Банковская сфера – один из наиболее часто атакуемых мошенниками типов организаций. Киберпреступников интересуют не только остатки на счетах для кражи, но и конфиденциальные данные банковских клиентов, сведения о транзакциях, номера счетов, копии документов и т. д. Также в периметр обязательных требований к информационной безопасности относится защита от изменения и утери данных.
Обеспечение информационной безопасности относится к двум видам банковских данных: нужных для обеспечения основной деятельности финансового учреждения или клиентских данных юридического характера. Оба вида информации требуют надежной защиты. Подмена или кража любого типа данных может привести к серьезным финансовым потерям, несет в себе имиджевые и репутационные риски.
Пути несанкционированного доступа к банковской информации
Чаще всего злоумышленники используют следующие способы получения доступа к информации, хранящейся в банковской системе:
-
Физический доступ. Обычно для этого необходима помощь сотрудника банка, имеющего доступ к нужной информации.
-
Получение доступа к архивам банка. В данном случае целью является на само учреждение, а центр обработки, накопления данных. Именно там данные регулярно архивируются на случай сбоя или глобальной катастрофы.
-
Доступ через права администратора и вредоносное ПО. Злоумышленники все активнее для получения такого доступа используют методы социальной инженерии, атакуют компьютеры потенциальных жертв вне банков (когда работник берет работу домой, например).
-
Специализированный софт, вирусы, шпионы, плагины. Такого рода атакам корпорации сегодня подвергаются миллионы раз в месяц. Даже имея высокопрофессиональную и регулярно проходящую повышение квалификации службу, не удается отразить все угрозы.
Из всего перечисленного самым сложным для организации безопасности является защита от инсайдерской передачи информации. Для этого используется арсенал технологий подбора, отбора, регулярных проверок и мониторинга персонала, осуществляемых собственной службой безопасности и HR-службой. Риски атак по всем остальным направлениям можно существенно снизить, используя надежного и проверенного поставщика ИТ-услуг. Обычно такие провайдеры способны предоставить уровень защиты с использованием облачных технологий даже превышающий организацию собственной системы информационной безопасности.
Аудит 382-П
Одним из лучших способов выяснить реальное положение дел в части безопасности информационной системы банка – проведение аудита 382-П. Это положение Банка России, описывающее обязательные требования для компаний, оказывающих услуги по переводу денежных средств. Банк России требует прохождения аудита не реже 1 раза в 2 года. Защите подлежит следующая информация:
-
о совершенных переводах и остатках средств на счетах;
-
данные о держателях карт и клиринговых позициях;
-
об информации СКЗИ, средствах вычислительной техники, параметрах используемого ПО и др.
В случае несоответствия банка требованиям положения и при возникновении случаев, например кражи средств со счетов клиентов, суды квалифицируют инциденты в пользу клиента банка. Сама банковская организация в этом случае обязуется возместить потери клиенту и получает штраф.
Аудит 382-П можно пройти с привлечением специализированной организации, лицензированной регулятором. При прохождении аудита сотрудники оценивают степень обеспечения информационной безопасности в соответствии с требованиями положения и уровнем развития ИТ в мире. Заказчик получает не только срез по текущему положению дел, но и рекомендации по улучшению информационной безопасности. В зависимости от масштабов и сложности организации, сроки проведения аудита 382-П могут составлять от нескольких недель до 1-2 месяцев.
Заключение
Обеспечение информационной безопасности в банковской сфере – одно из приоритетных направлений работы в отрасли. Это продиктовано требованиями регулятора и судебной практикой. Помочь в достижении нужного уровня защиты клиентских и собственных банковских данных могут профессиональные организации и поставщики ИТ-услуг. Работая с ними, финансовые организации также получают экспертизу и лучшие мировые практики.
