Навстречу безопасности

Традиционно в эти февральские дни в Абзелиловском районе Башкирии собрались эксперты на III Межбанковской конференции «Информационная безопасность банков». Конференция проходит при официальной поддержке Банка России, в том числе при участии Национального банка Республики Башкортостан.

Сегодня банк, с точки зрения информационной безопасности, – компания «повышенного» риска. Банк – сосредоточение «живых» денег. Банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов – юридических лиц, поэтому вопрос информационной безопасности всегда актуален и обретает с совершенствованием технологий все большую значимость.

«Конференция играет очень важную роль в формировании системы информационной безопасности в банковской сфере, поскольку эта сфера наиболее интересна для преступности», – отмечает заместитель председателя Банка России Михаил Сенаторов. По словам Михаила Сенаторова, здесь идет речь о деньгах, которые хранятся в электронном виде. Именно к ним пытаются получить доступ различные мошенники и хакеры, поэтому этот сектор наиболее подвержен нападению, различным ущербам. Защита в области информации в финансово-кредитной сфере – это одно из серьезных направлений развития автоматизированных систем в этой области, указывает банкир.

Конференция проводится для руководителей кредитных организаций, специалистов в области информационной безопасности, риск-менеджеров, специалистов службы внутреннего контроля, внутренних и внешних аудиторов информационных технологий и информационной безопасности, руководителей процессинговых центров. Количество участников с каждым годом увеличивается. «Если представить всю эту сферу, которая представляет банковский бизнес и сегмент информационной безопасности банков, то масштаб ее впечатляет: только юридических лиц порядка 400 тысяч организаций, их филиалов», – говорит заместитель начальника главного управления безопасности и защиты информации Банка России Андрей Курило.

В каждой из этих организаций работают люди, которые решают конкретные задачи, в том числе связанные с безопасностью персональных данных. В этих организациях работают сотни тысяч человек, которые взаимодействуют с клиентами, а их насчитывается около 10 миллионов. «Вот это и есть весь масштаб отношений, то есть это масштаб проблемы государственного значения», – констатирует Андрей Курило.

Действительно, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк – точка пересечения публичных сетей и коммерческих финансовых сетей.

По словам Михаила Сенаторова, попыток проникновения в системы фиксируется с каждым годом все больше и больше. «Я скажу на примере Центрального банка: за последние пять лет количество попыток проникновения в систему Банка России увеличилось в три раза (все атаки были успешно отражены) – это только по Центральному банку. Банк России – это один из объектов нападения. Таких объектов достаточно много», – рассказывает банкир. Киберпреступность тоже меняется. «Если раньше были отдельные хакеры, которые пытались проверить на стойкость те или иные информационные системы, то сейчас это уже организованные преступные сообщества, в том числе международные сообщества, которые работают против тех или иных объектов, выстраивая достаточно серьезные атаки», – добавляет Михаил Сенаторов.

Проблема заключается в том, что соотношение между стоимостью защиты и стоимостью атаки отличается в сотни раз. «Если брать грубо стоимость защиты за 100%, то стоимость атаки стоит 2-3%. Поэтому атака всегда дешевле, она планируется заранее преступными группами, которые работают либо в своих собственных интересах, либо в интересах заказчиков, которые таким образом ведут нечестную конкурентную борьбу со своими конкурентами на рынке. Поэтому киберпреступность становится более разветвленной, цели ее становятся более разнообразными, с учетом того что техника совершенствуется, становится все более мощной», – поясняет Михаил Юрьевич.

Между тем, как признают банкиры, отношение к хакерам с каждым годом становится более жестким. «Если первоначально попытки хищения, которые пресекались, наказывались

условным сроком или практически не наказывались, то сейчас они наказываются реально. Работа в этом направлении будет продолжаться. Все зависит от уровня нанесения ущерба. В западных странах хакерство и уровень киберпреступности приводит к тому, что ущербы оцениваются в сотни миллиардов долларов, поэтому наказания, которые несут преступники по тем законам, намного более суровы, чем в России пока. Я думаю, что законодательство РФ будет совершенствоваться в этом плане, так как это общемировая тенденция», – говорит зампред ЦБ РФ.

Как утверждает председатель Национального банка РБ Рустэм Марданов, действительно, предусмотрены уже реальные сроки за ответственность по преступлениям данной направленности. Просто на данном этапе нет очень большого опыта реального привлечения к ответственности. «Здесь должна совершенствоваться практика самих правоохранительных органов по фиксации этих нарушений и определению виновных. Практика такая уже есть, в том числе и в республике. Я бы хотел два факта привести: за истекший срок к нам поступили два обращения о попытках несанкционированного списания средств по системе дистанционного банковского обслуживания по двум банкам на общую сумму более 17 млн рублей. Лица, которые пытались это сделать, выявлены, в настоящий момент идет расследование уголовного дела. И Сбербанк также выявил четыре организованных преступных группы, которые изготавливали и сбывали поддельные платежные карты Visa и Mastercard. Ущерб составил 1,5 млн рублей. По ним также преступники выявлены, и ведется уголовное дело», – рассказал Рустэм Хабибович.

Несмотря на то, что угроз становится все больше, банкиры (прежде всего, сотрудники ЦБ РФ) не дремлют. К примеру, в последнее время остро обсуждается утечка государственной информации на сайт Викиликс. С точки зрения пользователей банка, насколько они могут быть уверены в том, что данные не появятся на подобном сайте? Андрей Курило расставил все точки над i: «Во-первых, это система файлового хранения данных – самая простая. Легче всего решается задача хищения файлов. Во-вторых, система явно двухуровневая – «клиент- сервер». То есть клиент имел возможность обратиться к базе данных и почти без ограничений скачать практически все. Что и было сделано. Таким образом, фактически, похоже, никто не следил за проблемой управления доступом и за ограничением доступа к ресурсу. К чести Банка России надо сказать, что от идеи двухуровневого построения системы «клиент-сервер» мы отказались уже давно. Строим все современные системы на трехуровневой основе, а базы данных не файловые. Это революционные базы данных, фактически собрать информацию с которых в понятное содержание гораздо более сложно, нежели просто «потырить» ее из текстовых файлов», – пояснил банкир.

Отметим, что в этом году на конференции ключевыми стали вопросы реализации отраслевого подхода к обеспечению безопасности платежных систем и персональных данных; совершенствования законодательной базы в области обеспечения информационной безопасности; организационно-правовые вопросы обеспечения безопасности систем дистанционного банковского обслуживания; вопросы технического совершенствования систем дистанционного банковского обслуживания. Отдельно рассматриваются международные стандарты в области обеспечения банковской безопасности.

При подготовке статьи использованы материалы пресс-службы Национального Банка РБ