Банки и финансовые компании имеют серьезные проблемы с защитой
admin
🕛 28.07.2005, 00:47
Практика последних месяцев показала, что наибольший общественный резонанс вызывают случаи утечки конфиденциальной информации именно из финансовых организаций. С одной стороны, это можно объяснить тем, что пресса и общество очень чувствительно относятся ко всему, что «бьет по карману». С другой стороны, частота инцидентов и масштабы утечек настолько велики, что действительно уже пора вознегодовать: «А вообще, способны ли банки и кредитные компании защитить сведения своих клиентов?». Прежде чем ответить на этот вопрос, необходимо рассмотреть те проблемы, с которыми сталкиваются компании кредитно-финансового сектора.<more>Одна из нерешенных проблем на сегодняшний день - безопасность процессов, вынесенных в третьи компании, а порой и третьи страны. Взять хотя бы инцидент с публикацией в лондонском таблоиде «The Sun», где журналист просто пообещал предоставить публике конфиденциальные сведения о банковских счетах более 1 тыс. англичан. Как показало дальнейшее расследование, утечка произошла в одном из call-центров Индии, куда несколько британских банков вынесли часть своих функций. В результате инцидента доверие общества к компаниям Lloyds TSB, Barclays, Woolwich и HSBC было подорвано.
Перед инцидентом, так разрекламированным газетой «The Sun», сотрудников другого индийского call-центра обвинили в краже 350 тыс. долларов со счетов американских клиентов Citibank. Однако не одни лишь западные банки испытывают трудности такого рода. По мнению многих авторитетных экспертов в России безопасность call-центров еще ниже, чем в странах Европы и Северной Америки. Вдобавок можно утверждать, что латентность преступлений в сфере утечек конфиденциальных сведений в России выше, чем, например, Великобритании или США. Это связано с тем, что согласно российским законам компании не обязаны уведомлять клиентов, чьи данные были скомпрометированы. Другими словами, все создано для того, чтобы как можно скорее «замять» инцидент и избежать общения с недружелюбно настроенной прессой.
Еще один бич кредитно-финансовых компаний - общая небезопасность ИТ-инфраструктуры. Именно так можно охарактеризовать последний скандал с потенциальной утечкой записей о более 40 миллионах кредитных карт. Нарушив требования, предъявляемые компанией MasterCard, и элементарные правила ИТ-безопасности, CardSystems Solutions допустила злоумышленников к базе данных, содержащей приватные сведения. В результате, 70 тыс. записей были точно скомпрометированы, а еще 40 млн. лишь потенциально.
Наконец самой серьезной проблемой банков являются продажные сотрудники, которые за деньги готовы продавать на стороне любые сведения о счетах клиентов. Например, в мае 2005 года была зарегистрирована самая крупная банковская утечка приватных данных в США. Жертвой целой банды продажных клерков стали 4 крупнейших банка США (Wachovia, Bank of America, Commerce Bancorp и PNC Bank) и почти 700 тыс. американских граждан.
В результате всех вышеперечисленных инцидентов, а также целого ряда других около четверти совершеннолетнего населения Великобритании либо испытали кражу личности на себе, либо знают кого-то, с кем это произошло. Почти 60% американских граждан, опрошенных в январе 2005 года, выразили свою озабоченность проблемой кражи личности, а 6% пришлось даже сменить банк, чтобы уменьшить подобные риски. Именно таковы результаты последних статистических исследований.
Как же банкам обезопасить приватные данные своих клиентов? Возможно ли это вообще? Эксперты компании InfoWatch считают, что финансовые компании действительно могут обеспечить приемлемый уровень защиты. В качестве пути минимизации рисков предлагается целый ряд мер.
Во-первых, необходимо убедиться в том, что внешний партнер, берущий на себя часть функций банка, реализовал соответствующие политики и процедуры, а также внедрил соответствующие технические средства внутренней ИТ-безопасности. Здесь следует отметить, что, когда речь идеи о внешней компании, часто находящейся в другой стране, недостаточно проследить за финансовой отчетностью и требованиями к ИТ-инфраструктуре, необходимо проконтролировать и все остальное - вплоть до физической безопасности. Дополнительную информацию о технических требованиях к средствам ИТ внешних партнеров по бизнесу можно найти здесь.
Во-вторых, необходимо обеспечить соответствие банковской ИТ-инфраструктуры всем требованиям существующих стандартов. В России, например, с 1 декабря 2004 года используется стандарт Центрального Банка «Обеспечение информационной безопасности организаций банковской системы:», который позволяет оптимизировать не только управление ИТ-безопасностью, но также описывает жизненный цикл программных средств и критерии оценки безопасности информационных ресурсов банка. Эксперты отзываются о новом стандарте положительно, указывая на выгоду реализации его положений, как для самого банка, так и для его клиентов.
В-третьих, необходимы специальные средства контроля над всеми операциями, осуществляемыми над конфиденциальной информацией. К сожалению, без дополнительной защиты невозможно обезопасить приватные сведения. Какие требования следует предъявлять к таким средствам контроля? Прежде всего, покрытие всех каналов утечки данных: ресурсов Интернета (веб, почта, пейджеры и т.д.) и средств вывода рабочих станций (принтеры, мобильные носители и т.д.). Во вторую очередь, активный мониторинг всех действий пользователя по изменению конфиденциальной информации. Зачастую существующие технические решения дополнительно решают целый комплекс сопутствующих проблем, в результате чего банку значительно проще пройти сертификацию. Это как расширенные средства аудита и ведения журналов, так и управление жизненным циклом корреспонденции (электронной почты и сообщений сетевых пейджеров), включая архивирование, хранение и ретроспективный анализ.
В заключение важно заметить, что проблемы банков обусловлены недостаточным вниманием к собственной внутренней ИТ-безопасности. Реализация указанных выше мер позволит минимизировать риски утечки конфиденциальных данных, не потерять доверия клиентов и не превратиться в очередной объект статистики инцидентов в сфере ИТ-безопасности.
Источник:infowatch.ru