Кипящий градус расслоения

Что главное в развитии экономики? Те или иные, положительные или отрицательные темпы роста,

AFP: глава Starbucks подал в отставку

AFP: глава Starbucks подал в отставку

Starbucks является самым крупным владельцем кофеен в мире

Настройка налоговой системы

Необходимо в 2017 году принять все соответствующие поправки к законодательству

Объединение идеологий

Разногласий у Минфина и МЭР по прогнозам социально-экономического развития не будет

ОПЕК смогла урезаться

Основное бремя сокращения добычи ляжет на Саудовскую Аравию, Катар, Кувейт и ОАЭ

Красота сильнее кризиса

Российский рынок косметических препаратов стал восстанавливаться одним из первых. Компания

Фонд развития IT

Фонд развития IT

По замыслу министерства фонд будет являться некоммерческой организацией

Добыча нефти в России снизилась

Общая добыча нефти и конденсата в РФ в ноябре составила 45,884 миллиона тонн

"Турецкий поток" получил поддержку

Планируется, что проект будет закончен в декабре 2019 года

Привлекательный порт

DP World готов инвестировать в Россию 2 млрд долларов

Деньги — двигатель производительности

Самым лучшим мотиватором, способным подвигнуть сотрудников компании на совершение трудовых

Микрофинансирование. Революция

Микрофинансирование. Революция

16—18 ноября 2016 в Санкт-Петербурге состоялась юбилейная XV Национальная конференция по

Награды предпринимателям

16 ноября 2016 г. в Санкт-Петербурге состоялась торжественная Церемония награждения

Инфляция по-венесуэльски

100 венесуэльских боливаров на черном рынке стоят меньше 10 центов США

«Финансовая газета» - старейшее, а теперь самое современное экономическое издание. Это и аналитический еженедельник, и электронный портал, и база обновляемых нормативных документов, и площадка, на которой каждый может стать соавтором будущей системы экономического регулирования.



Вы можете оформить подписку на «Финансовую газету», получить доступ к информационно-справочной системе: «Документы, комментарии, консультации»

High Tech и связь   25.11.2011 20:20:53

Банки тоже ошибаются

Банки тоже ошибаются

Уровень защиты при работе распределенных банковских ИТ-систем — достаточно важный показатель эффективности финансово-кредитных учреждений. Правда, представители компаний, работающих на рынке информационной безопасности, уверены, что значительную часть рисков можно предотвратить с помощью административных методов регулирования.

Николай Федотов, главный аналитик Infowatch

Есть такой закон. Любое усиление безопасности снижает удобство использования или функциональность; любое повышение удобства или функциональности снижает безопасность.

В половине случаев, когда ведут речь об ошибках в защите, на поверку оказывается, что дело в разном понимании упомянутого баланса: между функциональностью и защищённостью. То есть, это не ошибки, а иная оценка стоимости рисков.

Банкиры отлично умеют считать деньги. Не только свои, но и чужие. Именно с этим подсчётом и связаны их ошибки. А также другие «ошибки». За деньгами им трудно видеть другие, немеркантильные интересы и соображения. Деньгами же измеряются последствия инцидентов. Когда деньги невелики или когда они чужие, финансисты не видят у себя ошибок, а видят прагматическое управление рисками. А в глазах профессионального безопасника там — вопиющее нарушение и безалаберность.

Позвольте привести один пример. Несколько российских банков для приёма платежей на карточный счёт клиента требуют указывать ФИО и номер карты (например, вот так: http://www.bm.ru/ru/personal/cards/requisites_for_non_cash/). То есть, предполагается, что держатель банковской карты должен сообщать эти конфиденциальные данные своим клиентам, покупателям, плательщикам, должникам — лицам, которые не могут быть связаны соглашением о неразглашении. До полного набора кардера (данных, позволяющих украсть деньги) не хватает лишь срока действия карты, который легко угадать (всего 20–30 возможных значений).

Казалось бы, ошибка и уязвимость. Но не всё так просто. Атрибуты банковских карт обращаются на чёрном рынке и пригодны для криминальной эксплуатации тысячами, в крайнем случае — сотнями. Ради одного номера никакой злоумышленник не будет предпринимать действия, тем более — ещё и угадывать срок действия. Это нерентабельно. В то же время, удобство налицо. Вкладчику не надо хранить многозначный персональный номер счёта или узнавать его, когда потребуется получить перевод. Посмотрел на свою карточку — там все необходимые данные.

Тем не менее, многие небанковские защитники информации, привыкшие, что кардеры охотятся за номерами кредиток, упорно считают эту практику ошибкой и уязвимостью. И зазря поднимают тревогу среди пользователей.

Илья Сачков, генеральный директор Group-IB

Наверное, сейчас было бы логичным начать рассказывать о полезных программах, оборудовании, комплексных решениях. Все это сопроводить показательными примерами и меткими замечаниями, мол, а вот если бы внедрили такую систему, все было бы хорошо.

Такое начало уже было бы своего рода типичной ошибкой. Потому что, в первую очередь, необходимо говорить не о технической стороне вопроса, а об организационных аспектах обеспечения информационной безопасности финансового сектора экономики.

Большинство банков сегодня не жалеют средств на создание специализированных служб и внедрение комплексных систем защиты. При этом основное внимание уделяется исключительно пресечению угроз, нацеленных на ИТ-инфраструктуру банка. Но не его клиентов.

Такая ситуация связана с консервативным подходом финансово-кредитной сферы к обеспечению безопасности вообще и информационной в частности. Он предусматривает, что каждая сторона обладает своей зоной ответственности. Так, банк отвечает только за защиту того, что доверено ему на хранение. И если раньше он сообщал клиентам о том, что располагает самым надежным сейфом, то теперь — что располагает самой защищенной ИТ-инфраструктурой.

Данный подход по ряду причин удобен как службам безопасности, так и руководству банков. Первые четко представляют, где заканчивается периметр, который необходимо защищать приоритетно; вторые — понимают, на что были потрачены инвестиции, прогнозируя увеличение ROI.

Однако, как я уже говорил в прошлый раз, большинство атак идет в отношении клиентов банка. Они теряют деньги, а банк, как следствие, репутацию, так как нарушаются доверительные отношения. Отток клиентуры напрямую влияет на состоятельность банка и его капитализацию.

И здесь мы видим главную типичную ошибку финансово-кредитных учреждений в обеспечении компьютерной безопасности. Защищая только собственную инфраструктуру, избежать инцидентов не получится. Безопасность современной банковской сферы вышла далеко за пределы отделений и филиалов, перейдя в плоскость виртуального пространства. Поэтому банкам следует начать активно обращать внимание на разработку механизмов повышения уровня защищенности своего клиента в качестве одного из стратегических направлений развития бизнеса.

http://www.bm.ru/ru/personal/cards/requisites_for_non_cash/). То есть, предполагается, что держатель банковской карты должен сообщать эти конфиденциальные данные своим клиентам, покупателям, плательщикам, должникам — лицам, которые не могут быть связаны соглашением о неразглашении. До полного набора кардера (данных, позволяющих украсть деньги) не хватает лишь срока действия карты, который легко угадать (всего 20–30 возможных значений).

Казалось бы, ошибка и уязвимость. Но не всё так просто. Атрибуты банковских карт обращаются на чёрном рынке и пригодны для криминальной эксплуатации тысячами, в крайнем случае — сотнями. Ради одного номера никакой злоумышленник не будет предпринимать действия, тем более — ещё и угадывать срок действия. Это нерентабельно. В то же время, удобство налицо. Вкладчику не надо хранить многозначный персональный номер счёта или узнавать его, когда потребуется получить перевод. Посмотрел на свою карточку — там все необходимые данные.

Тем не менее, многие небанковские защитники информации, привыкшие, что кардеры охотятся за номерами кредиток, упорно считают эту практику ошибкой и уязвимостью. И зазря поднимают тревогу среди пользователей.

Илья Сачков, генеральный директор Group-IB

Наверное, сейчас было бы логичным начать рассказывать о полезных программах, оборудовании, комплексных решениях. Все это сопроводить показательными примерами и меткими замечаниями, мол, а вот если бы внедрили такую систему, все было бы хорошо.

Такое начало уже было бы своего рода типичной ошибкой. Потому что, в первую очередь, необходимо говорить не о технической стороне вопроса, а об организационных аспектах обеспечения информационной безопасности финансового сектора экономики.

Большинство банков сегодня не жалеют средств на создание специализированных служб и внедрение комплексных систем защиты. При этом основное внимание уделяется исключительно пресечению угроз, нацеленных на ИТ-инфраструктуру банка. Но не его клиентов.

Такая ситуация связана с консервативным подходом финансово-кредитной сферы к обеспечению безопасности вообще и информационной в частности. Он предусматривает, что каждая сторона обладает своей зоной ответственности. Так, банк отвечает только за защиту того, что доверено ему на хранение. И если раньше он сообщал клиентам о том, что располагает самым надежным сейфом, то теперь — что располагает самой защищенной ИТ-инфраструктурой.

Данный подход по ряду причин удобен как службам безопасности, так и руководству банков. Первые четко представляют, где заканчивается периметр, который необходимо защищать приоритетно; вторые — понимают, на что были потрачены инвестиции, прогнозируя увеличение ROI.

Однако, как я уже говорил в прошлый раз, большинство атак идет в отношении клиентов банка. Они теряют деньги, а банк, как следствие, репутацию, так как нарушаются доверительные отношения. Отток клиентуры напрямую влияет на состоятельность банка и его капитализацию.

И здесь мы видим главную типичную ошибку финансово-кредитных учреждений в обеспечении компьютерной безопасности. Защищая только собственную инфраструктуру, избежать инцидентов не получится. Безопасность современной банковской сферы вышла далеко за пределы отделений и филиалов, перейдя в плоскость виртуального пространства. Поэтому банкам следует начать активно обращать внимание на разработку механизмов повышения уровня защищенности своего клиента в качестве одного из стратегических направлений развития бизнеса.

">
High Tech и связь   25.11.2011 20:20:53   

Тэги:

Написать комментарий

  Пожалуйста, зарегистрируйтесь или войдите.