Информационная безопасность в банковских системах: угрозы и классификация нарушений

Эволюция понятия информационной безопасности. Современные информационные системы несут в себе не только преимущества, но и серьезные риски, включая возможность несанкционированного доступа к информации и осуществления операций. Информационная безопасность представляет собой критически важный аспект информационных технологий, направленный на защиту как клиентской, так и внутренней информации от любых несанкционированных действий. Стремительное развитие банковских технологий в России делает проблему защиты информации особенно актуальной, несмотря на пока еще более низкий уровень автоматизации по сравнению с западными аналогами.

Информационные системы стали неотъемлемой частью кредитных организаций, выполняя роль их "кровеносной и нервной системы". Любой сбой в движении информационных потоков или нарушение правил доступа приводят к серьезным проблемам в работе всей организации и, как следствие, к прямым финансовым потерям или упущенной выгоде. Исторически понятие информационной безопасности ассоциировалось исключительно с защитой от несанкционированного доступа, однако практика показала, что ущерб от ошибок и сбоев часто превышает потери от целенаправленных атак.

Современное понимание информационной безопасности включает комплекс мер по предотвращению и устранению всех видов сбоев в работе информационных систем, защите информационных потоков от несанкционированного доступа и использования. Это единая система, объединяющая не только предотвращение и выявление нарушений, но и механизмы восстановления работоспособности, а также минимизации ущерба от произошедших инцидентов. В данной классификации нарушения группируются на три основные категории: нарушения конфиденциальности, нерегламентированные изменения в системе и утрата работоспособности.

Нарушения конфиденциальности информации. Нарушения конфиденциальности возникают вследствие сбоев в движении информационных потоков или ошибок в системе разграничения доступа. Основная опасность этой категории нарушений заключается в их сложной обнаруживаемости, поскольку они обычно не влияют на работоспособность системы. Выявление таких инцидентов возможно преимущественно через анализ файлов протокола доступа к отдельным объектам системы.

К наиболее распространенным примерам нарушений конфиденциальности относятся ошибки администрирования, включая неправильное формирование групп пользователей и определение прав доступа. Серьезной проблемой является отсутствие политики формирования паролей, когда до 50% пользователей используют простые комбинации типа "123456" или "qwerty". Критическими также являются ошибки в формировании итоговых отчетов и контроля доступа к ним, например, к банковским выпискам или сводным бухгалтерским журналам.

Ошибки проектирования информационной системы представляют отдельную категорию рисков. К ним относится использование недостаточно защищенной среды разработки, когда доступ к информации можно получить напрямую через таблицы базы данных, минуя интерфейс программы. Особую опасность представляют ошибки в алгоритмах криптозащиты, когда вместо сертифицированных решений используются собственные разработки, лишь имитирующие защиту. Небрежность пользователей проявляется в нарушении правил хранения паролей, сохранении активных сеансов после окончания работы и нерегламентированном обсуждении закрытой информации.

Нерегламентированные изменения в системе. Нарушения целостности данных и нерегламентированные изменения в информационной системе приводят к более серьезным последствиям, чем нарушения конфиденциальности. Однако при правильной организации системы безопасности такие изменения могут быть своевременно обнаружены и предотвращены с помощью дополнительных механизмов защиты, таких как электронная подпись.

Основными причинами нарушений целостности данных являются ошибки программирования, включая ошибки кодирования системы и обновления версий. Современные механизмы обновления не могут полностью исключить риски сбоев, особенно в сложных многомодульных системах, где невозможно смоделировать все ситуации взаимодействия компонентов. Наиболее распространенными остаются ошибки ручного ввода, частота которых возрастает при обновлении системы, изменении технологических цепочек или росте нагрузки на персонал.

Технические сбои, такие как нарушения транзакций в базах данных, хотя и редки в промышленных СУБД (Системах управления базами данных) типа ORACLE, MS SQL и Sybase, все же представляют определенную угрозу. Умышленные нарушения включают несанкционированный ввод данных через пользовательский интерфейс, изменения в системе в обход установленных процедур, подмену компонентов системы и воздействие вредоносного программного обеспечения, такого как вирусы, которые могут быть отнесены также к категории нарушений работоспособности системы.

Сведения об авторах и источниках:

Авторы: Тютюнник А.В., Шевелев А.С.

Источник: Информационные технологии в банке

Публикации предназначены для ИТ-руководителей и топ-менеджеров коммерческих банков, а также для менеджеров компаний-разработчиков и консультантов. Материалы помогут профессионалам в организации и оптимизации управления информационными системами на всех этапах их жизненного цикла.