Интернет в банке и его безопасность
Forex Times know how make money
Четверг, Март 3, 2005 |

Интернет в банке и его безопасность

1(39) январь 2003


Интернет сейчас у всех на слуху, и если вы не находились в спячке последние несколько лет, несомненно заметили ажиотаж вокруг глобальной Сети. Ссылки на существующие в Интернете представительства фирм и общественных организаций преследуют везде: в телерекламе, печатных изданиях, буклетах, на визитных карточках, в прайс-листах, каталогах и т.д.


Интернет в России
Обратите внимание, что международные политики при каждой возможности упоминают о тесной связи успехов демократизации в обществе с созданием “всемирной информационной магистрали”, а крупные корпорации в стратегических планах развития учитывают возможности и потенциал Интернета. Нетрудно прийти к выводу, что глобальная Сеть становится частью мировой культуры и в корне меняет способы общения и ведения бизнеса.


О том, что Интернет огромен, знает каждый, кто хоть что-нибудь о нем слышал. Однако о том, как идет освоение российского сегмента этого мирового кибернетического пространства, доподлинно известно только специалистам. А они свидетельствуют: темпы развития услуг Интернета в России в 2001 году стали опережать соответствующие американские показатели. Только в Москве рост числа пользователей за последний год составил 500%. За то же время число русскоязычных серверов во всем мире увеличилось почти в 50 раз.


Реклама быстро осваивает российский сегмент компьютерных электронных сетей. Этот канал распространения информации о товарах и услугах становится таким же важным и незаменимым для фирм, работающих на российском рынке, как и другие.


Создание собственного представительства в Интернете – задача, которая рано или поздно встанет перед каждой организацией, ведущей коммерческую деятельность.  При этом большое значение имеет своевременность принятия решения о создании такого представительства. Те фирмы, которые активно осваивают российское киберпространство, приобретают бесценный опыт создания новых коммуникаций, использования новых технологий для принятия решений, организации внутрикорпоративной деятельности, профессионального общения. Этот опыт позволяет эффективно решать многие повседневные проблемы бизнеса.


До 2000 года российское общество разделялось на тех, кто уже понял это и стал применять интернет-технологии, и всех остальных, которые чего-то ждут и, может быть, не чувствуют интеллектуального и экономического отставания. Оказалось, что задержка в принятии решения о присутствии в Интернете даже на полгода приводила к тяжелым последствиям, так как более активные конкуренты за счет быстрого образования новых связей коренным образом изменяли ситуацию в конкретной экономической нише.


Сейчас же все “сидят” в Интернете. Многие компании переходят на выделенную линию. Но не исключено, что содержание такой линии обходится дороже, чем покупка “карточек”. Оплата Сети производится, исходя из полученного объема данных, а не за использование времени. Компании, предоставляющие эти услуги, заинтересованы, чтобы вы скачивали как можно больше информации, а т.к. скорость загрузки при использовании “выделенки” существенно выше, чем при “dial up”, то вместе с нужной информацией вам закачиваются всякого рода реклама и специальные (объемные) вирусы, которых вы даже не замечаете. Тем самым объем полученной вами информации существенно возрастает.


Система “Банк-Клиент”
Система “Банк-Клиент” – самая передовая технология общения клиента с банком в 2002 году. Для подключения к интернет-версии системы “Банк-Клиент” необходимо заключить договор с банком.


После заключения договора вы получаете:
” идентификационную карту пользователя, содержащую присвоенный вам идентификатор пользователя и пароль, список доступных этому пользователю команд и счетов, с которыми он может работать;
– дискету, содержащую файл-сертификат сертификационного агентства банка (JSBR Certification Agency.cer), и файл-заготовку ключа, необходимый для генерации вашей электронно-цифровой подписи (ЭЦП).  К моменту установки системы должны быть:
– Стандартный INTEL-компьютер с процессором Pentium, цветной монитор с разрешением 800×600, мышь.
– Операционная система Windows 95/98/NT(SP5)/2000 с установленным браузером Microsoft Internet Explorer 4.01 и выше (рекомендуем IE 5.0).
– Доступ в Интернет.
 
Многие коммерческие банки переходят на систему “Банк-Клиент”, чтобы ускорить и улучшить взаимодействие с клиентом. Но всегда ли система безопасна для самого банка?


Безопасность банка
Обычно когда речь заходит о безопасности банков или других компаний, их руководство недооценивает важность информационной составляющей. Основной упор делается на физическую безопасность (пропускной режим, охрана, системы видеонаблюдения и т.д.). Однако за последние годы ситуация существенно изменилась. Чтобы проникнуть в тайны компании, нет необходимости перелезать через заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т.п. Достаточно проникнуть в информационную систему и перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу для атакованной организации. В зависимости от рода деятельности вашей компании компьютеры могут являться или вспомогательным средством, облегчающим труд ваших сотрудников, или инструментом, без которого работа в принципе невозможна.


Но в том или ином случае перед вами как перед человеком, принимающим решения или участвующим в их подготовке, раньше или позже возникнет вопрос:


“Надо ли мне защищать свои ресурсы и как?”. Ответ однозначен: защищать надо. Остается только понять, зачем. Ответов на этот вопрос может быть множество, и все они напрямую зависят от структуры вашей компании и ее деятельности.


Не верьте поставщикам и интеграторам, которые говорят, что они в одинаковой степени обеспечат конфиденциальность, целостность и доступность вашей информации.  Это только доказывает, что они не понимают, о чем говорят, и вряд ли смогут предложить решение именно для ваших задач. У каждой компании свои приоритеты в защите. Одним, например, необходимо обеспечение целостности данных.  Банки в первую очередь интересует неизменность финансовых трансакций. Только представьте себе, что случится, если в платежке к сумме платежа будет добавлен один нолик или изменятся реквизиты получателя денег.


А вот для оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей сети. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.


Реальный и “виртуальный” ущерб
Финансовый ущерб может быть прямым или косвенным. Примеров нанесения прямого ущерба известно огромное множество. Наиболее ярко они проявляются в финансовой сфере. Например, в феврале 2002 г. Bank of America был вынужден обратиться в соответствующие силовые ведомства, чтобы провести расследование инцидента с появлением фальшивого интернет-сайта банка, который использовался для обмана клиентов с целью получить доступ к их конфиденциальной финансовой информации.


Аналогичным образом в начале февраля мошенники “облапошили” клиентов электронного аукциона eBay и получили доступ к данным о кредитных картах его клиентов. Однако создание подставных интернет-сайтов – не единственный способ, который используют злоумышленники. Нередко они проникают в банковские системы из Интернета. Так, например, был взломан крупный коммерческий банк Republic Bank во Флориде.  Хакеры взломали систему и украли информацию о 3600 кредитных картах и их владельцах.


Однако компания может потерять деньги не только в результате мошенничества или кражи. Например, выведение из строя того или иного узла сети приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного и аппаратного обеспечения, зарплате обслуживающего персонала и т.д.


Потери при непродуктивном использовании Интернета (чтение анекдотов в рабочее время, загрузка порнографии, рассылка спама и т.д.) для компании со штатом 100 человек составят более 80 тыс.  долларов США в год. Для сравнения – система контроля содержимого из семейства MIMEsweeper, призванная обнаруживать и блокировать такие действия, стоит на порядок дешевле.


Если говорить об атаках хакеров, то затраты на восстановление всего лишь одного узла в результате нападения на него составят около 50 тыс. долларов США в год. Это в пять раз превышает стоимость системы обнаружения атак RealSecure, круглосуточно защищающей не один, а сразу множество узлов сети.


Однако финансы – еще не все, что может потерять компания в результате недооценки значимости вопросов защиты информации. Не на последнем месте находится репутация, которая также может пострадать в результате хакерских атак. Например, в августе 2001 года в результате хакерской атаки на 2 часа были приостановлены продажи акций компании Brass Eagle на бирже NASDAQ, что повлекло за собой нанесение не только финансового ущерба.


А курс акций компании Emulex в результате такой же атаки упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Кроме того, репутации компании Emulex так же, как и Internet Wire, был нанесен существенный ущерб. Проверь служба Internet Wire адрес источника пресс-релиза, такой неприятной вещи можно было бы избежать.


Еще одна причина банкротства
Звучит неправдоподобно, но атаки хакеров могут привести не только к потере денег и репутации, но даже к прекращению деятельности атакованного предприятия. По данным зарубежных специалистов, раскрытие 25% конфиденциальной информации компании (например, вследствие нападения хакеров) приводит к ее банкротству в течение 1-3 месяцев.


CloudNine, компания с шестилетним стажем, была вынуждена завершить бизнес и продать базу данных всех своих клиентов своему конкуренту – компании Zetnet. Один из основателей CloudNine отметил, что атака против них была грамотно спланированной акцией, которая длилась не один месяц. Злоумышленники долго собирали информацию о ключевых серверах и их пропускной способности. В решающий момент и был нанесен завершающий удар.


Незадолго до случая с
CloudNine был зафиксирован ряд атак и на других провайдеров. Например, в конце января 2002 г. пострадали портал британского представительства итальянского Интернет-провайдера Tiscali и британский провайдер Donhost. Первый не мог работать в течение нескольких дней, а функционирование второго было нарушено на несколько часов.


Заключение
Некоторых случаях ответ на вопрос “зачем надо защищать свою информацию?” звучит просто: “Так надо”. Кому надо? Государству. Для ряда организаций, особенно тех, в системах которых обрабатываются сведения, составляющие государственную тайну, предусмотрено требование обязательной защиты этих сведений.  Сфера государственной тайны у нас, например, регламентируется достаточно жестко.


Можно видеть, что все приведенные выше примеры так или иначе сводятся к нанесению финансового ущерба. Начиная от прямых потерь вследствие краж или затрат на восстановление работоспособности систем и заканчивая падением курса акций и уходом клиентов, что, очевидно, также влияет на доходы компании, вовремя неоценившей всю важность защиты информации.


Поэтому я еще раз призываю всех, кто принимает решения или влияет на их принятие, не откладывать вопрос о защите информации в долгий ящик и поскорее заняться обеспечением своей информационной безопасности. Тем более сейчас есть из чего выбрать.  Надеюсь, мне удалось убедить вас, что защищать свою информацию надо. И хотя этот процесс стоит денег, зачастую немалых, это позволит предотвратить куда большие потери.


Максим Ключников

📝 SP500: недельный прогноз на 22-26.04.2024.
Как сдать золото в ломбард: тонкости процесса
📌 Gold: аналитический обзор на 22-26.04.2024.
евро
♻️ EURUSD: среднесрочная аналитика на 22-26.04.2024.
📝 SP500: недельный прогноз на 15-19.04.2024.
Как сдать золото в ломбард: тонкости процесса
📌 Gold: аналитический обзор на 15-19.04.2024.
евро
♻️ EURUSD: среднесрочная аналитика на 15-19.04.2024.
📝 SP500: недельный прогноз на 08-12.04.2024.
Как сдать золото в ломбард: тонкости процесса
📌 Gold: аналитический обзор на 08-12.04.2024.
евро
♻️ EURUSD: среднесрочная аналитика на 08-12.04.2024.
📝 SP500: недельный прогноз на 01-05.04.2024.