На страже безопасности

Банки являются одними из тех учреждений, в которых, казалось бы, предусмотрено все для защиты от внешних воздействий. И это не только бронированные стены, первоклассная сигнализация, но и целый комплекс мер безопасности информационного характера. Именно информация в первую очередь наиболее уязвима. Обычно банки не афишируют как открывшиеся факторы утечки информации, так и собственные способы защиты от этого.

По мнению руководителя управления розничного развития банка «Ак Барс» Эльдара Галеева, безопасность – это комплексная проблема, и ее нельзя решить каким-то одним приемом. «Наша информация затрагивает интересы большого количества людей и организаций клиентов банка. Она конфиденциальна, и мы несем ответственность за обеспечение требуемой степени секретности перед своими клиентами. Эта особенность резко расширяет круг лиц, покушающихся именно на банки. Поэтому повышение уровня информационной безопасности банковского сектора, в свою очередь, позволяет повысить конкурентоспособность кредитно-финансовых организаций», – считает специалист.

Одной из проблем IT-безопасности специалисты называют отсутствие единого подхода к защите системы. Первые попытки внедрить одинаковые для всех стандарты предпринимались Центральным Банком пять лет назад. Но окончательные варианты подготовлены только в этом году. Были поставлены цели: повышение доверия к банковской системе РФ, установление единых требований к информационной безопасности, достижение адекватности мер по противостоянию реальным угрозам.

По данным экспертов ABBIS (сообщества внедрения стандартов информационной безопасности ЦБ), только 16% банков готовы применять предложенный ЦБ стандарт. Банкиры считают, что внедрение новой технологии не сможет в должной степени обеспечить безопасность защиты данных. Кроме того, она меняет полностью уже наработанные собственные технологические способы. Банки консервативны и боятся перемен. Если пока новые стандарты носят рекомендательный характер, то в скором времени они станут обязательными для исполнения. По мнению экспертов это случится после того, как Россия вступит в ВТО. Нормы представляют собой набор обязательных требований к защите информации, основанные на международных регламентах. Готовы ли к ним российские и республиканские банки – пока неизвестно.

Правительство Татарстана еще в прошлом году выявило факты недостаточной осведомленности некоторых республиканских предприятий о способах информационной безопасности, в том числе и двух малых банков.

По мнению ведущего специалиста консалтинговой компании IT-com Рустама Зиннурова, сейчас для успешного развития руководству банка, как любой другой организации, важно иметь целостную информацию обо всех сферах деятельности своей компании: «Для этого необходимо создать единую информационную систему, позволяющую не только автоматизировать процессы, но и сделать их более контролируемыми и эффективными. Важно предупредить атаку на свои ресурсы.

Работает принцип: предупрежден – значит вооружен».

По результатам опроса компании Ernst & Yong, проведенного в России, только 40% компаний уверены, что могут обнаружить атаки на свои ресурсы. А это значит, что оставшиеся 60% могут даже и не знать о том, что подверглись нападению со стороны злоумышленников или вредоносных программ.

Как банкиры, так и IT-специалисты соглашаются с аналитиками в том, что защита должна строиться не только на внедрении специализированного оборудования, но и на защите от «человеческого фактора». О каком бы высокотехнологическом совершенствовании не говорилось, инсайдерство (внутреннее умышленное раскрытие корпоративной тайны) остается одним из самых опасных рисков потери информации. Правда, совсем недавно правительство РФ отклонило законопроект о мерах по борьбе от инсайдерства. Эксперты считают, что ряд технических вопросов связанных с полномочиями контролирующих органов-специалистов федеральной службы по финансовым рынкам нужно еще отработать.

Похожий по своей структуре Федеральный закон №152 «О персональных данных» уже был принят в банковских кругах неоднозначно. Согласно ему каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечивает конфиденциальность всей этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы. Банкирам показалось это слишком жесткими мерами воздействия.

А пока банки стараются обезопасить себя от внутренних угроз по старинке. Во всех организациях при устройстве на работу каждый подписывает обязательство о неразглашении конфиденциальной информации. Сотрудники имеют доступ только к тем информационным и другим ресурсам, которые необходимы им для выполнения служебных обязанностей. Ограничен доступ к устройствам и портам ввода-вывода информации. Отслеживаются интернет-сайты, посещаемые сотрудниками. Тотальный контроль за всем, что происходит во всем, что касается банковской тайны.

По словам аналитика ИК « Атон-Лайн» Михаила Кабакова, не стоит надеяться, что информационная банковская безопасность не касается обычных людей. «Сейчас наблюдается рост популярности услуг интернет-банкинга. Это особая приманка для мошенников. Поэтому в ближайшее время рост таких преступлений, как фишинг или скоринг, будет расти. Клиентам важно соблюдать все меры безопасности при работе через интерент-банкинг или при снятии денег по банковской карточке.

Тем более когда появились и вовсе курьезные случаи: злоумышленники устанавливают лжетерминальные устройства для получения денег или информации о вас», – предупреждает аналитик.