Дональд Трамп нашел формулу сотрудничества с Россией

Трамп не оговорил снятие санкций Крымом или

Адресная поддержка вместо льготного НДС

Адресная поддержка вместо льготного НДС

Минфину нужен полновесный НДС

Цель номер один: финансовая грамотность

Финансовой грамотность сейчас нужна так же, как

Маски-шоу на Гайдаровском форуме

Почему Орешкин выступил за Минфин, Юдаева — за

Силуанов нашел «таблетку» от всех российских кризисов

Доля нефтегазовых доходов в бюджете зависит от

Господдержка промышленности

Больше других от государства получит автопром

Александр Мамут стал 100%-м собственником Rambler&Co

Александр Мамут стал 100%-м собственником Rambler&Co

Мамут приобрел медиа-активы Потанина

Пьедестал роста промышленности: химия, текстиль, машиностроение

Минпромторг вызвал Минэкономики на соревнование

Крипторубль

Выпуск криптовалют будет лицензироваться

Среднего класса больше нет

Россияне перестают пользоваться кредитными

Зарплату гостопменеджеров регулировать не будут

В России гостопменеджеры получают в разы больше,

Безусловный базовый доход для европейцев

Безусловный базовый доход для европейцев

Финляндия уже экспериментирует с безусловным

Пенсия подрастет

На 2017-й год обещано две индексации пенсий

Взгляд на пенсионеров как на пионеров

Население России стремительно стареет, и в

Стихийные расходы

Мы уже почти забыли те времена, когда розничная

«Финансовая газета» - старейшее, а теперь самое современное экономическое издание. Это и аналитический еженедельник, и электронный портал, и база обновляемых нормативных документов, и площадка, на которой каждый может стать соавтором будущей системы экономического регулирования.



Вы можете оформить подписку на «Финансовую газету», получить доступ к информационно-справочной системе: «Документы, комментарии, консультации»

High Tech и связь   25.11.2011 20:20:53

Банки тоже ошибаются

Банки тоже ошибаются

Уровень защиты при работе распределенных банковских ИТ-систем — достаточно важный показатель эффективности финансово-кредитных учреждений. Правда, представители компаний, работающих на рынке информационной безопасности, уверены, что значительную часть рисков можно предотвратить с помощью административных методов регулирования.

Николай Федотов, главный аналитик Infowatch

Есть такой закон. Любое усиление безопасности снижает удобство использования или функциональность; любое повышение удобства или функциональности снижает безопасность.

В половине случаев, когда ведут речь об ошибках в защите, на поверку оказывается, что дело в разном понимании упомянутого баланса: между функциональностью и защищённостью. То есть, это не ошибки, а иная оценка стоимости рисков.

Банкиры отлично умеют считать деньги. Не только свои, но и чужие. Именно с этим подсчётом и связаны их ошибки. А также другие «ошибки». За деньгами им трудно видеть другие, немеркантильные интересы и соображения. Деньгами же измеряются последствия инцидентов. Когда деньги невелики или когда они чужие, финансисты не видят у себя ошибок, а видят прагматическое управление рисками. А в глазах профессионального безопасника там — вопиющее нарушение и безалаберность.

Позвольте привести один пример. Несколько российских банков для приёма платежей на карточный счёт клиента требуют указывать ФИО и номер карты (например, вот так: http://www.bm.ru/ru/personal/cards/requisites_for_non_cash/). То есть, предполагается, что держатель банковской карты должен сообщать эти конфиденциальные данные своим клиентам, покупателям, плательщикам, должникам — лицам, которые не могут быть связаны соглашением о неразглашении. До полного набора кардера (данных, позволяющих украсть деньги) не хватает лишь срока действия карты, который легко угадать (всего 20–30 возможных значений).

Казалось бы, ошибка и уязвимость. Но не всё так просто. Атрибуты банковских карт обращаются на чёрном рынке и пригодны для криминальной эксплуатации тысячами, в крайнем случае — сотнями. Ради одного номера никакой злоумышленник не будет предпринимать действия, тем более — ещё и угадывать срок действия. Это нерентабельно. В то же время, удобство налицо. Вкладчику не надо хранить многозначный персональный номер счёта или узнавать его, когда потребуется получить перевод. Посмотрел на свою карточку — там все необходимые данные.

Тем не менее, многие небанковские защитники информации, привыкшие, что кардеры охотятся за номерами кредиток, упорно считают эту практику ошибкой и уязвимостью. И зазря поднимают тревогу среди пользователей.

Илья Сачков, генеральный директор Group-IB

Наверное, сейчас было бы логичным начать рассказывать о полезных программах, оборудовании, комплексных решениях. Все это сопроводить показательными примерами и меткими замечаниями, мол, а вот если бы внедрили такую систему, все было бы хорошо.

Такое начало уже было бы своего рода типичной ошибкой. Потому что, в первую очередь, необходимо говорить не о технической стороне вопроса, а об организационных аспектах обеспечения информационной безопасности финансового сектора экономики.

Большинство банков сегодня не жалеют средств на создание специализированных служб и внедрение комплексных систем защиты. При этом основное внимание уделяется исключительно пресечению угроз, нацеленных на ИТ-инфраструктуру банка. Но не его клиентов.

Такая ситуация связана с консервативным подходом финансово-кредитной сферы к обеспечению безопасности вообще и информационной в частности. Он предусматривает, что каждая сторона обладает своей зоной ответственности. Так, банк отвечает только за защиту того, что доверено ему на хранение. И если раньше он сообщал клиентам о том, что располагает самым надежным сейфом, то теперь — что располагает самой защищенной ИТ-инфраструктурой.

Данный подход по ряду причин удобен как службам безопасности, так и руководству банков. Первые четко представляют, где заканчивается периметр, который необходимо защищать приоритетно; вторые — понимают, на что были потрачены инвестиции, прогнозируя увеличение ROI.

Однако, как я уже говорил в прошлый раз, большинство атак идет в отношении клиентов банка. Они теряют деньги, а банк, как следствие, репутацию, так как нарушаются доверительные отношения. Отток клиентуры напрямую влияет на состоятельность банка и его капитализацию.

И здесь мы видим главную типичную ошибку финансово-кредитных учреждений в обеспечении компьютерной безопасности. Защищая только собственную инфраструктуру, избежать инцидентов не получится. Безопасность современной банковской сферы вышла далеко за пределы отделений и филиалов, перейдя в плоскость виртуального пространства. Поэтому банкам следует начать активно обращать внимание на разработку механизмов повышения уровня защищенности своего клиента в качестве одного из стратегических направлений развития бизнеса.

High Tech и связь   25.11.2011 20:20:53   

Тэги:

Написать комментарий

  Пожалуйста, зарегистрируйтесь или войдите.