Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак
От обеспечения безопасности
информационной вычислительной системы (ИВС)
банка сегодня во многом зависит
бесперебойное, устойчивое и надежное
функционирование бизнес-процессов в банке
в целом; в частности репутация финансового
учреждения, доля на рынке, снижение
издержек.
Системы защиты предназначены для
обеспечения безопасности информации,
обрабатываемой в ИВС. Ко всем данным, с
которыми работает информационная
банковская система, в обязательном порядке
предъявляется требование сохранности,
аутентичности и целостности. Обеспечение
этих требований является первостепенным в
задачах обеспечения информационной
безопасности. При современной острой
конкурентной борьбе многие финансовые
данные должны быть доступными только
определенному кругу уполномоченных лиц. С
другой стороны, банковская система должна
оставаться прозрачной для государственных
надзорных и налоговых органов.
Проблему информационной безопасности
необходимо решать комплексно.
Что представляют собой современные
банковские системы
К нынешним автоматизированным банковским
системам (АБС) предъявляются очень строгие
требования как со стороны банков-пользователей,
так и со стороны государственных и
контролирующих органов. Производители АБС
должны динамически подстраивать свою
продукцию под изменяющиеся нормативы и
отчетные требования, предъявляемые к
ведению банковского бизнеса.
Практически все бизнес-процессы
финансового учреждения связаны с
обработкой или пересылкой некоторой
информации. Сейчас вряд ли найдется банк, не
автоматизировавший процесс работы с бизнес-информацией.
Постоянно растет число банков,
использующих Интернет и удаленный доступ к
своим системам.
Только комплексная информационная
банковская система, интегрирующая
различные сферы деятельности банка,
способна полностью автоматизировать и
объединить в единое целое бизнес-процессы
финансового учреждения. Работа с клиентами,
начисление процентов, предоставление
всевозможных банковских услуг должны быть
увязаны с внутрихозяйственной
деятельностью банка, с бухгалтерией.Комплексная
система, поддерживающая централизованную
обработку, мультивалютность и
автоматизацию основных финансовых
операций, позволяет эффективно проводить
управление, контроль, получение отчетов о
текущей деятельности всех (филиалов банка.
Прежде всего АБС является инструментом
управления бизнесом. Среди (функций,
присущих современным комплексным АБС,
можно выделить следующие:
* операционный день;
* операции на фондовом рынке, работа банка с
ценными бумагами:
* внутрихозяйственная деятельность:
* розничные банковские услуги;
* дистанционное банковское обслуживание:
* электронные банковские услуги:
* расчетный центр и платежная система (карточные
продукты):
* интеграция бэк-офиса банка с его внешними
операциями:
* управление деятельностью банка,
реализация бизнес-логики, контроль, учет, в
том числе налоговый, и отчетность;
* управление рисками и стратегическое
планирование:
* программы лояльности клиентов,
маркетинговая, рекламная и РR-службы.
Приведенные основные функции ЛБС
реализуются посредством следующих
технологий:
* системы управления базами данных (распределенных);
* хранилища данных, OLAP- и ОLТР-технологии
обработки данных (системы оперативной
аналитической обработки и системы
оперативной обработки транзакций);
* системы поиска, извлечения и подготовки
достоверных данных;
* распределенная вычислительная система,
организация коллективной работы
пользователей, создание реального
информационного пространства банка,
включая филиалы, клиентов и партнеров;
* безопасное подключение информационной
системы банка к внешним вычислительным
сетям (Интернет);
* организация безопасной, достоперной
передачи данных по общедоступным каналам
связи (криптография: шифрование и
электронная цифровая подпись (ЭЦП),
организационные меры), электронный
документооборот;
* техническое, программное, математическое
и другое обеспечение;
* информационная аналитика и системы
поддержки принятия решений (decision support systems,
DSS);
* защита хранимой и обрабатываемой
информации, всей АБС в целом;
* системы удаленной работы с фондовыми
рынками и программы предсказания поведения
курсов:
* СRМ-системы управления отношениями с
клиентами:
* программы реализации фронт-офиса
взаимодействия с клиентами;
* системы поддержки внутренней организации,
менеджмента и исполнительной деятельности
персонала:
* разграничение доступа к информации
разного уровня секретности;
* антивирусная защита;
* интернет-магазины и интернет-карточки;
* центры обработки вызовов (саll-центры) и IР-телефония;
* поддержка различных каналов доступа:
Интернет, телефон, мобильная сеть, SMS, WAP и др.:
* поддержка множественных стандартов учета,
включая управленческий учет;
* поддержка и исследования в области
планомерного информационного развития АБС.
Среди первоочередных эксплутационных
требований, предъявляемых АБС, в первую
очередь хотелось бы выделить надежность и
безопасность. Сбой программного
обеспечения (ПО) или злоумышленное
вторжение в территориально-распределенную
банковскую информационную систему могут
иметь очень печальные последствия,
характеризуемые количественно (величиной
ущерба) или качественно (падением имиджа,
срывом переговоров и т. п.).
Многочисленные попытки взломов и успешные
нападения на банковские вычислительные
структуры и порталы остро ставят проблему
обеспечения информационной безопасности.
Среди компонентов, образующих АБС, выделим
следующие, реализуемые путем использования
общедоступных сетей:
* банк - клиент;
* Интернет - клиент;
* офис - удаленный менеджер;
* головной офис - региональные офисы/отделения;
* интериет-трейдинг.
Доступ к сервисам, которые предоставляет
данное программное обеспечение,
осуществляется через открытые сети,
использование которых таит в себе
многочисленные информационные угрозы.
Наиболее распространенные из них:
* несанкционированный доступ к ресурсам и
данным системы: подбор пароля, взлом систем
защиты и администрирования, маскарад (действия
от чужого имени);
* перехват и подмена трафика (подделка
платежных поручений, атака типа "человек
посередине");
* IР-спуфинг (подмена сетевых адресов);
* отказ в обслуживании;
* атака на уровне приложений;
* сканирование сетей или сетевая разведка:
* использование отношений доверия в сети.
Причины, приводящие к появлению подобных
уязвимостей:
* отсутствие гарантии конфиденциальности и
целостности передаваемых данных;
* недостаточный уровень проверки
участников соединения;
* недостаточная реализация или
некорректная разработка политики
безопасности;
* отсутствие или недостаточный уровень
защиты от несанкционированного доступа (антивирусы,
контроль доступа, системы обнаружения атак):
* существующие уязвимости используемых
операционных систем (ОС), ПО, СУБД, веб-систем
и сетевых протоколов:
* непрофессиональное и слабое
администрирование систем:
* проблемы при построении межсетевых
фильтров:
* сбои в работе компонентов системы или их
низкая производительность:
* уязвимости при управлении ключами.
Наиболее часто информационное
пространство банковской системы
используется для передачи сообщений,
связанных с движением финансов.
Основные виды атак на финансовые сообщения
и финансовые транзакции:
* раскрытие содержимого;
* представление документа от имени другого
участника:
* несанкционированная модификация;
* повтор переданной информации.
Для предотвращения этих злоупотреблений
используются следующие средства защиты:
* шифрование содержимого документа;
* контроль авторства документа;
* контроль целостности документа;
* нумерация документов:
* ведение сессий на уровне защиты
информации:
* динамическая аутентификация;
* обеспечение сохранности секретных ключей;
* надежная процедура проверки клиента при
регистрации в прикладной системе;
* использование электронного сертификата
клиента:
* создание защищенного соединения клиента с
сервером.
В общедоступных сетях распространены
нападения хакеров. Это
высококвалифицированные специалисты,
которые направленным воздействием могут
выводить из строя на длительное время
серверы АБС (DоS-атака) или проникать в их
системы безопасности. Практически все
упомянутые угрозы способен реализовать
хакер-одиночка или объединенная группа.
Хакер может выступать как в роли внешнего
источника угрозы, так и в роли внутреннего (сотрудник
организации).
Краткая характеристика хакеров
Хакеры буквально творят произвол во
всемирной Сети. Они воруют номера кредитных
карточек.Получают доступ к закрытым базам и
оперируют со счетами пользователей.
Используют информационные и сетевые
ресурсы для изощренных атак. Чаще всего
доступ к Интернету они также получают за
счет кого-то. Они занимаются рассылкой
спама и внедрением вредоносных программ на
различные компьютеры в сети. Они собирают и
взламывают пароли от чужих машин и систем,
чтобы получить к ним полный доступ:
завладеть секретной информацией,
скопировать ее, удалить или модифицировать.
Хакеры перехватывают и перенаправляют
сетевой 'график. Устраивают настоящую войну
с крупными сайгами в сети Интернет. И чаще
всего не ради наживы, а ради развлечения или
самоутверждения.
В результате хакерских атак может
причиняться крупный ущерб, чаще всего они
носят организованный характер и нередко
среди соучастников могут быть
представители собственного персонала.
Кроме того, информационным атакам и
вторжениям присуща высокая степень
латентности (малый процент - меньше 10%
выявления преступлений).
Хакеры могут встраивать троянские
программы, которые превращают пораженную
машину в "компьютер-зомби", который
совершает различные действия по указке
хакера, выходя из-под контроля. 'Га-кис
пораженные системы могут использоваться
для дальнейшего развития атак на машины в
сети и их заражения.
Действия хакеров могут нанести
существенный ущерб имиджу компании, если
сайт банка или его информационная система
не будут должным образом работать но
причине действий хакеров, если на сайте
будет размещена посторонняя информация (тем
более экстремистские лозунги или
порнография).
В настоящее время хакеры объединяются в
группировки, современное развитие
коммуникационных технологий позволяет им
моментально обмениваться информацией об
обнаруживаемых уязвимостях,
распространять программную продукцию,
позволяющую взламывать корпоративные сети
и веб-серверы. Интернет позволяет хакерам
успешно объединяться в виртуальном
пространстве, при этом оставаясь
недосягаемыми в физическом.
Наиболее опасными и сильными хакерами
могут стать представители военных ведомств
и спецслужб различных государств. Эти
ведомства обладают мощными компьютерами и
высокопроизводительными пропускными
каналами связи. Следует учесть, что "
ведомствах могут работать
недобросовестные сотрудники, которые
заинтересованы в подрыве репутации или
нанесении ущерба добросовестным банкам.
Существенную угрозу несут в себе
вредоносные программы - вирусы и трояны.
Распространяясь по всемирной Сети, они,
используя небезопасные настройки
коммуникативных программ, в том числе
защищенных протоколов, могут поражать
банковские вычислительные системы.
В свободном доступе находится множество
программ и утилит, автоматизирующих поиск и
использование уязвимостей атакуемой
системы.
Интернет позволяет передавать
конфиденциальную информацию практически в
любую точку мира, но передаваемые данные
необходимо защищать как в плане
конфиденциальности, так и в плане
обеспечения подлинности, иначе они могут
быть искажены или перехвачены. Интернет -
систему необходимо .защищать от подлога,
несанкционированного изменения,
разрушения, блокирования работы и т. д.
Комплекс технических средств защиты
интернет-сервисов:
* брандмаузр (межсетевой экран) -
программная и/или аппаратная реализация;
* системы обнаружения атак па сетевом
уровне;
* антивирусные средства;
* защищенные ОС, обеспечивающие уровень В2
но классификации защиты компьютерных
систем и дополнительные средства контроля
целостности программ и данных;
* защита на уровне приложений: протоколы
безопасности, шифрования, ЭЦП, цифровые
сертификаты, системы контроля целостности;
* защита средствами системы управления БД;
* защита передаваемых но сети компонентов
программного обеспечения:
* мониторинг безопасности и выявление
попыток вторжения, адаптивная защита сетей,
активный аудит действий пользователей:
* обманные системы:
* корректное управление политикой
безопасности.
При проведении электронного
документооборота должны выполняться:
* аутентификация документа при его создании;
* защита документа при его передаче;
* аутентификация документа при обработке,
хранении и исполнении:
* защита документа при доступе к нему из
внешней среды.
Для обеспечения высокого уровня
информационной безопасности
вычислительных систем рекомендуется
проводить следующие процедуры при
организации работы собственного персонала:
* фиксировать в трудовых и гражданско -
правовых договорах обязанности персонала
но соблюдению конфиденциальности, в том
числе лиц, работающих по совместительству;
* распределять основные функции между
сотрудниками так, чтобы ни одна операция не
могла быть выполнена одним человеком от
начала до конца;
* обеспечивать строгий режим пропуска и
порядка в служебных помещениях,
устанавливать жесткий порядок пользования
средствами связи и передачи информации;
* регулярно проводить оценку всей имеющейся
информации и выделять из нее
конфиденциальную в целях ее защиты;
* иметь нормативные правовые документы по
вопросам защиты информации:
* постоянно повышать квалификацию
сотрудников, знакомить их с новейшими
методами обеспечения информационной
безопасности;
* создать базу данных для фиксирования
попыток несанкционированного доступа к
конфиденциальной информации;
* проводить служебные расследования в
каждом случае нарушения политики
безопасности.
Юрий Мельников, Алексей Теренин Интернет Финансы
|
|