Основные источники угроз безопасности информации в компьютерных системах — мошенничество, саботаж персонала, действия профессиональных хакеров, ошибки в деятельности человека и сбои оборудования системы..
Наиболее распространенная техника банковского мошенничества, получившая за рубежом название «салями», состоит в аккумулировании остатков денежных сумм, образующихся за счет округления счетов и процентных операций по ним.
Акты саботажа могут возникать в результате недовольства работников своим служебным и материальным положением, а также психическими расстройствами. Своими действиями они могут уничтожить или исказить информацию, привести к потере способности нормального функционирования компьютерной системы и другим диверсиям. Широко известным актом саботажа являются действия системного программиста Волжского автозавода в 1984 году. Он ввел в программу компьютера, управляющего подачей узлов на сборочный конвейер, команды, которые при определенных условиях (достижения заданного времени) приводили к сбоям системы управления. Устраняя искусственно созданные им же сбои, он ставил целью выглядеть незаменимым перед руководством для получения материальных преимуществ.
|
|
В последние годы угрозу безопасности компьютерным системам создают профессиональные хакеры. Это наиболее квалифицированные нарушители, прекрасно знающие вычислительную технику и системы связи. Их цель — выявить и преодолеть систему защиты, изучить возможности вычислительной системы и затем удалиться, самоутвердившись в возможности достижения цели. Обнаружить их действия сложно. Примером действия профессионального хакера являются события, происшедшие 21 ноября 1988 года в США. В этот день аспирант Корнельского университета ввел в вычислительную сеть министерства обороны США компьютерный вирус, обладающий способностью обхода механизма защиты сети. В результате сеть 24 часа была парализована.
Современные методы несанкционированного доступа к информации в компьютерных системах позволяют перехватывать пароли и ключи пользователей, извлекать интересующие нарушителя сведения из остаточной информации с магнитных носителей, получать доступ к открытому тексту шифрованной информации и т. п. Например, для перехвата идентификаторов и паролей применяются специальные программные закладки, которые записываются в память ЭВМ. Эти закладки автоматически активизируются при каждом сеансе работы пользователя системы и запоминают введенные пользователем ключевые данные. Другая разновидность этих средств позволяет накапливать или передавать открытый текст информации в момент ее дешифрования для обработки и просмотра.
|
|
Как правило, размах компьютерных преступлений зависит от степени компьютеризованности банка. Банки, использующие распределенные вычислительные сети, подвержены более широкому спектру. угроз безопасности информации. В качестве основных факторов, в определенной степени способствующих расширению масштабов компьютерной преступности, необходимо отметить следующие:
— использование вычислительной техники без всестороннего ее анализа с позиций обеспечения защиты информации;
— недостаточное выделение средств для реализации мер по защите информации;
— отсутствие поэтапной реализации плана мероприятий по защите информации в сочетании с таким же контролем;
— отсутствие взаимосвязанности принимаемых мер (программного, организационно-технического, законодательного характера) по борьбе с компьютерными преступлениями.
Анализ состояния защищенности банковской информации в западных странах показал, что эти вопросы американские и европейские банки решали одновременно с вопросами стандартизации систем кодирования банковских операций и финансовых сообщений. Создав в 1973 году Общество СВИФТ, западные банки — члены СВИФТ перешли на международный стандарт использования компьютеров и средств телекоммуникаций в банковском деле, обеспечивающий более надежную, быструю и безопасную систему передачи информации. Средства обеспечения безопасности СВИФТ контролируют процедуры подключения терминалов к сети, обеспечивают регистрацию и шифрование сообщений, контролируют достоверность сообщений и источника информации.
Ряд ведущих западных банков защищает главные компьютеры своих сетей специальными устройствами. Эти устройства, выполняющие роль сетевого контролера, управляют модемами, проверяют телефонные номера абонентов, подключающихся к сети, регистрируют успешные и безуспешные попытки соединения с центральной ЭВМ.
Защита банковской информации, связанная с управлением потоками денежных средств, имеет комплексный характер и крайне сложна. Общая структура проблемы защиты информации представлена на рис. 5. Из рисунка видно, что на любом информационном объекте в обработке информации участвуют: человек как генератор, источник, анализатор и накопитель информации; информационная технология, т. е. совокупность процедур закрепления информации на материальном носителе и технологий работы с этими носителями (учет, сортировка, копирование, уничтожение и т. д.); собственно носители информации, организованные в базы данных, архивы и фонды.
Важнейшее место в системе защиты информации занимает человек. Его особенности как субъекта информационных отношений заключаются в том, что при работе с любой информацией, носителями и технологиями он произвольно или непроизвольно накапливает информацию в памяти и становится ее носителем, в результате чего происходит постоянное многократное размножение исходной информации. При этом, в силу воздействия ряда социально-психологических факторов, человек может совершать осознанные или неосознанные действия, приводящие к выходу информации из-под контроля и нанесению ущерба ее владельцу. Причины таких действий могут быть совершенно различные: от неудовлетворенных личных амбиций до осознанных противоправных действий. Согласно западной статистике, свыше 60% всех преступлений в банковской сфере совершаются персоналом банков.
Обеспечение безопасности информации представляет в связи с этим крайне сложную задачу и требует специфических организационных, режимных, охранных и кадровых мероприятий, а порой — поддержки со стороны правоохранительных органов.
|
|
В соответствии с требованиями комплексной защиты обеспечение безопасности включает: комплекс организационно-технических мер по защите информационной техники (ЭВМ, средств и систем связи, локальных вычислительных сетей), организационно-режимных мер по охране помещений и фондов носителей информации, меры физической охраны наиболее важных лиц (руководителей и носителей информации), а также меры по работе с кадрами, включая профилактические мероприятия (психологическое тестирование, анализ поведения, оперативная поддержка).
Ключевые принципы обеспечения безопасности предусматривают:
— предмет защиты, то есть перечень сведений, утрата которых может нанести ущерб банку, его партнерам или клиентам. Перечень сведений, которые не могут составлять коммерческую тайну, определен Постановлением Правительства РСФСР от 5.12.91г. № 35;
— необходимость придания защищаемой информации статуса официально-документированной информации, когда носитель информации учтен, и на нем должна быть представлена специальная метка конфиденциальности;
— обеспечение безопасной технологии обработки информации, исключающей ее утрату, утечку или искажение;
— организация и поддержка режима доступа в помещения банка, к ресурсам ЭВМ, картотекам базам данных. Все мероприятия должны иметь эффективную поддержку организационно-режимными, кадровыми и охранными мероприятиями.
В банковской сфере происходит стремительное внедрение ЭВМ для обработки информации. Стандартные программные средства ЭВМ и предлагаемое на российском рынке банковское программное обеспечение, как правило, дают возможность доступа к любым данным,ихизменения, копирования или уничтожения. На практике это означает возможность изменения, например, остатков на счетах клиентов как по текущему дню, так и по данным, находящимся в архивах. Необходимость проведения таких операций возникает, например, при ошибочном вводе данных или сбое системы. В то же время, одновременно возникают возможности бесконтрольного, скрытого и бесследного проведения этих операций, т. е. создается реальная предпосылка для копирования (хищения), модификации или уничтожения данных.
|
|
Исключить подобные явления можно только путем использования средств защиты от несанкционированного доступа, которые обеспечивают:
— учет и регистрацию информации;
— контроль операций по чтению, обработке, модификации, копированию и уничтожению данных;
— контроль доступа персонала к информационным ресурсам;
— регистрацию всех действий персонала при работе с информацией.
Кроме того, журналы регистрации пользователей, которые ведет
система защиты от несанкционированного доступа (НСД), являются основным материалом для проведения расследований в случае возникновения конфликтных ситуаций.
Важный элемент организации системы защиты — формулирование максимально точной модели нарушения, на основании которой строится система защиты и устанавливается уровень безопасности информации, который эта система обеспечивает. Естественно, для каждого направления защиты формируется своя обобщенная модель нарушителя с учетом его профессиональной подготовки, устремлений, каналов доступа, а также условий размещения, состояния помещений и внешнего окружения защищаемого объекта. В зависимости от конкретной операции модель нарушителя, а следовательно, и угрозы информации серьезно изменяются.
Так как в банке постоянно циркулируют потоки наличных денег и их безналичного эквивалента, условно можно выделить следующие типовые области деятельности банка, требующие специфического подхода к решению задачи защиты банковской информации:
1. Проведение операций «банк — клиент». На этом уровне безопасность безналичных финансовых расчетов обеспечивается:
— зашифрованной передачей платежных документов;
— достоверностью передаваемых документов методами «электронной подписи», что требует признания юридической силы используемого оборудования и установления гарантий от возможного ущерба.
Безопасность наличных финансовых средств и связанных с ними расчетов обеспечивается традиционными средствами.
2. Внутрибанковская обработка информации. На этом уровне наиболее важными задачами защиты являются:,
— обеспечение защиты информации от несанкционированного доступа с целью ее копирования (хищения), модификации или уничтожения;
— обеспечение учета, регистрации и хранения документов;
— обеспечение управляемого и контролируемого доступа сотрудников к базам и банкам данных, а также в помещения банка.
3. Межбанковский обмен (подуровни обмена банк — банк, банк — расчетно-клиринговый центр, банк — расчетно-кассовый центр). На этом уровне защита обеспечивается:
— оперативной передачей зашифрованных документов адресату;
— «электронной подписью» документов;
— высокой достоверностью передаваемых сообщений.
4. Безналичные расчеты населения с использованием кредитных карточек. Внедрение системы требует создания единой вычислительной сети, объединяющей автоматизированные банковские системы.