Денежные системы и их развитие в процессе формирования электронной финансовой системы РК

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций -- клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности. Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги -- это не одно и то же.

Большинство компьютерных преступлений -- мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

Большинство злоумышленников -- клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб -- такого рода случаи единичны.

Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.

Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:

Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;

В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;

Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому типу относятся задачи, решаемые в повседневной деятельности, в первую очередь выполнение платежей и корректировка счетов. Именно они и определяют размер и мощность основной системы банка; для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Каким же мерам защиты систем обработки информации отдают предпочтение зарубежные специалисты? На этот вопрос можно ответить, используя результаты опроса, проведенного Datapro Information Group в 1994 году среди банков и финансовых организаций :

Сформулированную политику информационной безопасности имеют 82% опрошенных. По сравнению с 1991 годом процент организаций, имеющих политику безопасности, увеличился на 13%.

Еще 12% опрошенных планируют разработать политику безопасности. Четко выражена следующая тенденция: организации с большим числом персонала предпочитают иметь разработанную политику безопасности в большей степени, чем организации с небольшим количеством персонала. Например, по данным этого опроса, всего лишь 66% организаций, с числом сотрудников менее 100 человек имеют политику безопасности, тогда как для организаций с числом сотрудников более 5000 человек доля таких организаций составляет 99%.

В 88% организаций, имеющих политику информационной безопасности, существует специальное подразделение, которое отвечает за ее реализацию. В тех организациях, которые не содержат такое подразделение, эти функции, в основном, возложены на администратора системы (29%), на менеджера информационной системы (27%) или на службу физической безопасности (25%). Это означает, что существует тенденция выделения сотрудников, отвечающих за компьютерную безопасность, в специальное подразделение.

В плане защиты особое внимание уделяется защите компьютерных сетей (90%), больших ЭВМ (82%), восстановлению информации после аварий и катастроф (73%), защите от компьютерных вирусов (72%), защите персональных ЭВМ (69%).

Можно сделать следующие выводы об особенностях защиты информации в зарубежных финансовых системах:

Главное в защите финансовых организаций -- оперативное и по возможности полное восстановление информации после аварий и сбоев. Около 60% опрошенных финансовых организаций имеют план такого восстановления, который ежегодно пересматривается в более чем 80% из них. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.

Следующая по важности для финансовых организаций проблема -- это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети. Однако сертифицированные средства управления доступом встречаются крайне редко (3%). Это можно объяснить тем, что с сертифицированными программными средствами трудно работать и они крайне дороги в эксплуатации. Это объясняется тем, что параметры сертификации разрабатывались с учетом требований, предъявляемым к военным системам.

К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети (82%), защита точек подключения к системе через коммутируемые линии связи (69%). Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений применяются примерно одинаково и, в основном (за исключением антивирусных средств), менее чем в 50% опрошенных организаций.

Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры (около 40%). Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).

Шифрование локальной информации применяют чуть более 20% финансовых организаций. Причинами этого являются сложность распространения ключей, жесткие требования к быстродействию системы, а также необходимость оперативного восстановления информации при сбоях и отказах оборудования.

Значительно меньшее внимание в финансовых организациях уделяется защите телефонных линий связи (4%) и использованию ЭВМ, разработанных с учетом требования стандарта Tempest (защита от утечки информации по каналам электромагнитных излучений и наводок). В государственных организациях решению проблемы противодействия получению информации с использованием электромагнитных излучений и наводок уделяют гораздо большее внимание.

Анализ статистики позволяет сделать важный вывод: защита финансовых организаций (в том числе и банков) строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы -- они разрабатывались для иных условий.

3.2 Страхование компьютерных (электронных) преступлений в банковской сфере

Безопасность - один из клю-чевых элементов, обеспечиваю-щих нормальное функциониро-вание электронной банковской системы. Проблемы обеспечения безо-пасности деятельности банков всегда актуальны, особенно в пе-реходный период.

В начале 1980-х годов назре-ла потребность в получении страхового покрытия от элект-ронных и компьютерных преступ-лений. В ответ на возникший спрос андеррайтеры Ллойда в Лондоне разработали полис (ус-ловия) страхования финансовых учреждений от электронных и компьютерных преступлений, совершенных третьими лицами. Этот полис является дополни-тельным в стандартной системе страхования банковских рисков, известной в мире под названи-ем Bankers Blanket Bond (В.В.В.). С момента разработки данный полис начал активно ис-пользоваться банками и страхов-щиками и практически сразу же стал неотъемлемой частью стра-тегии риск - менеджмента.

К решению проблем компь-ютерной безопасности необхо-дим комплексный подход. Ис-пользование систем техничес-кой и информационной безо-пасности, на которых казахстанские банки в настоящее время сосредотачивают основное вни-мание, могут только в опреде-ленной степени предотвратить ущерб. Страхование же в отли-чие от этих систем не только предотвращает преступление, но и, что самое важное, возме-щает убытки, понесенные в ре-зультате их совершения.

Страхование от компью-терных преступлений в Европе и США стало стандартным ви-дом страхования для банков, дилерских фирм, страховых компаний и крупных трансляци-онных коммерческих компаний, осуществляющих переводы своих денежных средств, а также несущих ответственность за сохранность средств своих кли-ентов при клиринговых и депо-зитных операциях.

Страховой полис Ллойда предлагает свой подход к пробле-ме страхового риска, выделяя ряд объектов страхования в со-ответствии с существующими факторами риска. По данному полису выделяются следующие объекты страхового покрытия.

1. Страхование компьютер-ных систем банка от несанкци-онированного входа. По данно-му полису Страхователю возме-щается убыток в случае, если он перевел, оплатил или поставил какие-либо средства или иму-щество, открыл кредит, оплатил счет или осуществил любой другой вид выплат в результате несанкционированного входа третьих лиц в компьютерную си-стему Страхователя.

2. Страхование банков от нелояльности персонала, вре-менно выполняющего работу для Страхователя по контракту. По данному полису Страховате-лю возмещаются убытки, нане-сенные ему независимыми кон-сультантами и другими сотруд-никами, выполняющими опре-деленные работы для банка по контракту и не являющимися его постоянными сотрудника-ми, в результате осуществле-ния мошеннических модифика-ций в компьютерных програм-мах, независимо от способа внедрения в компьютерную сеть Страхователя. Однако преступ-ления, совершенные сотрудни-ками, временно работающими по контракту на Страхователя, не покрываются по полису стра-хования от компьютерных пре-ступлений, так как данный вид покрытия предоставляет В.В.В.

3. Страхование электрон-ных данных и их носителей. По данному полису Страхователю возмещаются убытки, нанесен-ные ему в результате умышлен-ного уничтожения или попытки уничтожения электронных дан-ных. Однако данный страховой полис покрывает страхователям только стоимость восстановле-ния этих данных. Если они не подлежат восстановлению, то выплачивается номинальная стоимость носителя электрон-ной информации.

4. Страхование средств электронной связи банка. Стра-хователю компенсируются убыт-ки, в случае, если он перевел, оплатил, или поставил какие-либо средства или имущество, открыл кредит, оплатил счета или осуществил другую выплату на основании получения мошен-нического поручения на осуще-ствление этих операций по сред-ствам электронной связи.

5. Страхование юридичес-кой ответственности Страхова-теля в результате осуществле-ния его клиентом или финансо-вым институтом перевода де-нежных средств, оплаты или по-ставки каких-либо средств или имущества, а также осуществил любой другой вид выплат на ос-новании получения мошенни-ческого поручения или подтвер-ждения на осуществление пере-вода, платежа, доставки или получения средств/имущества, которое было передано им яко-бы от имени Страхователя.

6. Страхование от убытков вследствие перевода денежных средств по мошенническим те-лефонным инструкциям. Стра-хователю компенсируются убытки, понесенные им в ре-зультате мошенничества при операциях с переводом денег по телефонным инструкциям.

7. Страхование компьютер-ных систем банка от компьютер-ных вирусов. Страхователю воз-мещается убыток в случае, если он перевел, оплатил или поста-вил какие-либо средства или имущество, осуществил какую-либо выплату в результате пор-чи данных, находящихся в ком-пьютерной сети Страхователя компьютерным вирусом или в результате уничтожения электронных данных, находившихся в автоматизированной системе Страхователя в результате умышленной порчи или попыт-ки порчи этих данных посред-ством компьютерного вируса. При умышленном введении в программы команд или кодов, вызывающих сбои в компьютер-ной сети или в системе элект-ронного перевода денег на опре-деленный день, предотвратить убыток практически невозмож-но, так как программирование осуществляется с таким расче-том, что при проверке мошенни-ческие команды и коды могут быть выявлены только через оп-ределенное время после того, как убыток уже произойдет. Если сегодня преступники спо-собны на такие хитроумные ма-хинации, то можно только пред-полагать, какие новые виды ком-пьютерных и электронных пре-ступлений могут появиться в конце нашего тысячелетия.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9