Анализ проблем и перспектив банковского сектора РФ

Стоит отметить, что порой  понятие «процессного» подхода  перерастает в настолько сложную  бюрократическую процедуру, что  не остается места самому действию. Важно понимать, что качество внедряемой процедуры напрямую зависит от степени ее выполнимости, а чрезмерно сложные действия сотрудники в лучшем случае будут выполнять только формально, «для галочки».

Идея комплексного подхода внешне выглядит достаточно просто и заключается в рациональном сочетании рассмотренных ранее и в статье различных организационных и программно-технических мер и средств с учетом требований действующих нормативно-правовых и нормативно-технических документов. При создании комплексной системы необходимо защищать информацию во всех уровнях/фазах ее существования.

Если рассмотреть архитектуру  систем дистанционного обслуживания, можно условно выделить несколько  основных уровней: программное обеспечение (ПО) клиента, прикладное ПО, системное  ПО (web-сервер, СУБД, операционная система) и сетевая инфраструктура, физическое размещение и пользователи.

В ходе обеспечения безопасности систем ДБО необходимо проработать  защитные механизмы на всех уровнях. При этом их реализация в каждом случае должна определяться индивидуально  в зависимости от типа взаимодействия и функциональности системы.

Безопасность «клиентской  стороны»  – головная боль специалистов по информационной безопасности. Причины тут очевидны: сторона клиента априори считается не доверенной, а навязывание требований по безопасности противоречит пожеланиям бизнеса в максимально простом использовании систем на всех популярных платформах. Основной мерой защиты в данном случае выступает двухфакторная аутентификация (одноразовые пароли, sms-код, значение криптокалькулятора, криптотокен), позволяющая противодействовать зловредному ПО, осуществляющему кражу аутентификационных данных. Также все чаще банки разрабатывают для клиентов обучающие программы, освещающие основные вопросы информационной безопасности и противодействия мошенничеству. Однако, несмотря на все предпринимаемые меры, атаки на клиентов активно осуществляются злоумышленниками и являются одним из самых распространенных способов компрометаций.

Отдельного внимания заслуживают клиенты мобильных  средств, активно внедряемые в последнее  время. Современные мобильные устройства в силу своей популярности находятся под пристальным вниманием исследователей, что отражается в периодических сводках вновь обнаруженных уязвимостей как системного, так и прикладного ПО. Тем не менее, это не заставляет разработчиков мобильных приложений уделять повышенное внимание безопасности в ходе проектирования и реализации приложения и, как показывает практика, использовать уже имеющиеся стандартные методы защиты.

Безопасность прикладного  ПО. Уязвимости прикладного программного обеспечения также популярны среди взломщиков банковских систем. Несмотря на множество ресурсов, которые освещают методы компрометации и популярные недостатки, возникающие при разработке программных продуктов, уровень знаний в области безопасного программирования остается достаточно низким, а процессы разработки включают требования по безопасности лишь в редких исключениях.

Опираясь на современные  тенденции, следует отметить, что  обеспечение безопасности в программных  продуктах – уже не дополнительный плюс, а одно из основных требований бизнеса. Первым шагом к повышению уровня безопасности разрабатываемого ПО может стать внедрение процессов обучения разработчиков, безопасного программирования, анализа исходного кода и тестирования безопасности, а также независимый анализ и контроль защищенности разработанных продуктов.

Безопасность системного ПО и сетевой инфраструктуры. Стальная массивная дверь с мощным замком глупо смотрится в стене, сколоченной из гнилых досок. Так и самое защищенное приложение, работающее в среде операционной системы с критичными уязвимостями, на web-сервере, подверженном DOS-атаке или использующем СУБД с правом доступа удаленных пользователей на основании данных, установленных по умолчанию, будет не в состоянии противостоять действиям злоумышленника.

Обеспечение безопасности систем, на базе которых работает система  дистанционного обслуживания, а также  всех смежных систем, прямо или  косвенно влияющих на уровень исходной защищенности, не менее важно, чем  защита самого прикладного ПО. Настройка  безопасности должна быть не разовым явлением, выполненным на усмотрение администратора, а процессным явлением, обеспечивающим актуализацию и постоянство конфигураций всех типов системных компонентов.

Физическая безопасность и пользователи системы. Последним по списку, но не по значению идет обеспечение безопасности физического окружения. Нет смысла осуществлять настройку безопасности всех компонентов, строить сложную систему защиты информации, если злоумышленник может получить доступ непосредственно к аппаратным компонентам системы. Бесполезно защищаться от DOS и DDOS атак при отсутствии в серверной комнате должного кондиционирования и системы пожаротушения, приводящем к глобальному «отказу в обслуживании».

Также нельзя забывать о  сотрудниках, имеющих легитимный доступ к системе. Часто именно невнимательные действия сотрудников, действующих абсолютно без корыстных намерений, приводят к утечкам данных и компрометации системы. Простой и надежной мерой является периодическое обучение пользователей, наглядная демонстрация последствий пренебрежительного обращения с защищаемой информацией и популярных методов мошенничества.

Оценивая и обеспечивая  уровень защищенности систем банковского  обслуживания, часто рассматривают  только непосредственно само прикладное ПО. По-настоящему же полную картину можно увидеть, только если оценивать систему на всех уровнях, как текущий уровень обеспечения безопасности, так и поддерживающие процессы.

Заключение

В данной работе были рассмотрены особенности технологии  дистанционного банковского обслуживания (ДБО), преимущества ДБО и причины появления новых источников банковских рисков, связанных с его внедрением в кредитных организациях. Рассмотрены вопросы возрастания операционного риска, обеспечения информационной безопасности и противодействия отмыванию денег в условиях ДБО. Более подробно была раскрыта проблема обеспечения информационной безопасности (ИБ) систем ДБО, связанных с техническим аспектом, принципах ИБ, процедурах и мерах, обеспечивающих ИБ.

За последние годы система дистанционного банковского  обслуживания превратилась из дополнительного  в основной инструмент предоставления услуг.  К такому результату  привели несколько процессов. Это и общее распространение он-лайн технологий, предоставляющих пользователям максимальную мобильность и удобство. И перевод всех доступных операций «в сеть», что позволяет существенно снизить затраты на оказание услуг в отделениях банка. Положительный как для клиента, так и для банка сценарий закономерно привел к тому, что дистанционное обслуживание  (ДБО) сегодня у банков в приоритете.

Не секрет, что за все  надо платить, и говоря о ДБО, платой за столь существенные преимущества от его использования, будет являться необходимость решения сложных и масштабных вопросов, связанных с обеспечением информационной безопасности (ИБ).

На сегодняшний день одним из основных банковских рисков является операционный риск, так как все больше бизнес-процессов в кредитных организациях выполняются с помощью программных продуктов и с  минимальным участием человека; насколько серьезно будут относиться в банках к управлению операционным риском, настолько будет стабильна не только отдельно взятая кредитная организация, но и банковская система в целом.

В вопросе обеспечения безопасности дистанционного обслуживания важно делать особый акцент на двух принципах: процессном подходе и комплексном обеспечении информационной безопасности, обеспечивающие ее непрерывность, рациональность сочетаний средств и методов на всех уровнях Системы.

Использование коммерческими банками технологий ДБО, в частности электронного банкинга, требует не только пересмотра системы управления банковскими рисками в каждой отельной кредитной организации, но и совершенствования системы надзорного регулирования со стороны государственных органов.