Бюджет 2018-2020 принят

Госдума приняла в третьем чтении закон о федеральном бюджете на 2018 год и плановый период

Москва вышла из кризиса

Доля нефтегазового сектора в экономике Москвы снизилась

«Налог на Google» принес российской казне 7 млрд рублей

Российская казна получила 7 млрд руб. благодаря так называемому «налогу на Google», сообщил в

Где бочка опоры

На российском валютном рынке с середины октября происходят непривычные вещи. Нефть уверенно

RAEX (Эксперт РА): общий объем незастрахованных рисков в России составляет более 1 000 трлн рублей

15 ноября 2017 года в Москве состоялся XI Ежегодный форум «Будущее страхового рынка»,

ЦБ видит потенциал снижения ставки

Набиуллина подчеркнула важность стабильности инфляции

Россияне стали меньше пить

Продажи сброженных напитков выросли втрое

Выпуск облигаций для бизнеса обеспечит «РЕЗУЛЬТАТ»

14 ноября 2017 года состоялось выступление генерального директора ГК «Результат» Гончарова

Госрегулирования продовольствия не будет

Против выступил комитет по экономполитике и правительство

OPPO выпустила смартфон F5 из серии Селфи Эксперт с революционной технологией SelfieTune

Ведущая глобальная технологическая компания OPPO представила в России свой первый

Классика на заказ

Повседневная мужская мода – явление не особо капризное,  если брать в расчет самую

Мощный, тихий и гигиеничный: Miele представляет первый безмешковый пылесос Blizzard CX1

Мощный, тихий и гигиеничный: Miele представляет первый безмешковый пылесос Blizzard CX1

Компания Miele представляет уникальную новинку – функциональный, практически бесшумный,

HIGH END в темпе вальса

Дорогие телевизоры и аудиосистемы пользуются стабильным спросом

Ценная старина

Рынок антиквариата – одно из самых закрытых и непубличных пространств в России. Далеко не все

РОСКОШНЫЕ И ДОРОГИЕ

Для мировых автомобильных брендов класса «люкс» Россия была и остается одним из основных

«Финансовая газета» - старейшее, а теперь самое современное экономическое издание. Это и аналитический еженедельник, и электронный портал, и база обновляемых нормативных документов, и площадка, на которой каждый может стать соавтором будущей системы экономического регулирования.



Вы можете оформить подписку на «Финансовую газету», получить доступ к информационно-справочной системе: «Документы, комментарии, консультации»


High Tech и связь   25.11.2011 20:20:53

Банки тоже ошибаются

Банки тоже ошибаются

Уровень защиты при работе распределенных банковских ИТ-систем — достаточно важный показатель эффективности финансово-кредитных учреждений. Правда, представители компаний, работающих на рынке информационной безопасности, уверены, что значительную часть рисков можно предотвратить с помощью административных методов регулирования.

Николай Федотов, главный аналитик Infowatch

Есть такой закон. Любое усиление безопасности снижает удобство использования или функциональность; любое повышение удобства или функциональности снижает безопасность.

В половине случаев, когда ведут речь об ошибках в защите, на поверку оказывается, что дело в разном понимании упомянутого баланса: между функциональностью и защищённостью. То есть, это не ошибки, а иная оценка стоимости рисков.

Банкиры отлично умеют считать деньги. Не только свои, но и чужие. Именно с этим подсчётом и связаны их ошибки. А также другие «ошибки». За деньгами им трудно видеть другие, немеркантильные интересы и соображения. Деньгами же измеряются последствия инцидентов. Когда деньги невелики или когда они чужие, финансисты не видят у себя ошибок, а видят прагматическое управление рисками. А в глазах профессионального безопасника там — вопиющее нарушение и безалаберность.

Позвольте привести один пример. Несколько российских банков для приёма платежей на карточный счёт клиента требуют указывать ФИО и номер карты (например, вот так: http://www.bm.ru/ru/personal/cards/requisites_for_non_cash/). То есть, предполагается, что держатель банковской карты должен сообщать эти конфиденциальные данные своим клиентам, покупателям, плательщикам, должникам — лицам, которые не могут быть связаны соглашением о неразглашении. До полного набора кардера (данных, позволяющих украсть деньги) не хватает лишь срока действия карты, который легко угадать (всего 20–30 возможных значений).

Казалось бы, ошибка и уязвимость. Но не всё так просто. Атрибуты банковских карт обращаются на чёрном рынке и пригодны для криминальной эксплуатации тысячами, в крайнем случае — сотнями. Ради одного номера никакой злоумышленник не будет предпринимать действия, тем более — ещё и угадывать срок действия. Это нерентабельно. В то же время, удобство налицо. Вкладчику не надо хранить многозначный персональный номер счёта или узнавать его, когда потребуется получить перевод. Посмотрел на свою карточку — там все необходимые данные.

Тем не менее, многие небанковские защитники информации, привыкшие, что кардеры охотятся за номерами кредиток, упорно считают эту практику ошибкой и уязвимостью. И зазря поднимают тревогу среди пользователей.

Илья Сачков, генеральный директор Group-IB

Наверное, сейчас было бы логичным начать рассказывать о полезных программах, оборудовании, комплексных решениях. Все это сопроводить показательными примерами и меткими замечаниями, мол, а вот если бы внедрили такую систему, все было бы хорошо.

Такое начало уже было бы своего рода типичной ошибкой. Потому что, в первую очередь, необходимо говорить не о технической стороне вопроса, а об организационных аспектах обеспечения информационной безопасности финансового сектора экономики.

Большинство банков сегодня не жалеют средств на создание специализированных служб и внедрение комплексных систем защиты. При этом основное внимание уделяется исключительно пресечению угроз, нацеленных на ИТ-инфраструктуру банка. Но не его клиентов.

Такая ситуация связана с консервативным подходом финансово-кредитной сферы к обеспечению безопасности вообще и информационной в частности. Он предусматривает, что каждая сторона обладает своей зоной ответственности. Так, банк отвечает только за защиту того, что доверено ему на хранение. И если раньше он сообщал клиентам о том, что располагает самым надежным сейфом, то теперь — что располагает самой защищенной ИТ-инфраструктурой.

Данный подход по ряду причин удобен как службам безопасности, так и руководству банков. Первые четко представляют, где заканчивается периметр, который необходимо защищать приоритетно; вторые — понимают, на что были потрачены инвестиции, прогнозируя увеличение ROI.

Однако, как я уже говорил в прошлый раз, большинство атак идет в отношении клиентов банка. Они теряют деньги, а банк, как следствие, репутацию, так как нарушаются доверительные отношения. Отток клиентуры напрямую влияет на состоятельность банка и его капитализацию.

И здесь мы видим главную типичную ошибку финансово-кредитных учреждений в обеспечении компьютерной безопасности. Защищая только собственную инфраструктуру, избежать инцидентов не получится. Безопасность современной банковской сферы вышла далеко за пределы отделений и филиалов, перейдя в плоскость виртуального пространства. Поэтому банкам следует начать активно обращать внимание на разработку механизмов повышения уровня защищенности своего клиента в качестве одного из стратегических направлений развития бизнеса.

High Tech и связь   25.11.2011 20:20:53   

Тэги:

Написать комментарий

  Пожалуйста, зарегистрируйтесь или войдите.