Кібербезпека банківських та комерційних структур
1. Загрози інформаційній безпеці банківської установи. Вразливості
В інформаційних взаємовідносинах суб’єктів господарювання (зокрема, банків) можуть виникати два види загроз : загрози, пов’язані з посяганням на їх інформаційні ресурси (переважно ту частину, яка має обмежений доступ) - загрози інформації та загрози, що виникають під час формування інформаційного середовища (умов) діяльності таких суб’єктів - інформаційні загрози.
Як свідчить досвід, основними способами реалізації таких загроз є:
• маніпулювання інформацією (дезінформація, викривлення інформації, подання в інформаційне середовище неповної або неправдивої інформації);
• порушення встановленого порядку інформаційного обміну, несанкціонований доступ або необґрунтоване обмеження доступу до інформаційних ресурсів, протиправне збирання і використання інформації;
• руйнування та використання з протиправною метою чужих інформаційних ресурсів;
• інформаційний тероризм (поширення комп’ютерних “вірусів”, установлення програмних та апаратних пристроїв, призначених для несанкціонованого отримання інформації, упровадження радіоелектронних приладів перехоплення інформації, незаконне використання чи порушення роботи інформаційних і телекомунікаційних систем, нав’язування фальшивої інформації, оприлюднення компрометуючої інформації та ін.).
Джерелами загроз інформаційній безпеці банку можуть бути як зовнішніми, так і внутрішніми. До внутрішніх загроз безпеці банківської установи можна віднести:
• втрату інформації,
• некомпетентність персоналу,
• розголошення конфіденційної інформації,
• незаконне використання банківської інформації,
• знищення інформації,
• викривлення інформації,
• викрадення конференційної інформації,
• витік інформації;
• помилки обслуговуючого персоналу та користувачів;
• втрату чи руйнування інформації, обумовлена неправильним збереженням архівних даних на магнітних носіях;
• випадкове знищення чи зміна даних;
• збої обладнання електроживлення;
• збої кабельної системи;
• перебої в електроживленні.
До зовнішніх загроз безпеці банківської установи відносять:
• модифікацію змісту даних,
• порушення конфіденційності банківської інформації,
• порушення логічної цілісності банківської інформації,
• порушення прав власності на інформацію,
• порушення фізичної цілісності банківської інформації;
• несанкціонований доступ сторонніх осіб, що не належать до числа працівників, до конфіденційної інформації і мережевих ресурсів;
• розкриття і модифікація інформації і програм;
• копіювання інформації і програм;
• розкриття чи модифікація або підміна трафіку передачі інформації мережею;
• поширення комп’ютерних вірусів;
• введення в програмне забезпечення логічних бомб;
• руйнування архівної інформації або навмисне її знищення;
• фальсифікація повідомлень, переданих каналами зв’язку.
Розглядаючи загрози банківській інформації, найбільш поширеними з них можна вважати:
Розголошення банківської інформації - це протиправні умисні чи необережні дії посадових чи інших осіб, які призвели до несанкціонованого, без службової необхідності оголошення відомостей, щодо яких установлений певний порядок їх розкриття. Воно може здійснюватися через повідомлення, передавання, пересилання, публікації, втрати чи іншим способом оприлюднення зазначених відомостей.
Викраденням інформації є таємне вилучення носіїв інформації (документів, електронних носіїв, відео- та аудіозаписів) з метою подальшого їх використання іншою особою чи передання їх такій особі.
Знищенням є приведення носіїв інформації (документів, електронних носіїв, аудіо-, відеозаписів та інших носіїв, що мають матеріальний характер) до стану, непридатного для їх подальшого використання, або ж до неможливості використання інформації, яка на них зберігалась.
Модифікацією інформації є внесення змін до змісту інформації, яка містилася на певних носіях, або ж до самих носіїв (комп’ютерних програм), у результаті чого використання даної інформації стає неможливим взагалі чи така інформація потребує суттєвого уточнення та аналізу.
Незаконне використання інформації означає використання певних даних, знань, технологій, які на праві власності на лежать певній юридичній чи фізичній особі, без її згоди або з порушенням установленого порядку їх використання особами, яким така інформація відома у зв’язку з їхнього службовою чи іншою діяльністю.
Несанкціонованим буде також доступ до інформації з порушенням установлених правил доступу до неї.
Зазначені загрози мають загальний характер і однаково стосуються всіх видів інформації: документованої, електронної, знань та ін.
Найбільш небезпечними загрозами є порушення конфіденційності інформації та витік інформації, оскільки банки побоюються цього з двох причин. По- перше, кожен витік конфіденційної інформації та персональних даних банку підриває його репутацію, так як в очах його партнерів, інвесторів і клієнтів банк набуває імідж організації, яка не в змозі навести порядок в своїх власних стінах. У результаті відбувається відтік інвестицій та міграція клієнтів та конкурентів.
По друге, інциденти такого роду можуть призвести до втрати конкуренто- здатності банку, якщо, наприклад, інтелектуальна власність або база клієнтів попадуть до конкурентів.
Отже, наслідком витоку конфіденційної інформації є втрата клієнтів, погіршення іміджу, зниження конкурентоздатності та прямі фінансові збитки банків. З проблемою витоку інформації можна боротись, але перемогти її повністю неможливо, оскільки ні апаратні, ні технічні засоби не можуть забезпечити необхідного захисту, бо техніка безсила проти витонченого розуму людини.
Загрози можуть бути навмисними, випадковими, природними і можуть бути результатом втрати будь-яких сервісів.
Особливу увагу слід звернути на людські джерела загроз, які можуть мати різну мотивацію - від політичних причин до простого самоствердження. Найбільш ймовірними та найбільш серйозними можна вважати загрози від власних працівників банку, в тому числі ті загрози, які можуть виникати від недостатньої обізнаності персоналу в питаннях інформаційної безпеки.
Приклади таких загроз наведено у таблиці 1.
Таблиця 1. Приклади загроз та їх джерела
Джерело загрози |
Загроза |
Хакери, кракери |
Хакерські дії Соціальна інженерія Втручання до системи, злом Неавторизований доступ до системи |
Комп’ютерні злочинці |
Комп’ютерні злочини Шахрайські дії Продаж інформації Спуфінг Втручання у систему Руйнування інформаційної системи |
Тероризм |
Кібертероризм Інформаційна війна Атаки на систему (наприклад, розподілена відмова в обслуговуванні) Підробка системи Фінансування терористичних організацій |
Дії конкурентів |
Політична перевага Економічні дії Крадіжка інформації Вручання в особисте життя Соціальна інженерія Проникнення у систему Неавторизований доступ до системи |
Персонал |
Напад на персонал “Чорна пошта” Перегляд інформації з обмеженим доступом Комп’ютерні зловживання Шахрайство і крадіжка Продаж інформації Фальсифікація та підробка даних Перехоплення Зловмисні коди (віруси, логічні бомби, троянські коні, тощо) Продаж персональної інформації Дефекти системи Втручання у систему Системний саботаж Неавторизований доступ до системи |
Варто також звернути увагу на загрози, пов’язані з глобалізацією інформаційних і телекомунікаційних технологій. У зв’язку з процесом міжнародної інтеграції та глобалізації обсяги та різноманітність загроз значно розширилися. Банки можуть зазнавати інформаційного удару щодо своїх інформаційних та фінансових ресурсів із глобального інформаційного простору. Серед найпоширеніших глобальних загроз - комп’ютерний тероризм і комп’ютерне хуліганство. Значне поширення Інтернет-технологій і відносна анонімність користувачів спровокували появу так званих хакерів, крекерів та ін. Вони є катастрофічно небезпечними для банківських комп’ютерних технологій, оскільки не тільки руйнують системи їх захисту, а можуть отримати досить важливу банківську інформацію з метою її знищення або передавання конкурентам банку.
Таким чином, у банківському секторі загрози інформаційній безпеці пов’язані з потенційною можливістю завдання шкоди ресурсам банківської системи, зокрема, інформації, працівникам банків, клієнтам банків, обладнанню, процесам банківської діяльності, банківським програмно-технічним комплексам, бізнес-процесам/банківським продуктам тощо. Деякі загрози можуть впливати на кілька ресурсів банківської системи. У такому випадку вони можуть чинити різний вплив на різні ресурси.
Загрози інформаційним ресурсам банківської установи можуть бути реалізовані шляхом :
• підкупу осіб, які мають безпосередній доступ до банківської таємниці та іншої інформації з обмеженим доступом банківської установи;
• необережного, недбалого поводження з банківською таємницею та іншою інформацією з обмеженим доступом;
• недотримання вимог збереження інформації з обмеженим доступом, встановлених у банківській установі, при контактах з контролюючими і наглядовими органами внаслідок правової та психологічної непідготовленості відповідальних працівників банківської установи тощо.
У реалізації загроз банківській інформації важливе місце займають канали її витоку, до яких можна віднести: візуально-оптичні, акустичні та акустич- но-перероблювальні, електромагнітні (у тому числі й магнітні та електричні), матеріально-речові (магнітні носії, папір, фотографії тощо).
Протидія переліченим загрозам має полягати, насамперед, у:
• визначенні надійності працівників підприємства, які працюватимуть з банківською таємницею та іншою інформацією з обмеженим доступом;
• організації спеціального діловодства з відомостями, що становлять та інформацію з обмеженим доступом банківської установи;
• обґрунтуванні і закріпленні диференційованого доступу працівників до банківської таємниці та іншої інформації з обмеженим доступом, при якому працівник може ознайомлюватися і вчиняти певні дії з нею виключно для виконання покладених на нього функціональних обов’язків;
• закріпленні персональної відповідальності працівника за збереження наданих йому або розроблених ним документів, інших носіїв інформації, що містять інформацію з обмеженим доступом банківської установи;
• обмеженні доступу працівників і сторонніх осіб до приміщень, у яких обробляється (зберігається) інформація з обмеженим доступом банківської установи;
• впровадженні заходів контролю за роботою працівників з носіями інформації з обмеженим доступом банківської установи, а також ефективної системи виявлення і фіксації протиправних діянь з такою інформацією;
• впровадженні надійної і ефективної системи зберігання носіїв інформації, що виключає несанкціоноване ознайомлення з ними, їх знищення чи підробку.
Суттєвими загрозами безпеці інформаційної інфраструктури є:
• неофіційний доступ та зняття інформації, що охороняється, технічними засобами;
• перехоплення інформації, що циркулює в засобах і системах зв’язку та обчислювальної техніки, за допомогою технічних засобів негласного зняття інформації, несанкціонованого доступу до інформації та навмисних технічних впливів на них в процесі обробки та зберігання;
• підслуховування з використанням технічних засобів конфіденційних переговорів, що ведуться в службових приміщеннях, автотранспорті тощо.
Протидія таким загрозам має полягати, передусім, у широкому і головне економічно доцільному застосуванні технічних засобів безпеки інформаційної інфраструктури.
Конкретними заходами ліквідації загроз безпеці інформаційної інфраструктури банківської установи мають бути:
• створення цілісності засобів захисту, технічного і програмного середовища, що полягає у фізичному збереженні засобів інформатизації, незмінності програмного середовища, виконанні засобами захисту передбачених функцій, ізольованості засобів захисту від користувачів;
• захист інформації від витоку внаслідок наявності фізичних полів за рахунок акустичних та побічних електромагнітних випромінювань і наводок на комунікаційні мережі та конструкції будівель;
• використання криптографічного захисту найбільш цінної інформації при її обробці в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку підприємства;
• надання диференційованого доступу працівникам для здійснення конкретних операцій (створення, читання, запис, модифікація, видалення) за допомогою програмно-технічних засобів, а також розмежування доступу користувачів до даних в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку банківської установи різного рівня та призначення;
• ідентифікація користувачів та здійснюваних ними процесів в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і мережах електрозв’язку установи на основі використання паролів, ключів, магнітних карт, цифрового підпису, а також біометричних характеристик особи як при доступі до інформаційно-телекомунікаційних систем;
• реєстрація (з фіксацією дати і часу) дій користувачів з інформаційними та програмними ресурсами в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах, зокрема протиправних спроб доступу;
• попередження передавання інформації з обмеженим доступом по незахи- щених лініях зв’язку;
• запобігання впровадженню в інформаційно-телекомунікаційні системи програм-вірусів;
• регулярна перевірка технічних засобів і приміщень для виявлення наявності в них пристроїв несанкціонованого доступу до інформації;
• обладнання спеціальних приміщень для захисту мовної інформації при проведенні конфіденційних переговорів тощо.
Суттєвим наслідком реалізації загроз інформаційній безпеці є підрив ділового іміджу банківської установи, виникнення проблем у взаємостосунках з реальними та потенційними клієнтами, конкурентами, контролюючими та правоохоронними органами, спричиненими передусім поширенням недостовірної, заздалегідь неправдивої інформації про банківську установу, здійсненням негативних інформаційних впливів на його керівництво, працівників тощо.
Вразливості, які можуть стати причиною негативної дії загроз інформаційній безпеці банківської установи можуть розглядатися на таких рівнях:
• банківська система в цілому,
• банк,
• процеси та процедури банківської діяльності,
• системи управління;
• банківські інформаційні системи,
• інформаційно-комунікаційні технології підтримки банківської діяльності,
• персонал,
• конфігурація програмно-технічних комплексів,
• залежність від зовнішніх організацій тощо.
При цьому некоректно запроваджені чи недієві заходи безпеки є одним із видів вразливостей, що знижують рівень безпеки банку в цілому і кожного біз- нес-процесу/банківського продукту окремо.
Розглянемо окремо вразливість інформації.
Вразливість інформації є одним із головних показників стану її захищеності. Тому визначення ступеня вразливості інформації у процесі організації її захисту має досить суттєве значення.
Результати, отримані у процесі визначення вразливості інформації, використовуються для встановлення складу інформації, яка підлягає безпосередньому захисту тобто об’єктів захисту. Загальний підхід тут полягає у тому, що захисту, підлягає вся інформація з обмеженим доступом і найбільш важлива частина відкритої інформації.