Skip to main content

Про соотношение различных аспектов банковской безопасности

Информационно-коммуникационные технологии, автоматизированные системы управления технологическими процессами всё шире используются во всех сферах деятельности. В том числе в кредитно-финансовой сфере, где появляется всё больше новых высокотехнологичных финансовых услуг. В какой степени банковская безопасность превращается из общей, физической в информационную? Как меняется соотношение разных граней деятельности по обеспечению банковской безопасности?

К ВОПРОСУ О ТОМ, ЧТО ПЕРВИЧНО

Расчёты и платежи становятся электронными, всё сильнее сокращая потребность в наличных деньгах, как некогда бумажные деньги заменили золотые и серебряные монеты. В обеспечение физической безопасности проникают информационные технологии – автоматизация, телекоммуникации, хранение, обработка, передача данных и т.п. Всё шире используется высокотехнологичное оборудование, – системы контроля доступа, сигнализации, видеонаблюдения и другие.

В некоторых случаях физическая безопасность «ужимается», как, например, по мере развития электронных платежей сокращаются объёмы инкассации. В Швеции бумажные деньги вообще отменяют. Значит ли это, что банковская безопасность всё больше становится информационной, что исторически первичная общая, физическая безопасность всё больше отходит на второй план?

В определённой мере – да но это лишь одна сторона процесса. Поскольку «дух отягощён материей», физическая безопасность – «человек с ружьём» и т.д. – существовать будет вечно, причём достаточно автономно. Пусть работы тем же инкассаторам становится меньше, но транспортировка ценностей, золотых слитков и т.п., останется всегда.

Кроме «информатизации» безопасности, действует и противоположная, встречная тенденция – необходимость для специалистов по информационной безопасности всё больше вникать в сущность банковского дела, всех бизнес-процессов, каждого клиентского сервиса. В определённом смысле информационная безопасность всё больше принимает окраску общей банковской безопасности.

Ещё в «докомпьютерную эру» хорошие специалисты по безопасности тщательно изучали объект, который должны были оберегать. Тогда банковская тайна сохранялась службой режима – надёжной охраной и крепкими замками. Когда стали развиваться информационные технологии, в дополнение к этой замкнутой системе, к замкам физическим, начали добавлять «замки» электронные.

Автоматизированные банковские системы и электронные платежи начали широко применяться в последние 20 лет. В банках исторически первыми задачами информационной безопасности было обеспечение информационно-технологической безопасности системы. Приходилось заниматься техническими аспектами безопасности, а также приучать сотрудников регулярно делать архивирование, резервное копирование данных. Информационные банковские системы начинали обладать всё больше разраставшейся функциональностью.

Кроме обеспечения только надежного функционирования технических средств, их постоянной доступности, встала и новая проблема. Поскольку обрабатывались самые разные данные, их надо было по-разному защищать, управлять доступом к корпоративной сети, компьютерным системам, базам данных, то есть разграничить права доступа и обеспечить контроль. Тому были и социальные причины: в 1990-е годы рядовой сотрудник банка мог испытать шок, узнав, сколько денег получает за выполнение своих должностных обязанностей топ-менеджер банка. Приходилось решать задачу разделения по категориям пользования, по функционалу, по глубине доступа к банковской информации.

Внешние задачи обеспечения информационной безопасности пришлось решать с присоединением банков к электронным системам Банка России для осуществления межбанковских электронных расчётов. Но главным обстоятельством, которое привело к созданию банками самостоятельных подразделений информационной безопасности, стало появление дистанционных клиентских сервисов.

СЕКРЕТ «ЗОЛОТОГО СЕЧЕНИЯ»

Банковские пластиковые карты, выпуск которых начался в конце 1990-х годов, тогда считались не полноценным, а очень экзотическим бизнесом и у банков, и у мошенников. Зато начали быстро развиваться сервисы «банк – клиент» через интернет. Дело не только в том, что одному человеку стало трудно справляться с возросшими обязанностями. Формирования самостоятельных подразделений информационной безопасности банков требовали и появление системы удалённого обслуживания «банк – клиент», и отраслевой стандарт, введённый в действие распоряжением Банка России № Р-345 от 28 апреля 2007 года.

Вначале система интернет-банкинга строилась по принципу «толстого клиента» – компьютер конечного пользователя использовался как удалённый терминал с помощью специальной программы, связанной с банком выделенным каналом. Гораздо более простым, удобным и массовым стал «тонкий клиент» – доступ клиента на банковский сервер через обычный веб-браузер.

Произошёл переход в открытую агрессивную среду, потенциально враждебную клиентам. Если случаи взлома выделенных каналов можно было по пальцам перечесть, то интернет-банка – тысячи в год. Круг клиентов быстро расширился, но, в основном, за счёт людей с очень низким уровнем знания информационных угроз, понимания необходимости выполнять правила безопасности. Пришлось существенно переосмыслить проблематику информационной безопасности.

В настоящее время переживаем очередной новый этап развития – переход к мобильным технологиям. Это ещё более серьёзная проблема для безопасности. Мобильные устройства – телефоны, смартфоны, планшеты – используются в ещё более широкой среде. Включая общественные места – торговые центры, транспорт, просто на улице. Защищены мобильные операционные системы пока слабее, чем работающие на обычных персональных компьютерах. И, наконец, в мобильном устройстве объединены рабочее место банкинга и канал связи.

Взаимосвязь бизнеса и безопасности становится выпуклой, заметной и очевидной. Бизнес хочет всё больше использовать возможности, открываемые мобильными технологиями, но безопасность тормозит и режет крылья, потому что не хочет подрывать тот самый бизнес. Потому что если новые удобные сервисы будут опасными, рискованными – никто не будет ими пользоваться.

Безопасность, несмотря на свой сдерживающий фактор для развития платёжных мобильных технологий, одновременно – гарантия их успешного развития. Вот такое диалектическое противоречие, двигатель развития. Нужно только найти баланс, «золотое сечение» соотношения преимуществ новых технологий и безопасности.

Кто первый его вычислит, тот и захватит новый рынок, переделит старый. Функциональность новых сервисов разных банков отличается деталями. Отличаться они могут удобствами и уровнем безопасности, двумя противоположными качествами. Кто умеет правильно их слепить – тот и победил. Безопасность становится конкурентным преимуществом. У кого более безопасный бизнес – тот и впереди.

К КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ

Информатизация безопасности и её встречное проникновение в детали бизнеса – это противоположные тенденции, которые взаимно дополняют друг друга. Предпринимать меры, использовать технические средства безопасности нужно, в конечном счёте, для того, чтобы обеспечить функционирование бизнеса в целом. Исходная точка – изучение объекта, информационную безопасность которого предстоит обеспечивать, с точки зрения бизнес-требований, затрат и эффективности. Оценка рисков, связанных с проведением той или иной операции, в первую очередь экономических.

Экономическая безопасность является самым важным, интегральным показателем для бизнес-системы. Для банка это не только собственная экономическая безопасность, но и структур, связанных с ним, и обслуживания клиентов. Потому что использование информационных технологий позволяет банкам быть институтом, оказывающим финансовые услуги самого широкого спектра, а не только расчётные и кредитные. В том числе и, в определённой мере, безопасности клиента.

Вот пример: предприниматель хочет получить городской заказ и участвует в конкурсе, который проводит Правительство Москвы. В настоящее время действует система электронных торгов, которая работает с конкурсными депозитами, с мгновенными расчетами. Электронная торговая площадка – элемент бизнес-отношений, участником которых является также и банк.

Банк может предоставить банковскую гарантию или депозит для участия в торгах, «гарантийный взнос». Предприниматель может не отвлекать собственные средства, которые могут быть ограниченными, а после подведения итогов торгов погасить этот краткосрочный кредит. От того, предоставит банк кредит вовремя или нет, зависит экономическая безопасность бизнеса клиента, минимизация финансовых рисков.

Благодаря высоким технологиям банк стал участником гораздо более широкого спектра экономических отношений, чем прежде. Информационная и физическая безопасность стали важными аспектами экономической безопасности. Надо говорить о безопасности в целом, элементы которой – экономическая безопасность, информационная безопасность и физическая безопасность. Порой они очень тесно переплетаются, так что трудно выделить тот или иной аспект.

Выявление мошеннических операций в системах ДБО – это обеспечение экономической безопасности, но по принципам и технологиям, инструментам – ближе к информационным технологиям. Получается смычка экономической и информационной безопасности, порождаемая развитием бизнес-процессов с использованием новых возможностей, которые открываются информационными технологиями. Как, исходя из развития бизнес процессов, формировать бюджет и составлять штатное расписание? Ещё не выработано общего рецепта, как решать возникшую проблему, и каждый делает это по-своему.

Следующий уровень развития – неотчуждаемые от клиента средства обеспечения безопасности. В мобильном банке должны быть новые средства аутентификации, привязанные не к средству проведения платежа, а к самому человеку. Если у меня есть отчуждаемая от человека вещь, и она является платежным инструментом, то должна быть её привязка к самому человеку. А это могут быть только параметры владельца. Поэтому следующим этапом могут стать биометрические способы аутентификации.

ИНТЕГРАЦИЯ ДИСЦИПЛИН

Назревшая проблема уже сегодняшнего дня – потребность в кадрах с соответствующей новой квалификацией. Внедрение антифродовых систем, с одной стороны, требует сотрудников-специалистов, которые бы вели мониторинг транзакций, умея анализировать присущие риски, формировать правила выявления мошеннических операций. То есть способных и заниматься настройкой антифродовых систем, и принимать решения о конкретных платежах. У этих специалистов должно присутствовать понимание экономической сути платежей, сформированное достаточно богатым опытом аналитической и экономической работы. А также хорошее практическое знание информационных технологий, при помощи которых выявляется фрод.

«Чистые» специалисты, подготовленные по специальности «информационная безопасность», как и просто «безопасность», становятся всё менее востребованными на рынке труда. Квалификация, полученная ими согласно диплому о высшем образовании, становится для работы недостаточной, в значительной степени бесполезной. Напротив, прямо сейчас требуются специалисты, получившие междисциплинарную подготовку, на стыке безопасности, информационных технологий, экономики и финансов, а также других дисциплин. Потребности диктуются увеличением количества новых разнообразных финансовых сервисов: банковских, платёжных, брокерских, инвестиционных, страховых, государственных электронных платных услуг и т.п.

Таких специалистов в настоящее время вузы не могут выпускать. Потому что внедрение новых автоматизированных систем информационной безопасности банков происходит быстрее, чем способно меняться инерционное высшее образование. Цикл подготовки по новым специальностям, согласно федеральному законодательству, составляет 7 лет. Потому что ранее требовалось 2 выпуска для прохождения аккредитации, плюс 5 лет на полный курс очного обучения. Можно прибавить 1 год на подготовку учебных программ. Будем учитывать и то, что выпускнику вуза, даже самой подходящей специальности, предстоит 3 года набираться опыта на рабочем месте, чтобы окончательно стать готовым специалистом.

Какая специальность должна быть базовой? Готовить специалистов информационной безопасности в технических вузах или в тех, по профилю которых выпускник будет потом работать – финансовых, экономических и т.п.? В настоящее время базовыми выступают технические вузы. «Междисциплинарная» кафедра, готовящая специалистов по информационной безопасности банков, была создана в НИИЯУ МИФИ.

Проблема вырастает из новых возможностей, которые открываются именно информационными технологиями. Оказывается проще обучать технических специалистов особенностям банковских процессов, чем наоборот, финансистов – информационной безопасности. Во многих банках системами антифрода занимаются специалисты по IT, а не по безопасности и не экономисты.

ТРЕБУЮТСЯ МНОГОГРАННЫЕ СПЕЦИАЛИСТЫ

Для того, чтобы своевременно готовить специалистов по информационной безопасности для конкретных отраслей, для кредитных, финансовых и платёжных организаций разного профиля, нужны соответствующие преподаватели и учебные программы. Либо обучающимся информационным технологиям преподавать экономическую безопасность, либо экономистам – информационные технологии. Деление возможно по направлениям: безопасность финансового сектора, отдельно технологических процессов, безопасность каналов связи, безопасность разработки и применения пользовательских приложений.

Сейчас московские вузы находят временный выход из положения за счет компаний, которые предоставляют своих специалистов. Примерно треть предметов по информационной безопасности, защите информации в вузах читают совместители – люди, профессионально занимающиеся этой деятельностью. Ресурс хороший, но ограниченный.

Можно использовать исторический опыт решения проблематики высшего междисциплинарного образования, накопленный ещё в «докомпьютерную эру». Похожая проблема вставала при подготовке специалистов для разных отраслей. Специалисты по проектированию автоматизированных систем управления технологическими процессами ещё в 1960–70-е годы должны были хорошо знать предметы защиты, технологические процессы. Потому что система защиты влияет на управление всем технологическим процессом.

На производстве безопаснику было необходимо, зная «правило Жуковского», помнить о том, что гидродинамический удар при простом закрытии вентиля может привести к разрыву трубы или объёмному воздушно-масляному взрыву. Даже в вузах, готовивших оперативных работников, считалось, что тех, кому предстоит работать «на земле», и тех, кому на транспорте, нужно готовить как специалистов разного профиля.

Вспомним, что начало полётов человека в космос, создание орбитальных станций, медицинские эксперименты на них сделали актуальной новую междисциплинарную профессию – инженер медицинской техники. Чтобы спроектировать медицинский прибор, нужно было иметь и медицинское, и техническое образование. Взаимодействие выстроили МВТУ им. Н.Э. Баумана и Первый Московский медицинский институт имени И.М. Сеченова. Обучение и выпуск специалистов были начаты, хотя новая междисциплинарная специальность появилась в официальном перечне лишь спустя два десятка лет. Этот успешный опыт актуален и по сей день.

structured settlements companies


Изменения соотношения между разными гранями банковской безопасности – общей, экономической и информационной безопасностью – процесс естественный. Тот, кто этого еще не понимает, столкнется с большими проблемами. Старые законы продолжают действовать, но лишь как частный случай более широких, порой противоположных закономерностей. Впрочем, это уже проходили, – при переходе от классической механики к квантовой.

Popular posts from this blog

Как найти заливщика на карту

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли?

Ко мне начал обращаться народ обращается разных категорий

1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса 
2. Реальные мэны, которые льют сразу большую сумму по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личности, берущие реквизиты …

Stop! Before You Sign Up for a Business Credit Card, Read This

Suppose you need assistance financing your new business. You've put $10,000 of your own cash in, and perhaps your folks included another $5,000 – yet you observe that despite everything it won't be sufficient. You run the numbers, and find you require another $5,000 to pay for various stuff throughout the following three months before your clients can coast the business.

Black Hat SEO или бот для скликивания контекстной рекламы

На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ
Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы.  Win32/Patched.P Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET)…

Сналить деньги из банкомата можно набором кода

Каспер и его охотники за призраками в доспехах не так давно обнаружили изъян в защите банкоматов, с помощью которого дроповоды могут снимать крупные суммы денег вообще без карты.

Cлужбы безопасности некоторых крупных банков в странах Европы, Латинской Америки и Азии, в которых дроповоды уже пытались воспользоваться выявленным изъяном начали собственное внутреннее расследование.



Специалисты выяснили, что снять в банкомате наличные можно после введения некоторой комбинации цифр на панели, после чего неразводной дроп может за один подход к банкомату получить 40 банкнот. Кредитная или дебетовая карта при этом вообще не требуется.



Перед тем, как снять таким образом наличные, дроповоду требуется прогрузить в банкомат компьютерный вирус с загрузочного компакт-диска, для этого необходим доступ к внутренним компонентам банкомата. Как дроповодам удается получать этот доступ, специалисты банка пока ещё не пояснили.

Взломщик банкоматов "Тюпкин"

После установки троянской программы в банк…

Залив на карту, BitCoin mining или как ещё можно получать живые деньги в сети

В нынешних компьютерах и смартфонах хранятся живые деньги. Ну, пусть не хранятся, но уж доступ-то к ним вполне себе можно поиметь, причём практически за так! 
Как известно, времена идейных хактивистов давно прошли, в отдельно взятых странах наступил капитализм, и пишут вредоносный код теперь почти исключительно на коммерческой основе именно для того, чтобы скачать деньги с телефона или банковского счёта какого-нибудь лоха. Конечно, идейные люди остались, но они скорее поставщики интересных фишек и способов обхода механизмов безопасности операционной системы Windows, а другие, более ушлые люди реализуют эти наработки в своих творениях для заработка онлайн.

Скачать деньги со карты или счёта лоха можно, так сказать, прямо и косвенно. Одни боты для заработка ориентируются на монетизацию аппаратных ресурсов и вычислительных мощностей конечных пользователей. Сюда относятся: организация прокси- и DDoS-атак, рассылка спама, bitcoin-майнинг, накрутка посещений сайтов (black SEO), переход по р…