Кібербезпека банківських та комерційних структур
3. Безпека автоматизованих систем обробки інформації банку
Під безпекою автоматизованих систем обробки інформації банку необхідно розуміти таку їх властивість, що полягає у спроможності протидіяти спробам завдання збитків власникам і користувачам системи, тобто захищеності від спроб розкрадання чи руйнування її компонентів.
Таким чином, головними завданнями будь-якої системи інформаційної безпеки є:
• забезпечення доступності даних для авторизованих користувачів - можливості оперативного отримання інформаційних послуг;
• гарантія цілісності інформації - її актуальності і захищеності від несанкціонованих змін або знищення;
• забезпечення конфіденційності відомостей.
Незважаючи на безліч можливостей витоку інформації, безпеку банківських даних та їх конфіденційність забезпечити цілком можливо. Існує досить велика кількість способів захисту комп´ютерів. Є методи, які ґрунтуються на застосуванні безпечних операційних систем та апаратного забезпечення, що здатне захистити комп´ютерну систему. Хоча під час проектування комп´ютерної системи необхідно взяти до уваги чимало характеристик. Безпека є серед них однією з найважливіших.
Небезпечні програми деколи не правильно уподібнюються з комп´ютерними вірусами, тоді коли вірус - лише один із злочинних видів шкідливих програм.
В банківських автоматизованих системах вибір засобів захисту інформації - досить складна задача, а при її рішенні особливо необхідно врахувати можливість різних протиправних дій щодо порушення працездатності такої системи, вартість реалізації засобів захисту і наявність різних зацікавлених сторін. Варто зазначити, що важливість забезпечення інформаційної безпеки оцінена і на державному рівні, що відбивається у вимогах нормативно-правових актів. Наприкінці 2017 року, Національний банк України встановив вимоги до кіберзахисту, які повинні впроваджуватися банками. Вимоги спрямовані на посилення захисту інформації у банківській системі з урахуванням актуальних кіберзагроз. Заходи безпеки інформації включають:
1. Контроль доступу до ресурсів АБС (управління доступом)
2. Ідентифікація і аутентифікація АБС (користувачів процесів і т.д.)
3. Реєстрація та аналіз подій, що відбуваються в АБС.
4. Контроль цілісності об’єктів АБС.
5. Шифрування даних.
6. Резервування ресурсів і компонентів АБС.
Кожен напрямок включає кілька етапів роботи. Наприклад, контроль за доступом, тобто обмеження можливостей використання ресурсів системи програмами, процесами і користувачами згідно з політикою безпеки забезпечує захист не тільки від зовнішніх і внутрішніх зловмисників, але в тому числі дозволяє захиститися від помилок персоналу, що призводять до втрат еквівалентним реалізації атаки зловмисником.
Управління доступу - захист інформації шляхом регулювання доступу до всіх ресурсів системи. Регламентуються порядок роботи користувачів і персоналу, право доступу до окремих файлів в базах даних і т.д.
Доступ до даних банку захищається за допомогою системи ідентифікації, тобто паролями або електронними ключами. Ідентифікація - це присвоєння коду кожному об´єкту персонального ідентифікатора. Аутентифікація - встановлення автентичності. Нові можливості дозволяють використовувати багатофа- кторну посилену ідентифікацію при авторизації в банківській системі. Така ау- тентифікація особливо актуальна в роботі співробітників, що мають права введення і підтвердження фінансових документів.
Для аналізу ефективності вжитих заходів необхідно вести облік або запис, які будуть відзначати працездатність й дієвість застосованих засобів захисту інформації в банку. Ці функції забезпечують отримання й аналіз інформації про стан ресурсів системи, реєстрацію дій, які можуть бути визначені як небезпечні ситуації, ведення журналу, який допоможе оперативно зафіксувати події, що відбуваються в системі. Аналіз журналу, якщо його вести належним чином, може допомогти у визначенні засобів, які використовував зловмисник під час порушення системи захисту, у визначенні реального стану системи, у виборі способів розслідування в разі порушення і підказати шляхи виправлення ситуації.
Контроль за цілісністю , тобто захист від несанкціонованої модифікації суб´єктів системи. Це фактично - контроль за цілісністю атрибутів суб´єкта, контроль за послідовністю і повнотою процесів та режимів їх виконання. Механізм контролю цілісності здійснює стеження за незмінністю контрольованих об´єктів, захист від шкідливого коду. При несанкціонованому знищенні, додаванні зайвих елементів та модифікації даних, зміну порядку розташування даних, формуванні фальсифікованих платіжних документів у відповідь на законні запити, активної ретрансляції повідомлень з їх затримкою. Цілісність порушується при, викраденні або незаконної зміні алгоритмів роботи. Забезпечення цілісності - частина комплексу заходів по досягненню безпеки інформації. Загрози, що відносяться до можливостей несанкціонованої модифікації інформації, є загрозами цілісності. Загрози, що відносяться до можливостей несанкціонованого ознайомлення з інформацією є загрозами конфіденційності. В загальному випадку вважається, що для захисту інформації повинні бути створені механізми захисту. Це управління доступом до ресурсів, включаючи доступ до паролів, надання рівнів доступу до об’єктів, ідентифікація, реєстрація та облік роботи користувачів. Порушення цілісності може статись в наслідок наступних причин:
1. Помилки користувачів, які викликають викривлення чи втрату інформації.
2. Навмисні дії осіб, які не мають прав доступу до системи.
3. Збої обладнання, які викликають викривлення чи втрату інформації.
4. Фізичний вплив на носії інформації.
5. Вірусні впливи.
Одним з дієвих методів реалізації вимог цілісності інформації є криптографічний захист інформації (шифрування, хешування, електронний цифровий підпис).
При комплексному підході до захисту АБС , напрям забезпечення цілісності та доступності інформації переростає в план заходів, що спрямовані на забезпечення безперервності роботи АБС. Система шифрування даних забезпечує безпеку при обміні інформацією, тому всі дані, передані в банк або прийняті від банку, шифруються спеціальним методом згідно стандартів КО 8730 та КО 8731. Засоби шифрування доволі надійно захищають комп´ютерну інформацію від кіберзагроз. Кодування тексту за допомогою складних математичних алгоритмів, отримує все більшу популярність. Звичайно, що не один з алгорит мів шифрування не дає стовідсоткової гарантії захисту від зловмисників, але все ж, деякі методи шифрування досить складні, щоб дати змогу ознайомитися з повідомленнями зашифрованого змісту. Досить дієвим та потужним є застосування для захисту інформації криптозахисту, тобто систем, які дозволяють зашифрувати та дешифрувати інформаційні потоки.
RSA (абревіатура від англ. Прізвищ Rivest, Shamir та Adleman) - це один із поширених методів шифрування на сьогодні. Алгоритм, в основі якого кожен учасник процесу має власний таємний ключ та відкритий ключ, який не має бути секретним, за допомогою нього проводиться обмін повідомленнями. Електронний цифровий підпис (ЕЦП) - це модель власно діючого підпису в електронному вигляді певної посадової особи. Криптографічні методи широко застосовуються у АБС та мають реалізацію у вигляді програмних, апаратних чи програмно-апаратних методів захисту інформації. Криптографія є провідним засобом забезпечення конфіденційності і контролю цілісності інформації. Вона займає центральне місце серед програмно-технічних регулювальників безпеки, що є фундаментом реалізації багатьох з них і останньою захисною межею.
Суворий облік каналів та серверів, а також заходи, що забезпечують технічний захист інформації і безпеку банку мають на увазі захист резервних копій, забезпечення безперебійного живлення устаткування, що містить цінну інформацію, обмежений доступ до сейфів та захист від витоку інформації акустичним способом.
Резервування ресурсів та абонентів АБС передбачає: організацію регулярних процедур порятунку і резервного зберігання критичних даних, періодичну перевірку резервних пристроїв обробки даних, підготовку фахівців, здатних замінити адміністраторів систем, реєстрацію систем та зберігання носіїв інформації в суворо визначених місцях, видачу їх уповноваженим особам з необхідними відмітками в реєстр траційних документах.
Безпека банкоматів та платіжних терміналів повинна забезпечуватися з використанням традиційних засобів - антивірусного захисту. В той же час специфіка таких пристроїв вимагає застосування додаткових засобів захисту. Створення «замкнутого програмно-апаратного середовища», повністю виключає установку любого стороннього програмного забезпечення і підключення зовнішніх пристроїв.
Система безпеки в цілому - це безперервний процес ідентифікації, аналізу та контролю. Оскільки інформація, що знаходиться в базі даних банків являє собою реальну матеріальну цінність, то вимоги до зберігання та обробки цієї інформації завжди будуть підвищеними.
Уточнення і доповнення безлічі актуальних загроз безпеки банківської інформації, безпека інформації і кібербезпека в банківському секторі, це основа для створення нового синергетичного підходу в області інформаційної безпеки АБС. Для аналізу основних видів загроз безпеки банківської інформації використовується відома модель безпеки - тріада CIA (Confidentiality, Integrity, Availability) в трьох сферах безпеки: інформаційної безпеки, безпеки інформації та кібернетичної безпеки.
У даній моделі під «інформаційною безпекою» розуміється процес забезпечення конфіденційності, цілісності і доступності інформації клієнтами банку. У моделі «конфіденційність» - забезпечення доступу до інформації тільки авторизованим користувачам, «цілісність» - забезпечення достовірності і повноти інформації, «доступність» - забезпечення доступу до інформації.
Модель синергетичного підходу - оцінка безпеки банківських систем. В процесі аналізу ризиків інформаційної безпеки можуть використовуватися спеціалізовані програмні комплекси, що дозволяють автоматизувати процес аналізу вихідних даних та розрахунку значень ризику. Прикладом такого комплексу є «АванГард». Ціллю інформаційної безпеки є забезпечення трьох найважливіших сервісів безпеки. Відповідно моделі безпеки інформації включають: конфіденційність, цілісність і доступність. Слід зазначити ключову особливість, характерну тільки пропонованому синергетичному підходу до безпеки банківської інформації. Основна мета запропонованого підходу - це порушення в системі забезпечення банківської інформації керованих емерджентних властивостей, спрямованих на отримання синергетичного ефекту, який досягається завдяки якісно новому підходу до безпеки. Таким чином, виходячи із потреби дотримання правила триєдиної позиції до забезпечення безпеки банківської інформації в рамках синергетичного підходу при взаємодії вибраних профілів безпеки і з метою підвищення рівня її захищеності є оцінювання величини ризику аналогічного грошового капіталу.
Сенс запропонованого підходу може бути представлений в вигляді деякої умовної фігури. Дані методи дозволять, визначити і класифікувати загрози і, відповідно до вірогідності наступу негативних наслідків та їх можливої тяжкості для Банку, організувати систему захисту.