Реферат: Інформаційна безпека й інформаційні технології
Інформаційна безпека
й інформаційні технології
На ранньому етапі автоматизації впровадження банківських систем (і взагалі засобів автоматизації банківської діяльності) не підвищувало відкритість банку. спілкування з зовнішнім світом, як і колись, йшло через операціоністів і кур'єрів, тому додаткова погроза безпеки інформації виникала лише від можливих зловживань з боку фахівців, що працювали в самому банку, по інформаційних технологіях.
Положення змінилося після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення яких було немислимо без інформаційних технологій. У першу чергу ц-пластикові картки. Поки обслуговування по картках йшло в режимі голосової авторизації, відкритість інформаційної системи банка підвищувалася незначно, але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування - те є засобу, що належать до інформаційної системи банку, але розташовані поза нею і доступні стороннім для банку обличчям.
Відкритість системи, що підвищилася, зажадала спеціальних мір для контролю і регулювання обміну інформацією: додаткових засобів ідентифікації й аутентифікаціїї обличчя, що запитують доступ до системи (PIN-код, інформація про клієнта на магнітній чи смузі в пам'яті мікросхеми картки, шифрування даних, контрольні числа й інші засоби захисту карток), засобів криптозахисту інформації в каналах зв'язку і т.д.
Ще більше зрушення балансу “захищеність-відкритість” убік останньої зв’язане з телекомунікаціями. Системи електронних розрахунків між банками захистити відносно нескладно, тому що суб'єктами електронного обміну інформацією виступають самі банки. Проте, там, де захисту не приділялася необхідна увага, результати були цілком передбачувані. Найбільш кричущий до жалю, наша країна. Використання вкрай примітивних засобів захисту телекомунікацій у 1992 р. привело до величезних утрат на фальшивих авізо.
Загальна тенденція розвитку телекомунікацій і масового поширення обчислювальної техніки привела зрештою до того, що на ринку банківських послуг в усьому світі з'явилися нові, чисто телекомунікаційні продукти, і в першу чергу системи Home Banking (вітчизняний аналог—“клієнт-банк”). Це зажадало забезпечити клієнтам цілодобовий доступ до автоматизованої банківської системи для проведення операцій, причому повноваження на здійснення банківських транзакції одержав безпосередньо клієнт. Ступінь відкритості інформаційної системи банку зросла майже до межі. Відповідно, вимагаються особливі, спеціальні міри для того, щоб настільки ж значно не упала її захищеність.
Нарешті, гримнула епоха “інформаційної супермагістралі”: взривоподібний розвиток мережі Internet і зв'язаних з нею послуг. Разом з новими можливостями ця мережа принесла і нові небезпеки. Здавалося б, яка різниця, яким образом клієнт зв'язується з банком: по лінії, що комутується, прихожої на модемний пул банківського вузла зв'язку, чи по IP-протоколі через Internet? Однак у першому випадку максимально можлива кількість підключень обмежується технічними характеристиками модемного пула, у другому же-можливостями Internet, що можуть бути істотно вище. Крім того, мережна адреса банку, у принципі, загальнодоступний, тоді як телефонні номери модемного пула можуть повідомлятися лише зацікавленим особам. Відповідно, відкритість банку, чия інформаційна система зв'язана з Internet, значно вище, ніж у першому випадку. Так тільки за п'ять місяців 1995 р. комп'ютерну мережу Citicorp зламували 40 разів! (Це свідчить, утім, не стільки про якійсь “небезпеці” Internet узагалі, скільки про недостатньо кваліфіковану роботу адміністраторів безпеки Citicorp.)
Усе це викликає необхідність перегляду підходів до забезпечення інформаційної безпеки банку. Підключаючи до Internet, варто заново провести аналіз ризику і скласти план захисту інформаційної системи, а також конкретний план ліквідації наслідків, що виникають у випадку тих чи інших порушень конфіденційності, схоронності і приступності інформації.
На перший погляд, для нашої країни проблема інформаційної безпеки банка не настільки гостра: до Internet чи нам, якщо в більшості банків коштують системи другого покоління, що працюють у технології “сервер-файл-сервер”. На жаль, і в нас уже зареєстровані “комп'ютерні крадіжки”. Положення ускладнюється двома проблемами. Насамперед, як показує досвід спілкування з представниками банківських служб безпеки, і в керівництві, і серед персоналу цих служб переважають колишні оперативні співробітники органів внутрішніх чи справ держбезпеки. Вони мають високу кваліфікацію у своїй області, але здебільшого слабко знайомі з інформаційними технологіями. Фахівців з інформаційної безпеки в нашій країні узагалі вкрай мало, тому що масової ця професія стає тільки зараз.
Друга проблема зв'язана з тим, що в дуже багатьох банках безпека автоматизованої банківської системи не аналізується і не забезпечується всерйоз. Дуже мало де мається той необхідний набір організаційних документів (аналіз ризику, план захисту і план ліквідації наслідків), про яке говорилося вище. Більш того, безпека інформації суцільно і поруч просто не може бути забезпечена в рамках наявної в банку автоматизованої системи і прийнятих правил роботи з нею.
Не дуже давно читаючи лекцію про основи інформаційної безпеки на одному із семінарів для керівників керувань автоматизації комерційних банків. На питання: “чи знаєте ви, скільки чоловік мають право входити в приміщення, де знаходиться сервер бази даних Вашого банку?”, ствердно відповіло не більш 40% присутніх. Поіменно назвати тих, хто має таке право, змогли лише 20%. В інших банках доступ у це приміщення не обмежений і ніяк не контролюється. Що говорити про доступ до робочих станцій!
Що стосується автоматизованих банківських систем, те найбільш розповсюджені системи третіх-третьої-другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість у будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідно для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від необразливої гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто помітити, що в ряді систем цих поколінь, у тому числі розроблених дуже шановними вітчизняними фірмами і продаваних сотнями, файли рахунків не шифруються, тобто з даними в них можна ознайомитися найпростішими загальнодоступними засобами. Багато розроблювачів обмежують засоби адміністрування безпеки штатними засобами мережної операційної системи: ввійшов у мережу -і роби, що хочеш.
Положення міняється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага. На виставці “Банк і Офіс -і 95” була представлена автоматизована банківська система з архітектурою сервер-клієнт-сервер, причому робочі станції функціонують під Windows. У цій системі дуже своєрідно вирішений вхід оператора в програму: у діалоговому вікні запитується пароль, а потім пред'являється на вибір список прізвищ всіх операторів, що мають право працювати з даним модулем! Таких прикладів можна привести ще багато.
Проте, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, зв'язані з нею, ввійдуть у життя банків Росії швидше, ніж це припускають скептики, тому вже зараз необхідно затурбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, чим це робилося дотепер.
Деякі рекомендації:
1. Необхідний комплексний підхід до інформаційної безпеки.
Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі керування безпеки банку. У цій концепції варто передбачати не тільки міри, зв'язані з інформаційними технологіями (криптозахисту, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифиіації, “брандмауери” для захисту входів-виходів мережі і т.п.), але і міри адміністративного і технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої банківської системи, а також засобу синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.
2. Необхідна участь співробітників керування безпеки на етапі вибору-придбання-розробки автоматизованої банківської системи. Це участь не повинна зводитися до перевірки фірми-постачальника. Керування безпеки повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається.
На жаль, нині діючі системи сертифікації в області банківських систем скоріше вводять в оману, чим допомагають вибрати засобу захисту інформації. Сертифікувати використання таких засобів має право ФАПСИ, однак правом своїм цей орган користається дуже своєрідно. Так, один високопоставлений співробітник ЦБ РФ розповів, що ЦБ витратив досить багато часу і грошей на одержання сертифіката на один із засобів криптозахисту інформації (до речі, розроблене однієї з організацій, що входять у ФАПСИ). Майже відразу ж після одержання сертифіката він був відкликаний: ЦБ було запропоновано знову пройти сертифікацію вже з новим засобом криптозахисту розробленим тією же організацією з ФАПСИ.
Виникає питання, а що ж насправді підтверджує сертифікат? Якщо, як припускає наївний користувач, він підтверджує придатність засобу криптозахисту виконанню цієї функції, то відкликання сертифіката говорить про те, що при первісному сертифіцированії ФАПСИ щось упустило, а потім знайшло дефект. Отже, даний продукт не забезпечує криптозахисту і не забезпечував її із самого початку.
Якщо ж, як припускають користувачі більш спокушені, ФАПСИ відкликало сертифікат не через огріхи в першому продукті, то значення сертифікації цим агентством чого б те ні було зводиться до нуля. Дійсно, раз “деякі” комерційні розуміння переважають над об'єктивною оцінкою продукту, то хто може гарантувати, що в перший раз сертифікат був виданий завдяки високій якості продукту, а не по тим же “деяким” розумінням?
Звідси випливає третя практична рекомендація: відноситися сугубо обережно до будь-яких сертифікатів і віддавати перевагу тим продуктам, надійність яких підтверджена успішним використанням у світовій фінансовій практиці. Безпека в мережі Internet