Expert | Дата: Пятница, 15.04.2011, 10:58 | Сообщение # 1 |
Главный
Группа: Администраторы
Сообщений: 6114
Статус: Offline
| Интересный и познавательный материал: Информационная безопасность: как снизить банковские риски Quote Сегодня банки вынуждены сами защищаться от всевозможных рисков как криминального, так и не криминального характера, причем эта защита, разумеется, должна соответствовать требованиям регулятора. С распространением услуги интернет-банкинга ситуация только усугубилась. Как видно, победить в этой игре может только та финансовая организация, которая полностью оснащена с точки зрения информационной безопасности. Сложность защиты информации в банковском секторе определяется не только огромными массивами обрабатываемых данных и изощренностью средств, применяемых злоумышленниками для доступа к ним. Она характеризуется еще и тем, что банки, являясь частью единой финансовой системы государства, должны соответствовать жестким требованиям безопасности, но реализацию этих требований государство полностью возложило на сами кредитные организации. ИТ-инфраструктура крупного универсального банка включает до нескольких сотен информационных систем, каждая из которых может стать слабым звеном с точки зрения безопасности. Риски в банковской сфере высоки, разнообразны и связаны не только с криминалом, но и с потерей информации и оперированием недостоверными данными в результате технических сбоев или влияния человеческого фактора. Именно поэтому в ряде банков создаются целые управления, единственная задача которых – обеспечение информационной безопасности. Ее решения требует комплексного подхода, который включает правовые, организационные, технические, кадровые и другие аспекты. В прессу попадают случаи ограбления инкассаторов, но ни один грабитель не нанесет такой ущерб, на который способен злоумышленник, получивший доступ к чужим счетам, или инсайдер, "сливающий" конфиденциальную информацию конкурентам. Скачок в интернет Эти риски минимизируются защитой информационных систем банка от несанкционированного доступа. Требования к безопасности данных постоянно повышаются, причем случаются периоды скачкообразного роста, один из которых произошел относительно недавно и связан с активным развитием интернет-банкинга. Долгое время банки решали вопросы безопасности данных, не выходя за пределы собственной информационной сети (центрального офиса, филиалов, банкоматов). Затем был сделан первый шаг в интернет: появились программы "клиент-банк" для юридических лиц, доступ к которым был крайне ограничен. И, наконец, в один прекрасный момент финансовые организации оказались перед лицом новых значительных рисков, когда в интернет вышли фронт-офисные системы, обслуживающие физических лиц. Дистанционное обслуживание должно быть простым и удобным для клиента, иначе эта услуга не станет массовой и не принесет банку ту прибыль, ради которой она вводилась. Оптимальный для клиента вариант – доступ на защищенную часть сайта банка с авторизацией по паролю, и банки сейчас успешно его реализуют. Но чем проще доступ к услуге, тем сложнее обеспечить безопасность данных и не допустить незаконных транзакций. Ситуация, когда злоумышленник может получить доступ к чужому счету с любого компьютера без взлома специализированного клиентского ПО, без преодоления физических средств защиты типа токенов, говорит о доступности атакующих технологий и снижении их стоимости. При этом стоимость информационных систем возрастает. Враг внутри На стоимость ИС влияют и системы защиты от неправомерных действий собственных сотрудников, которые могут нанести ущерб множеством способов от компрометации клиентской базы до присвоения активов банка. Инсайдеры – настоящая головная боль для акционеров и служб безопасности, поскольку все средства разграничения доступа к электронным данным и к бумажным документам, защиты от копирования на диски и флэшки не работают на сто процентов. Существуют системы оперативного слежения за действиями сотрудников, но не придумана еще абсолютная техническая защита от изготовления лишней копии документа и выноса ее в кармане, фотографирования монитора на мобильный телефон или от непреднамеренного разглашения конфиденциальной информации в разговорах с коллегами. Эта часть задачи в основном ложится на плечи сотрудников служб безопасности и информационной безопасности банка. ИТ со всех сторон Также банки обязаны выполнять требования регуляторов, например, в части своевременного предоставления обязательной отчетности, защиты персональных данных, противодействия отмыванию средств и финансированию терроризма. Соответственно, необходимо поставить дорогостоящие специализированные системы, которые смогут на лету проводить мониторинг большого числа событий, реагировать на них и быстро формировать отчетность. Если эти требования не будут выполняться, организация имеет шансы пополнить список из более 1600 банков, чьи лицензии уже были отозваны ЦБ, в том числе и по указанным причинам. Рынок предлагает большое число систем комплексной защиты информации (СЗКИ), но возникает проблема их сертификации. Системы защиты постоянно развиваются и совершенствуются в соответствии с новыми требованиями бизнеса, а сертификация их ФСТЭК и ФСБ России, естественно, отстает от этого процесса. Поэтому перед банками часто стоит выбор: использовать не новую, но сертифицированную систему, или приобрести систему без сертификата, но более эффективную и полностью отвечающую требованиям конкретного банка по функционалу и совместимости с имеющейся инфраструктурой. В этом случае банк вынужден начать долгую и дорогую процедуру сертификации СЗКИ, причем без гарантированного положительного результата. Еще один аспект безопасности не связан с защитой от криминала и относится к обеспечению целостности и непротиворечивости данных. Для защиты банка от финансовых потерь данные должны правильно вводиться, доставляться без искажений, быть согласованными с другими данными и надежно храниться. При этом необходимо обеспечить полную прозрачность всех процессов движения данных с возможностью детализации до конкретного счета, клиента или сотрудника, ответственного за транзакцию. В большинстве случаев это реализуется созданием единого хранилища данных с дополнительными системами, отвечающими за контроль качества информации, а также внедрением автоматических процедур ее мониторинга, архивации и восстановления после сбоев. Где искать защиту? Обеспечение информационной безопасности, как правило, зависит от потребностей бизнеса, требований регулятора и существующей ИТ-инфраструктуры банка. Защита данных начинается с аудита существующей ситуации и разработки общей концепции, политик и корпоративных стандартов управления информационной безопасностью. Цель этих мероприятий – создание системы обеспечения информационной безопасности. Стандарт Банка России СТО БР ИББС–1.0–2008 определяет ее как совокупность системы информационной безопасности (защитные меры, средства и процессы) и системы управления информационной безопасностью (часть системы управления банка, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ). К созданию системы обеспечения информационной безопасности должны быть причастны не только служба ИБ, ИТ-служба, но и топ-менеджмент, юридическая служба и другие структуры. Связано это с многогранностью задач, требующих решения. Поскольку обеспечение безопасности – это непрерывный процесс, то для него требуется непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД), описанный в стандарте. В ходе планирования в первую очередь определяются цели и масштаб СУИБ, оцениваются риски и предлагается план работы по их минимизации. Далее план создания СУИБ реализуется с учетом корректировок, принятых на стадиях проверки и действия. Поскольку этот цикл непрерывный, проверки могут проводиться в любое время и с любой периодичностью в зависимости от ситуации. Результатом должна стать система информационной безопасности, покрывающая все основные классы угроз и соответствующая требованиям бизнеса, регулятора и ИТ. В состав системы ИБ могут входить следующие компоненты: подсистема управления ИБ; межсетевой экран; подсистема разграничения доступа к электронным ресурсам; подсистема защиты от вторжений, а также подсистема защиты внутренних сетевых ресурсов. Невозможно обойтись и без таких компонентов, как подсистема защиты web-ресурсов; антивирусная защита; контроль трафика и подсистема криптографической защиты информации. Не менее важными являются подсистемы защиты от физического доступа (PKI, защита от копирования…) и мониторинга средств защиты и отчетов безопасности. Выбор конкретных продуктов зависит от ситуации. Наиболее известны комплексные и специализированные решения компаний ArcSight, Check Point, Cisco Systems, InfoWatch, Max Patrol, RSA, Websense, "Аладдин" и многих других. К банковской ИБ надо подходить комплексно На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC Group Quote CNews: Какими характеристиками с точки зрения ИБ должна обладать банковская инфраструктура, чтобы быть наименее подверженной рискам? Сергей Березин: К вопросам ИБ, как и к любой другой безопасности, надо подходить комплексно. В целом, информационная безопасность – это как минимум на 60% продуманная система организационно-технических мероприятий, и лишь потом, в период реализации – разного рода ИТ-продукты по поддержке ИБ. Поэтому ошибочным будет мнение, что приема на работу опытного CIO или CSO будет вполне достаточно для решения вышеуказанных задач, и можно будет лишь средствами ИТ кардинально обезопасить банк от инцидентов ИБ. Однако, поскольку в этом материале мы рассматриваем именно ИТ-составляющую ИБ, постараюсь прокомментировать эту тему под данным углом зрения, хотя все равно придется обращаться к бизнес первопричинам. Сергей Березин: Ключевыми технологиями в ИТ-инфраструктуре банков должны стать централизация, интеграция и виртуализация Если посмотреть на современную ИT–систему практически любого из российских банков, то вы обнаружите там десятки, а то и сотни одновременно функционирующих информационных систем, - в том числе, унаследованные от прежних слияний и поглощений. При этом образуется сложный и трудно управляемый ИT-ландшафт, который как раз и служит той "питательной" средой, что рождает непредсказуемые дыры в управляемости и, как следствие, проблемы с ИБ. При этом сама по себе безопасность не должна быть фетишем, самоцелью, которая достигается установкой все новых и новых продуктов ИБ. Высокий уровень ИБ - это естественный результат грамотно построенной ИТ-инфраструктуры банка в целом и отлаженных и сбалансированных организационных процедур, причем не только в ИТ. Образно выражаясь, добротно построенной крыше не страшен никакой дождь, а если она худая, - то и никаких тазиков не хватит. Ключевыми технологиями в ИТ-инфраструктуре банков должны стать централизация, интеграция и виртуализация. Правильно, когда все приложения АБС интегрируются общей информационной шиной и централизованно исполняются на серверах головного офиса. При этом сотрудники банка со своих рабочих мест получают доступ к АБС с помощью средств виртуализации десктопов (ранее это называлось удаленным доступом к ПО). Сегодня функциональность этих средств, предлагаемых на рынке тандемом Citrix и Microsoft, достигла очень высокого уровня. Благодаря виртуализации, сотрудники на рабочих местах во всех филиалах, операционных офисах и в уполномоченных агентствах работают в защищенной среде с единой версией приложений и данных прямо на серверах ЦОД банка. Это существенно сужает периметр информационной защиты, - ведь на локальных компьютерах служащих не хранится никаких данных, - соответственно, риск их утери или фальсификации значительно снижается. Для банков с большим числом филиалов такой подход к ИТ-инфраструктуре особенно важен, т.к. чем больше рабочих мест, тем больше точек потенциальной уязвимости ИБ, а продукты Citrix позволяют разом закрыть целый класс уязвимостей. Известно, что подобная ИТ-инфраструктура со средствами виртуализации рабочих мест с помощью программных продуктов Citrix сегодня установлены в Сбербанке, Газпромбанке, МДМ-Банке и целом ряде других финансовых учреждений. CNews: Насколько, на ваш взгляд, часты утечки банковской информации? С чем это связано? Сергей Березин: Инциденты ИБ случаются в банках ежедневно, но сведения о них не принято афишировать. Это логично, поскольку с репутационной стороны любой банк в глазах клиентов стремится быть безупречным. Достаточно намеренно или случайно допустить утечку информации об инцидентах ИБ, как на следующий день перед дверями банка может уже бушевать толпа вкладчиков, желающих немедленно вернуть назад свои деньги. Как результат, мы знаем только о тех инцидентах ИБ, которые озвучиваются в СМИ. Наиболее громкий случай, который наверно все помнят, – это процесс над машинистом московского метрополитена Алексеем Лепехиным по иску "Банка Москвы" в 2009г. Господин Лепехин получил через интернет-портал банка доступ к ссудному счету банка. В одночасье оказавшись богатым человеком, Алексей начал покупать новые иномарки и недвижимость, сняв за полгода со счета 85,5 млн руб. Кстати, как ни удивительно, но уголовного преследования за пользование такими суммами неосновательного обогащения Алексей мог бы избежать, будь он не машинистом метро, а реальным миллионером. Тогда его адвокаты вполне могли бы доказать, что человек просто не заметил лишних денег и потратил их, полагая, что они поступили законно. Отличное подтверждение народной поговорки, что "деньги к деньгам", не правда ли? CNews: Насколько популярны в банках DLP-системы? Сергей Березин: Работа систем предотвращения утечек конфиденциальной информации из информационной системы (англ. Data Leak Prevention, DLP) строится на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в потоке конфиденциальной информации (логины, пароли) срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется. Говоря о популярности DLP-систем в отечественных банках, сначала следует упомянуть существующую до сих пор расплывчатость формального определения, что, собственно, считать DLP-системой. Поэтому можно быть правым, говоря как и о повсеместном внедрении DLP-систем, так и о недостаточном проникновении этого класса продуктов в ИТ-системы банков. Мощные DLP-системы должны обладать такими свойствами, как многоканальность, учет и содержания, и контекста, наличие средств активной защиты и унифицированного менеджмента политиками безопасности. Если какой-либо из перечисленных функциональностей в конкретном продукте нет или она представлена слабо, то это все равно будет называться DLP-системой. На рынке сегодня представлены около двух десятков отечественных и зарубежных продуктов, обладающих признаками DLP-cистем, включая комплексные продукты от InfoWatch, Perimetrix и WebSence. Кстати, факт установки последней из упомянутых DLP-систем в ВТБ активно пиарился в прессе. CNews: Какие проекты по обеспечению банковской ИБ с участием вашей компании были реализованы за последний год? Сергей Березин: Конфиденциальность сведений о проектах в области обеспечения банковской ИБ является одним из регламентных средств по обеспечению ИБ. Зная, какой системный интегратор осуществлял проект ИБ в конкретном банке, с помощью пресловутых голливудских "6 рукопожатий" всегда можно выйти на кого-либо из конкретных специалистов, исполнителей. А поскольку этот человек по роду своей деятельности досконально изучил средства ИБ банка, на него можно разными способами воздействовать, используя для успешного взлома информационной системы банка. Разумеется, BCC Group как крупный системный интегратор регулярно выполняет проекты ИБ для финансовых учреждений, в том числе и для банков из ТОР-10.
Блог декана
Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
|
|
| |
BoSSurman | Дата: Понедельник, 18.04.2011, 00:27 | Сообщение # 5 |
Корифей
Группа: Модераторы
Сообщений: 674
Статус: Offline
| В целом проблем с ИБ в банках хватает. Например вот эта: PA-DSS vs разработчики, или ожидает ли российские банки эпидемия взломов Quote На форуме Сообщества PCIDSS.RU был озвучен вопрос, касающийся наличия в России курсов, посвященных основам безопасного программирования. Насколько мне известно, таких курсов в России нет. Причина, по которой не проводится обучение по данной теме одна - отсутствие спроса. А спрос отсутствует потому, что большинство наших разработчиков не сильно беспокоится о безопасности своих приложений, перекладывая этот вопрос на своих клиентов, покупающих у них программное обеспечение. По крайней мере, до сих пор происходит именно так. Если решение сделано для собственного использования, то в данном случае бывают исключения, т.к. налицо постепенная положительная тенденция обеспечить свою безопасность, что не может не радовать, ─ по крайней мере, мы в своей работе видим таких разработчиков, которые понимают риски и стараются обеспечить безопасность созданных и эксплуатируемых ими систем. Но если решение создается для продажи? В этом случае ситуация в целом крайне печальна (для клиентов, но не для производителей!), что, в частности, подтверждается нашими ежегодными исследованиями безопасности банк-клиентов: http://dsec.ru/press_releases/?news_id=223. Подобное отсутствие интереса разработчиков к вопросам безопасности вполне логично ─ зачем разработчику тратить свои деньги на безопасность, если их решения покупают и так. Ниже приведена небольшая выдержка из нашего исследования за 2009-2010 годы: «Все, что было сказано и продемонстрировано в нашем небольшом исследовании, необходимо лишь для того, чтобы банки и разработчики ПО для банков поняли, что взламывать можно все, включая их продукты. Сейчас очень важно поднять качество кода отечественного ПО, ведь найти ошибку, скажем, в Банк - Клиенте сейчас гораздо легче, чем в популярном западном ПО. Поэтому необходимо обращать внимание на такое положение дел, ведь злоумышленники тоже ищут эти уязвимости и используют их в своих целях, и мы должны максимально усложнить им эту задачу» , - комментирует Алексей Синцов, ведущий аудитор компании Digital Security. В целом, за 2009-2010 годы исследовательским центром DSecRG были обнаружены ошибки в коде большинства популярных банковских решений таких компаний, как BSS, INIST, ЦФТ, R-Style и Сигнал-КОМ. Производители были своевременно уведомлены о данных уязвимостях и сообщили об их успешном закрытии и отправке обновлений всем клиентам». Причем в данном случае речь идет не о глубоком исследовании (как в случае заказного платного тестирования продукта или системы), а не более чем о небольшой проверке в рамках волонтерской деятельности нашего исследовательского центра DSecRG ─ мы каждый год выделяем 3-5 чел/дней и проводим ознакомительное тестирование выбранных нами продуктов (1-2 дня на продукт). И результатом является 100% проникновение в продукты, которые составляют ядро российской банковской индустрии! Это говорит не просто о печальной ситуации в области обеспечения банковской безопасности; это форменная катастрофа, когда серьезные уязвимости обнаруживаются через 1-2 дня поверхностного изучения продукта, и здесь нужно называть вещи своими именами. От настоящей эпидемии атак банки пока спасает только то, что пользователи защищены гораздо хуже, и поэтому основной вектор хакерских атак до сих пор направлен именно на пользователей. Но при таком, как показывает практика, халатном отношении разработчиков к вопросам безопасности это, поверьте, ненадолго. Теперь порассуждаем о перспективах внедрения PA-DSS. Массовое насильное (а здесь никак по-другому ─ самостоятельно никто ничего делать не будет в случае продаваемых продуктов) внедрение стандарта, безусловно, подтолкнет разработчиков, продукты которых попадают под действие PA-DSS, заняться безопасностью. Однако, судя по тому, какие «ляпы» мы наблюдали в решениях, уже сертифицированных по стандарту PA-DSS, я бы не обольщался - здесь ситуация очень сильно зависит от "хакерской" квалификации аудитора и его умении не просто формально ставить галочки в чек-листе, чем, кстати, грешат многие, а реально разбираться в безопасности приложений и быть высококвалифицированным исследователем. Но, в любом случае, даже плохо сертифицированное приложение лучше, чем то, которое не проходило никакую проверку и выпущено разработчиком, которого вопросы безопасности вообще не волновали. Кстати, существует одна очень серьезная типовая проблема, связанная со стандартизацией в целом, и PA-DSS (как и PCI DSS) не является исключением: как только стандарт становится массовым, часто в течение короткого промежутка времени резко падает качество проводимой оценки. Причин множество: от вынужденной минимальной стоимости работ аудитора и до слабости контролирующей инстанции. Эти причины приводят к появлению низкоквалифицированных аудиторов и откровенной халтуры, что мы довольно активно начинаем наблюдать уже сейчас, хотя Совет PCI SSC и пытается бороться с некачественным аудитом. Резюмируя вышесказанное: не стоит надеяться, что разработчики продаваемых решений по своей воле займутся безопасностью ─ это утопия. Также и не стоит считать PA-DSS панацеей или гарантией безопасности сертифицированного решения. Однако PA-DSS при любом, даже самом низкоквалифицированном аудиторе, - это, безусловно, лучше, чем отсутствие каких-либо проверок; а в случае получения сертификата от авторитетного аудитора с большим практическим опытом исследования приложений, подобная сертификация может стать серьезным, в том числе и рыночным аргументом для клиента, приобретающего данное сертифицированное ПО.
:-P
|
|
| |