Что представляют собой современные банковские системы

Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак

От обеспечения безопасности информационной вычислительной системы (ИВС) банка сегодня во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в банке в целом; в частности репутация финансового учреждения, доля на рынке, снижение издержек. Системы защиты предназначены для обеспечения безопасности информации, обрабатываемой в ИВС. Ко всем данным, с которыми работает информационная банковская система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований яв­ляется первостепенным в задачах обеспечения информационной безопасности. При современной острой конкурентной борьбе многие финансовые данные должны быть доступными только определенному кругу уполномоченных лиц. С другой стороны, банковская система должна оставаться прозрачной для государственных надзорных и налоговых органов. Проблему информационной безопасности необходимо решать комплексно.

Что представляют собой современные банковские системы

К нынешним автоматизированным банковским системам (АБС) предъявляются очень строгие требования как со стороны банков-пользователей, так и со стороны государственных и контролирующих органов. Производители АБС должны динамически подтягивать свою продукцию под изменяющиеся нормативным условиям. Растет число банков использующих Интернет и удаленный доступ к своим системам.

Только комплексная информационная банковская система, интегрирующая различные сферы деятельности банка, способна полностью автоматизировать и объединить в единое целое бизнес-процессы фи­нансового учреждения. Работа с клиентами, начисление процентов, предоставление всевозможных банковских услуг должны быть увязаны с внутрихозяйственной деятельностью банка, с бухгалтерией. Комплексная система, поддерживающая централизованную обработку, мультивалютность и автоматизацию основных финансовых операций, позволяет эффективно проводить управление, контроль, получение отчетов о текущей деятельности всех филиалов банка.

Прежде всего АБС является инструментом управления бизнесом. Среди функций, присущих современным комплексным АБС, можно выделить следующие:

• операционный день;

• операции на фондовом рынке, работа банка с ценными бумагами;

• внутрихозяйственная деятельность;

• розничные банковские услуги;

• дистанционное банковское обслуживание;

• электронные банковские услуги;

• расчетный центр и платежная система (карточные продукты);

• интеграция бэк-офиса банка с его внешними операциями;

• управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;

• управление рисками и стратегическое планирование;

• программы лояльности клиентов, маркетинговая, рекламная и PR-службы.

Приведенные основные функции АБС реализуются по средствам следующих технологий:

Системы управления БД

Распределительная вычислительная система, организация коллективной работы пользователей, создание реального информационного пространства банка, включая филиалы, клиентов и партнеров;

• безопасное подключение информационной системы банка к внешним вычислительным сетям (Интернет);

• организация безопасной, достоверной передачи данных по общедоступным каналам связи (криптография: шифрование и электронная цифровая подпись (ЭЦП), организационные меры), электронный документооборот;

• техническое, программное, математическое и дру­гое обеспечение;

• информационная аналитика и системы поддержки принятия решений (decision support systems, DSS);

• защита хранимой и обрабатываемой информации, всей АБС в целом;

• системы удаленной работы с фондовыми рынками и программы предсказания поведения курсов;

• CRM-системы управления отношениями с клиентами;

• программы реализации фронт-офиса взаимодействия с клиентами;

• системы поддержки внутренней организации, менеджмента и исполнительной деятельности персонала;

• разграничение доступа к информации разного уровня секретности;

• антивирусная защита;

• интернет-магазины и Интернет-карточки;

• центры обработки вызовов (call-центры) и IP-телефония;

• поддержка различных каналов доступа: Интернет, телефон, мобильная сеть, SMS, WAP и др.;

• поддержка множественных стандартов учета, включая управленческий учет;

• поддержка и исследования в области планомерного информационного развития АБС.

Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения (ПО) или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).

Многочисленные попытки взломов и успешные нападения на банковские вычислительные структуры и порталы остро ставят проблему обеспечения информационной безопасности.

Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:

• банк — клиент;

• Интернет — клиент;

• офис — удаленный менеджер;

• головной офис — региональные офисы/отделения;

• интернет-трейдинг.

Доступ к сервисом, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:

• несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);

• перехват и подмена графика (подделка платежных поручений, атака типа «человек посередине»);

IP-спуфинг (подмена сетевых адресов);

отказ в обслуживании;

атака на уровне приложений;

сканирование сетей или сетевая разведка;

использование отношений доверия в сети. Причины, приводящие к появлению подобных уяз-вимостей:

• отсутствие гарантии конфиденциальности и целостности передаваемых данных;

• недостаточный уровень проверки участников соединения;

• недостаточная реализация или некорректная разработка политики безопасности;

• отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);

• существующие уязвимости используемых опера­ционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;

• непрофессиональное и слабое администрирование систем;

• проблемы при построении межсетевых фильтров;

• сбои в работе компонентов системы или их низкая производительность;

• уязвимости при управлении ключами.

Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:

• раскрытие содержимого;

• представление документа от имени другого участника;

• несанкционированная модификация;

• повтор переданной информации.

Для предотвращения этих злоупотреблений используются следующие средства защиты:

шифрование содержимого документа;

контроль авторства документа;

контроль целостности документа;

нумерация документов;

ведение сессий на уровне защиты информации.

Хакер может выступать в роли внешнего источника угрозы так и внутреннего