Пенсионный фонд больше не заплатит фиксированных пенсий

Минфин предлагает финансировать фиксированную часть пенсии из бюджета

Преходящий профицит

Преходящий профицит

Почему оздоровились региональные бюджеты

Греция договорилась с МВФ, но не с ЕС

Греция может договориться с ЕС в течение нескольких недель

Всемирный банк пессимистичен

Всемирный банк ухудшил прогноз экономики РФ

Россия и Турция сняли ограничения

Россия и Турция будут развивать торговлю

Вода по цене золота

Сколько зарабатывают на самом прозрачном рынке

Как долго простоит подрубленный рубль?

Как долго простоит подрубленный рубль?

В мае рубль уже намаялся. И ведь намается еще. 4 мая резко упала нефть – рубль пошатнулся,

Курортный сбор может не состояться

Курортный сбор снизит конкурентоспособность российских курортов

Нефтяной парадокс

Нефтяники обнадежили спекулянтов

По лицу их узнаете

В России вводится система распознавания клиентских образов

Трудовое лето

Многие планируют обойтись без отпуска

Может ли бургер быть люксовым?

В России бургер – булочка с куском мяса – справедливо ассоциируется с быстрым и недорогим

Такие разные индексы

Покупательная способность в стиле «популярной классики»

Дефляция на марше

На 1,5% за апрель

«Финансовая газета» - старейшее, а теперь самое современное экономическое издание. Это и аналитический еженедельник, и электронный портал, и база обновляемых нормативных документов, и площадка, на которой каждый может стать соавтором будущей системы экономического регулирования.



Вы можете оформить подписку на «Финансовую газету», получить доступ к информационно-справочной системе: «Документы, комментарии, консультации»

High Tech и связь   25.11.2011 20:20:53

Банки тоже ошибаются

Банки тоже ошибаются

Уровень защиты при работе распределенных банковских ИТ-систем — достаточно важный показатель эффективности финансово-кредитных учреждений. Правда, представители компаний, работающих на рынке информационной безопасности, уверены, что значительную часть рисков можно предотвратить с помощью административных методов регулирования.

Николай Федотов, главный аналитик Infowatch

Есть такой закон. Любое усиление безопасности снижает удобство использования или функциональность; любое повышение удобства или функциональности снижает безопасность.

В половине случаев, когда ведут речь об ошибках в защите, на поверку оказывается, что дело в разном понимании упомянутого баланса: между функциональностью и защищённостью. То есть, это не ошибки, а иная оценка стоимости рисков.

Банкиры отлично умеют считать деньги. Не только свои, но и чужие. Именно с этим подсчётом и связаны их ошибки. А также другие «ошибки». За деньгами им трудно видеть другие, немеркантильные интересы и соображения. Деньгами же измеряются последствия инцидентов. Когда деньги невелики или когда они чужие, финансисты не видят у себя ошибок, а видят прагматическое управление рисками. А в глазах профессионального безопасника там — вопиющее нарушение и безалаберность.

Позвольте привести один пример. Несколько российских банков для приёма платежей на карточный счёт клиента требуют указывать ФИО и номер карты (например, вот так: http://www.bm.ru/ru/personal/cards/requisites_for_non_cash/). То есть, предполагается, что держатель банковской карты должен сообщать эти конфиденциальные данные своим клиентам, покупателям, плательщикам, должникам — лицам, которые не могут быть связаны соглашением о неразглашении. До полного набора кардера (данных, позволяющих украсть деньги) не хватает лишь срока действия карты, который легко угадать (всего 20–30 возможных значений).

Казалось бы, ошибка и уязвимость. Но не всё так просто. Атрибуты банковских карт обращаются на чёрном рынке и пригодны для криминальной эксплуатации тысячами, в крайнем случае — сотнями. Ради одного номера никакой злоумышленник не будет предпринимать действия, тем более — ещё и угадывать срок действия. Это нерентабельно. В то же время, удобство налицо. Вкладчику не надо хранить многозначный персональный номер счёта или узнавать его, когда потребуется получить перевод. Посмотрел на свою карточку — там все необходимые данные.

Тем не менее, многие небанковские защитники информации, привыкшие, что кардеры охотятся за номерами кредиток, упорно считают эту практику ошибкой и уязвимостью. И зазря поднимают тревогу среди пользователей.

Илья Сачков, генеральный директор Group-IB

Наверное, сейчас было бы логичным начать рассказывать о полезных программах, оборудовании, комплексных решениях. Все это сопроводить показательными примерами и меткими замечаниями, мол, а вот если бы внедрили такую систему, все было бы хорошо.

Такое начало уже было бы своего рода типичной ошибкой. Потому что, в первую очередь, необходимо говорить не о технической стороне вопроса, а об организационных аспектах обеспечения информационной безопасности финансового сектора экономики.

Большинство банков сегодня не жалеют средств на создание специализированных служб и внедрение комплексных систем защиты. При этом основное внимание уделяется исключительно пресечению угроз, нацеленных на ИТ-инфраструктуру банка. Но не его клиентов.

Такая ситуация связана с консервативным подходом финансово-кредитной сферы к обеспечению безопасности вообще и информационной в частности. Он предусматривает, что каждая сторона обладает своей зоной ответственности. Так, банк отвечает только за защиту того, что доверено ему на хранение. И если раньше он сообщал клиентам о том, что располагает самым надежным сейфом, то теперь — что располагает самой защищенной ИТ-инфраструктурой.

Данный подход по ряду причин удобен как службам безопасности, так и руководству банков. Первые четко представляют, где заканчивается периметр, который необходимо защищать приоритетно; вторые — понимают, на что были потрачены инвестиции, прогнозируя увеличение ROI.

Однако, как я уже говорил в прошлый раз, большинство атак идет в отношении клиентов банка. Они теряют деньги, а банк, как следствие, репутацию, так как нарушаются доверительные отношения. Отток клиентуры напрямую влияет на состоятельность банка и его капитализацию.

И здесь мы видим главную типичную ошибку финансово-кредитных учреждений в обеспечении компьютерной безопасности. Защищая только собственную инфраструктуру, избежать инцидентов не получится. Безопасность современной банковской сферы вышла далеко за пределы отделений и филиалов, перейдя в плоскость виртуального пространства. Поэтому банкам следует начать активно обращать внимание на разработку механизмов повышения уровня защищенности своего клиента в качестве одного из стратегических направлений развития бизнеса.

High Tech и связь   25.11.2011 20:20:53   

Тэги:

Написать комментарий

  Пожалуйста, зарегистрируйтесь или войдите.