Кібербезпека банківських та комерційних структур
1. Захист інформації в інформаційних системах банківських установ
Як інформаційний об’єкт банк є єдиним комплексом компонентів, пов’язаних між собою єдиною метою, структурними відносинами, технологіями інформаційного обміну. Ці компоненти в процесі функціонування банку можуть змінюватися, на них можуть здійснювати вплив різного роду внутрішні та зовнішні чинники, які складно прогнозувати та оцінювати. Велику кількість компонентів, які формують банк як об’єкт інформатизації , можна подати сукупністю чотирьох груп: персонал, технічні засоби інформатизації, програмне забезпечення, документи.
Ці групи зазнають впливу різного роду специфічних факторів і, взаємодіючи між собою, впливають одна на одну, формуючи відповідний стан інформаційної безпеки банку. Як показує практика, робота з кожною з цих груп щодо забезпечення інформаційної безпеки чи, зокрема, щодо захисту інформації призводить до покращення якостей безпеки по одних параметрах і погіршення по інших, що вимагає комплексного підходу до забезпечення інформаційної безпеки банку.
Забезпечення інформаційної безпеки і такої її складової, як захист інформації, неможливо здійснити лише організаційними чи технічними заходами, або, скажімо, програмними чи криптографічними. Дії щодо забезпечення інформаційної безпеки повинні бути регулярним процесом, що здійснюється на всіх напрямах діяльності банку на основі комплексного застосування всіх заходів і засобів безпеки. При цьому засоби, заходи та методи безпеки найбільш раціональним способом об’єднуються в єдиний цілісний механізм не лише для захисту від зловмисників, а й від некомпетентних, недобросовісних працівників банку та різних непередбачуваних ситуацій. Тобто забезпечення інформаційної безпеки як і кожної з її складових мусить мати системний та комплексний характер .
Системність заходів інформаційної безпеки має передбачати таке:
• високий ступінь захищеності інформації банків як головну характеристику її якісного стану;
• заходами безпеки охоплюються всі інформаційні ресурси банку всієї його структури;
• діяльність щодо забезпечення інформаційної безпеки є безперервною і плановою, на основі єдиної концепції безпеки;
• забезпечення інформаційної безпеки здійснюється у тісній єдності з поточною діяльністю банку.
Комплексний характер системи забезпечує оптимізацію заходів і засобів, що використовуються нею задля створення необхідного балансу вимог і можливостей інформаційної безпеки банку. Комплексний підхід обумовлюється ще й тим, що загрози інформації банку мають різноманітний характер, перекриття яких потребує застосування багатьох, різних за призначенням заходів і засобів.
Більше того, забезпечення безпеки у сучасних умовах має здійснюватися як на технологічному, так і на логічному рівнях, що повинно забезпечувати урахування всіх факторів і особливостей, які впливають на безпеку банку, а також усіх компонентів інформаційної роботи: збирання, оброблення, зберігання, передавання, використання інформації. За таких умов системність та комплексність банківської безпеки, у тому числі й у сфері захисту інформації є обов’язковою умовою її високої ефективності.
Основними об’єктами захисту в банку є:
• фінансові ресурси (національна та іноземна валюта, банківські (комерційні) операції та операції банку, коштовності, фінансові документи);
• персонал банку (керівництво і вищий менеджмент банку, особи, які мають доступ до його таємниць, інші працівники банку);
• матеріальні засоби (будівлі, сховища, обладнання, транспорт, засоби і системи інформатизації);
• інформаційні ресурси банку з обмеженим доступом (відомості, що є банківською і комерційною таємницею банку і його конфіденційною інформацією).
Важливе значення у захисті інформації має політика безпеки банку.
Ми вже знаємо, що політика безпеки - це прийнята в банку сукупність норм, правил, рекомендацій згідно з якими будується система його безпеки та управління нею. Вона реалізується за допомогою організаційних заходів і програмно- технічних засобів, які визначають архітектуру системи захисту та за допомогою засобів управління механізмами захисту. Для кожного конкретного банку політика безпеки є індивідуальною і залежить від особливостей технологій банківського виробництва, змісту інформаційної діяльності та умов роботи банку.
Відповідно до прийнятої в банку політики безпеки проводяться організаційні заходи щодо створення системи захисту інформації.
Система захисту інформації банку - це організована сукупність об’єктів і суб’єктів захисту інформації, заходів, методів і засобів, що використовуються для захисту. Основна мета створення системи захисту інформації - забезпечення надійності зберігання і використання інформації в банку.
Сьогодні в банках напрацьовано відповідний алгоритм роботи з організації системи захисту інформації, який включає такі дії:
• визначення вразливості інформації банку (виявлення в інформаційній системі банку місць, використання яких зловмисниками може завдати шкоди інформаційним ресурсам і в цілому банку);
• визначення мети, завдань та об’єктів захисту інформації;
• вибір форм, способів і засобів захисту інформації;
• формування елементів системи захисту інформації, її сил та засобів;
• створення нормативної бази банку з питань захисту інформації;
• планування функціонування системи, використання нею сил та засобів захисту інформації у відповідності до особливосте і діяльності банку;
• забезпечення взаємодії всіх елементів системи між собою та з іншими компонентами, які згідно з політикою безпеки можуть бути задіяні для захисту банківської інформації;
• забезпечення функціонування системи (матеріальне, фінансове, наукове та ін.);
• контроль стану захищеності інформації, надійності функціонування системи та ефективності заходів, що вживаються нею.
Система захисту інформації платіжних систем банку повинна складатися з:
1) законодавчих актів України та інших нормативно-правових актів, а також внутрішніх нормативних актів суб’єктів переказу, що регулюють порядок доступу та роботи з відповідною інформацією, а також відповідальність за порушення цих правил;
2) заходів охорони приміщень, технічного обладнання відповідної платіжної системи та персоналу суб’єкта переказу;
3) технологічних та програмно-апаратних засобів криптографічного захисту інформації, що обробляється в платіжній системі.
Система захисту інформації платіжних систем банку має забезпечувати :
1) цілісність інформації, що передається в платіжній системі, та компонентів платіжної системи;
2) конфіденційність інформації під час її обробки, передавання та зберігання в платіжній системі;
3) неможливість відмови ініціатора від факту передавання та отримувачем від факту прийняття документа на переказ, документа за операціями із застосуванням засобів ідентифікації, документа на відкликання;
4) забезпечення постійного та безперешкодного доступу до компонентів платіжної системи особам, які мають на це право або повноваження, визначені законодавством України, а також встановлені договором.
Банки, як правило, не передбачають захисту відкритої інформації. Але ж відкритість інформації не позбавляє її цінності, а цінна інформація, безумовно, має захищатися, насамперед від втрати її. Захист такої інформації здійснюється за допомогою реєстрації її носіїв, обліку, контролю наявності. Водночас захист відкритої інформації не повинен обмежувати її загальнодоступність, але доступ до неї має бут и контрольованим із дотриманням відповідних вимог щодо її збереження. Тобто відкрита інформація є об’єктом захисту, і стосовно неї мають проводитися певні заходи в системі захисту інформації. Загальною ж основою для вибору об’єкта захисту є цінність інформації .
Критеріями цінності інформації можуть бути:
• необхідність інформації для правового забезпечення діяльності банку;
• необхідність інформації для здійснення виробничої діяльності банку;
• необхідність інформації для ефективного управління діяльністю банку, об’єктивного прийняття управлінських рішень, організації прибуткової діяльності банку;
• необхідність інформації для формування ресурсної бази банку та забезпечення його безпеки.
Водночас система захисту інформації банку у своєму функціонуванні має конкретний характер і потребує однозначної конкретизації об’єктів захисту. Інформація, на яку спрямовуються зусилля системи захисту не існує сама по собі, а фіксується (відбивається) у відповідних матеріальних об’єктах або пам’яті людей, тобто вона існує на відповідних носіях.
Таким чином, обираючи об’єкт захисту, ми маємо визначити певний перелік носіїв невідомої третім особам інформації, за рахунок якої банк отримує певні переваги у своїй діяльності. Тобто це можуть бути відповідні документи, матеріали (у тому числі магнітні, магнітооптичні, оптичні та інші засоби), вироби (засоби відображення, оброблення, відновлення, передання інформації), мережі зв’язку та передання даних, а також працівники банку. Захист цих об’єктів має здійснюватися регулюванням доступу до них, установленням відповідного порядку їх використання (діяльності) та формуванням умов зберігання. Якраз ці заходи і складають структуру системи захисту інформації.
Зазначені заходи в системі захисту інформації проводяться за допомогою технічних, програмних і правових засобів (ми їх розглянули вище). До технічних засобів регулювання доступу можна віднести кодовані замки на вході в приміщення, міститься відповідна інформація, установлення засобів і систем пропуску на територію банку, спеціальні прилади та пристрої, що регулюють доступ до інформації, яка зберігається в комп’ютерах. За допомогою програмних засобів розмежовується доступ до інформації в інформаційних комп’ютерних системах і мережах банку. Правові засоби є загальними, вони встановлюють як порядок роботи з інформаційними ресурсами банку, так і умови та правила використання технічних і програмних засобів захисту інформації.
На сьогодні вітчизняними банками напрацьовано певний досвід формування нормативно-правової бази з питань захисту інформації.
Насамперед відповідні положення про захист комерційної таємниці включаються до Статуту банку. Зокрема, у них вказується право банку на:
• комерційну таємницю;
• самостійне визначення складу й обсягу відомостей, що становлять комерційну таємницю і конфіденційну інформацію банку;
• захист комерційної таємниці.
Особливим напрямком забезпечення інформаційної безпеки в банках є захист банківських інформаційних систем . Тому при розробленні архітектури та створенні інфраструктури банківської інформаційної системи слід забезпечити її захищеність від загроз.
Вирішення цієї проблеми полягає в детальному аналізі таких взаємопов’язаних видів робіт, як проектування та впровадження банківської інформаційної системи, її атестація, аудит та обстеження на предмет безпеки.
З метою забезпечення збереженості конфіденційності, цілісності та доступності інформації, що циркулює в банківських установах, банки мають використовувати у своїй діяльності спеціалізоване програмно-апаратне забезпечення.
1) програмний захист від несанкціонованого входу на робочу станцію комп’ютерної мережі банківської установи;
2) організації локальної обчислювальної мережі на базі доменної структури. Це дасть змогу адміністратору такої мережі, по-перше, розмежувати права доступу всіх користувачів до певних класів інформації, по-друге, розписати для кожного користувача політику безпеки та організувати його власний профіль, по-третє, обмежити обсяг доступної для збереження інформації з метою збереження сервера від перевантаження та втрати основних властивостей інформації, по-четверте, організувати статистику роботи користувачів у мережі, та у разі необхідності виявити спробу несанкціонованого доступу зловмисника до інформації (доцільний є використання програм-сирен);
3) програмні модулі мережевого сканування для виконання деяких завдань. Це по-перше, сканування робочих станцій, які ввійшли в мережу, подруге, виявлення несанкціонованої роботи не легалізованих робочих станцій в мережі, по-третє, виявлення нестандартних процесів, завантажених в оперативну пам’ять робочих станцій, по-четверте, виявлення несанкціонованого програмного забезпечення сканування мережі, тощо;
4) використання серверної платформа та програмні клієнтські модулі управління системою антивірусного захисту. Цей спосіб дає змогу налаштувати автоматичне сканування всієї локальної обчислювальної мережі. Всі основні налаштування, такі як автоматичне щоденне оновлення всіх частин системи ан- тивірусного захисту, автоматичне сканування мережі та робочої станції, тощо, відбуваються на серверній частині програмного забезпечення;
5) криптозахист файлів електронної пошти банківської установи, які можуть зберігатись на спеціальному поштовому серверів.
Використання всіх перелічених складових дасть змогу забезпечити надійний захист інформації, яка циркулює в автоматизованих системах банківської установи.
Кіберзахист в автоматизованих банківських системах
Згідно із Законом України “Про основні засади забезпечення кібербезпеки України” Національний банк України повинен визначити порядок, вимоги та заходи із забезпечення кіберзахисту та інформаційної безпеки для суб’єктів переказу коштів, а також здійснювати контроль за їх виконанням.
Національний банк України має намір уперше врегулювати питання щодо забезпечення належного рівня кіберзахисту та інформаційної безпеки у сфері переказу коштів.
Вже розроблено відповідний проект постанови Правління Національного банку України “Про затвердження Положення про кіберзахист та інформаційну безпеку в платіжних системах та системах розрахунків”.
Зокрема Проектом постанови передбачено визначити:
• вимоги до суб’єктів платіжного ринку щодо побудови системи захисту інформації та кібербезпеки;
• порядок дій при виявленні кібератак, що знижують надійність функціонування платіжних систем та систем розрахунків;
• вимоги до організаційних та технічних заходів з метою забезпечення захисту інформації та кібербезпеки суб’єктами платіжного ринку тощо.
В основу цього документу покладено вимоги і рекомендації національних та міжнародних стандартів з питань інформаційної безпеки, а також загальноприйняті у міжнародній практиці сучасні підходи до забезпечення інформаційної безпеки та кіберзахисту.
Прийняття проекту постанови дасть можливість:
• мінімізувати кількість інцидентів інформаційної безпеки та кіберінциндентів у сфері переказу коштів;
• урегулювати питання використання засобів захисту інформації;
• підвищити надійність функціонування та ефективність платіжних систем і систем розрахунків;
• пришвидшити процес модернізації існуючих платіжних систем з урахуванням сучасних технологій захисту інформації.