Существует распространенное мнение о том, что вирусы и антивирусы — плоды одних и тех же создателей. Логично предположить, что компания, ставящая своей целью создание защищенных корпоративных сетей, должна иметь представление о двух сторонах медали. Для того чтобы предотвратить взлом, надо знать, как взломать. Компания «АНДЭК» является молодым и прогрессивным игроком IT-рынка. Ее сотрудники — профессионалы своего дела во всех областях, связанных с защитой информации. Мы публикуем интервью нашего гостя, руководителя департамента специальных исследований компании «АНДЭК» ДмитриЯ Левашева.
«Б. Т.»: Скажите, в рамках работы в компании «АНДЭК» можно назвать вас «легальным хакером»?
Дмитрий Левашов: Дело в том, что в понятие «хакер» вкладывают множество смыслов, зачастую противоречащих друг другу. К тому же обычная публика, которая не соприкасается с тематикой IT-безопасности, вообще окружила это понятие неким ореолом таинственности и загадки — будто бы это люди, которые сидят в каких-то подвалах, окруженные хитрой техникой и годами не выходящие из Сети. Их жизнь сосредоточена в виртуальном пространстве, и они не мыслят своего существования без него.
Естественно, это — заблуждение. Возможно, в вашем офисе за соседним компьютером сидит опытный хакер, но вы никогда не узнаете этого. С виду он — обычный человек. Термина «легальный хакер» нет, зато есть другой, отражающий, как я надеюсь, смысл вашего вопроса, — whitehat. Это определение относится ко всем, кто занимается IT-безопасностью профессионально и следует определенной этике и правилам, определяющим, например, порядок уведомления о присутствии уязвимостей в каком-либо программном обеспечении.
«Б. Т.»: Каковы ваши основные задачи в компании «АНДЭК»?
Д. Л.: Департамент специальных исследований компании «АНДЭК», в котором я работаю, занимается исследованиями информационных инфраструктур компаний-клиентов, в том числе и банков, на предмет обнаружения слабых мест. По итогам исследований мы готовим пакет документов, где подробно описываются типы и параметры обнаруженных уязвимостей, а также рекомендации по их устранению. По требованию заказчика мы можем провести демонстрацию атаки на информационную систему.
Мы уделяем пристальное внимание вопросам развития IT-инфраструктуры в будущем и разрабатываем стратегию, нацеленную на дальнейшую перспективу. Наша задача — не только решить текущие проблемы, но и построить систему безопасности таким образом, чтобы минимизировать потенциальные риски в будущем.
«Б. Т.»: Как вы считаете, почему банки являются относительно легкой добычей для злоумышленников и хакеров?
Д. Л.: Я бы не сказал, что банки — легкая добыча. Просто глобальная компьютеризация предъявляет новые требования к защите информационной инфраструктуры банка. Например, удаленное управление счетом через Интернет — это дополнительное конкурентное преимущество, однако, с другой стороны, оно же является фактором риска для деятельности банка.
«Б. Т.»: Какова основная задача обеспечения защиты информационных ресурсов для банков и кредитно-финансовых организаций?
Д. Л.: Важнейшей проблемой для финансовых организаций является управление доступом пользователей и операторов к хранимой и обрабатываемой информации. Наиболее простой принцип реализации системы информационной безопасности — запретить то, что не разрешено явным образом. Для этого необходимо в рамках документации, регламентирующей права доступа, определить разрешенный набор действий для клиентов, операторов, системных администраторов и сотрудников отдела безопасности. Например, в рамках данного документа необходимо регламентировать, что терминал, с которого производятся те или иные операции с конфиденциальной и финансовой информацией, не должен иметь доступа ни в Интернет, ни в локальную сеть общего пользования.
«Б. Т.»: Как это должно быть реализовано с технической точки зрения?
Д. Л.: На техническом уровне управление доступом должно быть реализовано как последовательный набор уровней защиты. Практика показывает, что не стоит полагаться на какой-либо единственный программный или аппаратный комплекс обеспечения информационной безопасности. Оптимально, если используются сертифицированные средства разграничения доступа, хотя инсталляция и внедрение данных средств зачастую трудно реализуемы. Это объясняется тем, что параметры сертификации разрабатывались с учетом жестких требований, предъявляемых к военным системам.
Столь же важную роль играет криптостойкое шифрование хранимых и передаваемых данных, несмотря на то, что обратной стороной внедрения криптографии может быть сложность распространения ключей и снижение быстродействия системы.
«Б. Т.»: На какие действия сотрудников банков следует обращать пристальное внимание?
Д. Л.: Особое внимание следует уделять контролю за действиями пользователей системы, реагируя на любую аномалию в их работе с конфиденциальной информацией. Например, система безопасности должна среагировать в том случае, если операционист начинает необычно интенсивно работать с клиентскими данными или игнорирует предупреждения о превышении полномочий.
«Б. Т.»: В чем, по вашему мнению, состоит специфика обеспечения информационной безопасности в банковских учреждениях?
Д. Л.: Специфика защиты информации в банковских учреждениях заключается в четырех следующих слагаемых.
Ценность информации. На основании хранимой и обрабатываемой в банковских системах информации могут производиться выплаты, открываться кредиты или переводиться значительные денежные суммы, что делает банк привлекательным объектом для криминала.
Конкурентоспособность предоставляемых услуг. Необходимо понимать, что единственный неизолированный компьютер, подключенный к сети Интернет, подвергает риску всю информационную инфраструктуру банка. Это значительно упрощает задачу злоумышленника. В случае успешной атаки можно попытаться восстановить потерянные данные, но восстановить утраченную репутацию для банка практически невозможно.
Конфиденциальность данных клиента. Банку необходимо гарантировать конфиденциальность коммерческой тайны своих клиентов, которая, в свою очередь, также представляет собой ценность для потенциальных злоумышленников.
Безотказность и надежность информационной системы. Устойчивость к сбоям и атакам на отказ в обслуживании, минимизация времени простоя и дублирование критических компонентов информационной системы — все это налагает жесткие требования к организации защиты информационной системы банка. Иными словами, стратегия информационной безопасности банковской деятельности обусловлена, прежде всего, предъявляемыми к ней требованиями, специфическим характером угроз и собственно деятельностью банков, которые зачастую вынуждены предоставлять простой и удобный доступ к управлению счетом (в том числе и через Интернет) в силу конкуренции на рынке банковских услуг.
«Б. Т.»: Если система информационной безопасности банка построена в соответствии с перечисленными вами требованиями, означает ли это, что банк надежно защищен от атак хакеров?
Д. Л.: Не совсем так. Атаки на информационные системы — это не только атаки на собственно компьютеры. В процессе «виртуального нападения» атакующие могут использовать различные техники — от социальной инженерии до съема информации по электромагнитным каналам. Я хочу подчеркнуть: меры обеспечения безопасности должны не только концентрироваться на защите компьютерной информации, но и учитывать другие составляющие процесса информационного обмена, такие как средства телефонной связи, КПК и пр.
«Б. Т.»: Скажите, в вопросах приоритетов защиты банковской сети какому критерию вы отвели бы первое место?
Д. Л.: Нередко банковские организации не имеют политики реагирования на возможный инцидент, что в случае обнаружения последствий успешной атаки может привести к дезориентации и неспособности эффективно устранить последствия нападения. Необходимо разработать ряд организационно-административных и технических мероприятий для предупреждения возможной атаки и реагирования на свершившийся инцидент.
Организационно-административный комплекс мер должен включать в себя разработку нормативной документации, регулирующей вопросы информационной безопасности, должностных инструкций, регламентов и т. д.
«Б. Т.»: Что еще является приоритетным?
Д. Л.: Безусловно, это — отлаженный механизм дублирования и оперативное восстановление информации после отказов системы. Защита информации от разрушения должна достигаться созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
«Б. Т.»: И последний вопрос. Если банк решил обратиться к компании, занимающейся обеспечением информационной безопасности, по каким параметрам он должен выбирать?
Д. Л.: При обращении к компании, занимающейся обеспечением информационной безопасности, прежде всего следует обратить внимание на профессионализм подхода, круг решаемых подобной компанией вопросов и понимание специфики поставленной задачи.
Финансовой организации должен быть предложен единый и взаимосвязанный комплекс мер, учитывающий все аспекты деятельности клиента, связанной с хранением или передачей информации, а собственно сами работы должны проводиться сертифицированными специалистами, имеющими опыт проведения подобных мероприятий.
ЧИТАЙТЕ ТАКЖЕ:
Классика сбережений - вклад в банке. Услуги на рынке валютных обменов FOREX. Дилинговые центры FOREX. Стратегии управления инвестиционным портфелем. Оптимальный выбор — фьючерсы. Отечественный рынок производных финансовых инструментов. Есть ли вечные ценности или имеет ли смысл инвестировать в золото, серебро, платину и платиноиды? Модели ипотечного кредитования и перспективы их применения. Зарубежная недвижимость. Домик у моря. Инфляция или укрепление рубля: какое из зол меньше? Золото как инструмент оптимизации инвестиционного портфеля.Ипотека. Сегодня это слово у всех на слуху. Однако далеко не все знают...
Что должен знать клиент, прежде чем заключить договор с банком
Первичный и вторичный рынки ценных бумаг
Ипотека: монополия или конкуренция
425 000 000 клиентов Facebook, которые не приносят доход
Инновационные программы должны быть подвергнуты "усушке"
Виды инвестиционных качеств ценных бумаг и методы их оценки
Лучше банка может быть только… брокер!
Патентная неизбежность для малого бизнеса
Информация, размещенная на сайте, получена из открытых источников, не претендует на полноту, актуальность и гарантированную достоверность, не предоставляется с целью оказания консультативных услуг и не является публичной офертой к осуществлению каких-либо инвестиций. Редакция проекта и авторы текстов не несут ответственности за возможные убытки, связанные с использованием содержащейся на страницах портала bankmib.ru информации. Финансовое инвестирование сопряжено с повышенным риском, в связи с чем инвесторам необходимо провести самостоятельный анализ ситуации и объектов инвестирования перед вложением средств.