атаки входящие каналы связи банка оказались перегружены, и доступ клиентов к ресурсам «Северной Казны» был затруднен. Специалисты банка идентифицировали атаку как DDOS , то есть сетевое нападение, которое осуществляется с большого числа предварительно зараженных вредоносным программным обеспечением систем, и нападение координируется одним или несколькими управляющими компьютерами. Атака на екатеринбургский банк проводилась в течение двух дней. За это время вирус атаки неоднократно видоизменялся и модифицировался, однако предпринимаемые банком и провайдерами меры позволили продолжить обслуживание клиентов через системы удаленного доступа, не подвергая платежную систему банка опасности.
На сегодняшний день современные средства защиты не позволяют полностью исключить подобные нападения. Зато постоянное обновление и совершенствование ИТ-систем позволяет их успешно отбивать. Поэтому банки вынуждены постоянно отслеживать хакерские новинки, чтобы не оказаться атакованными.
Михаил РОМАНОВ, директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии
Перед ИТ-службой современной банковской организации нередко встает задача организации удаленного доступа к корпоративной сети для руководства с целью своевременного принятия управленческих решений. При этом уровень необходимого доступа - самый высокий, а выбранное решение должно быть простым, удобным, максимально надежным и защищенным. Первая проблема, которая возникает на этом пути, - это обеспечение безопасности устройства, с которого осуществляется доступ. Для ее решения успешно применяются различные программные комплексы защиты от вредоносного ПО и шифрование данных. Вторая проблема - обеспечение безопасности информационного обмена между удаленным пользователем и сервером с важной информацией, которая успешно решается технологией VPN. Помимо традиционной технологии IPSec VPN для решения второй задачи может использоваться технология SSL VPN, основное отличие которой - это отсутствие клиентского ПО. А значит, для доступа к ресурсам можно применять широко используемые сейчас мобильные устройства (с поддержкой интернет-браузера и Java).
Эффективным решением проблемы аутентификации может стать использование одноразовых паролей (OTP), которые делают невозможным «подсматривание» или перехват парольной информации. Например, наше решение StoneGate SSL VPN предоставляет уникальную возможность генерировать OTP при помощи обыкновенного мобильного телефона посредством технологии Mobile ID, причем данный функционал предоставляется на неограниченное число пользователей и совершенно бесплатно вместе с SSL VPN шлюзом. Кроме того, поддерживаются и другие сервисы аутентификации: SecurID, LDAP, AD, User Certificate, RADIUS, Windows Integrated Login, SSO и многие другие. Для активизации любого из этих методов аутентификации также не требуется докупать каких-либо модулей или активационных лицензий. При этом StoneGate SSL VPN поддерживает шифрование по ГОСТ и сертифицирован ФСТЭК России как распределенный межсетевой экран по 3-му классу и по 4-му уровню контроля НДВ, что позволяет применять его в критичных сетях банковских структур и в ИСПДн до класса К1 включительно.
Дмитрий ВОРОНКОВ, инженер по безопасности Check Point Software Technologies
Cлучайная утечка информации происходит чаще, чем намеренная, но, с другой стороны, целевое воровство, которое встречается несколько реже, может принести гораздо больший вред организации.
К случайной утечке можно отнести отправление конфиденциальной информации «случайным» адресатам. А также -утери носителей (жесткий диск, флэш-накопитель, магнитная лента), ноутбуков. Здесь, однако, может быть как случайная утеря, так и преднамеренная кража носителя/ноутбука с целью получения доступа к конфиденциальной информации. Тут необходимо качественно защищать носители, нужно как шифровать информацию на дисках ноутбуков, так и шифровать данные на внешних носителях. Не следует забывать и о защите от хакерских атак на серверы организации. Обычного файрвола уже недостаточно, необходимо наращивать функции защиты: добавлять механизмы предотвращения вторжений IPS, а также специализированную защиту WEB-серверов (от таких типов атак, как SQL Injection, cross-site scripting и др.). Наибольшую же опасность для конфиденциальной информации представляют инсайдеры. С помощью технических средств им можно максимально усложнить жизнь, но только технических средств тут может оказаться недостаточно. В данной ситуации необходимо совмещать технические, физические и административные средства защиты.
Комментировать могут только зарегистрированные пользователи