Разделы



Угрозы информационной безопасности банка

Отраслевая специфика банка как посредника на финансовых рынках и доверенного лица своей клиентуры определяет более обширный, чем в других отраслях, перечень возможных угроз его информационной безопасности. Их объектом могут выступать любые конфиденциальные сведения, рассмотренные в п. 1.3.1 настоящего УПП. Однако приоритетным объектом всегда являются сведения, составляющие банков скую тайну, что и определяет главное направление защиты конфиденциальной информации кредитно-финансовых организаций.

Субъектами угроз информационной безопасности банка могут выступать:

-      конкуренты как самого банка, так и его клиентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;

-      криминальные структуры, пытающиеся получить сведения о самом банке или его клиентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров неформальных пошлин с рэкетируемых ими предприятий - клиентов банка);

-      индивидуальные злоумышленники (в современных условиях - чаще всего наемные хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных це лях;

-      собственные нелояльные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;

-      государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

Угрозы информационной безопасности банка могут проявляться в следующих формах:

Дистанционное Обучение Форекс- - это замечательная перспектива для вас подготовиться к успешной работе на Forex!

перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшего банка заключается в том, что о самом факте утечки он, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);

-      хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи - приобретает соответ ствующие сведения и лишает их пострадавший банк;

-      повреждение или уничтожение информации, в результате кото рого субъектом угрозы достигается лишь задача нанесения ущерба атакуемому банку.

п»ї

Методы реализации угроз информационной безопасности банка

дифференцируются в зависимости:

■  от вида данных, являющихся объектом угрозы;

от субъекта угрозы.

При использовании классификации по первому признаку можно отметить, что основной угрозой является несанкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для банка структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любого банка системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций (см. 1.3.3 настоящего УПП). Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать (снимать) информацию с работающих ком пьютеров, факсов, модемов. Возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самого банка, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений - включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в банк всегда достаточно затруднительно, сторонние для него субъекты угроз так же стремятся использовать в этих целях собственный персонал кредитно-финансовых организаций.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства - скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе - в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемого банка в части приобретения необходимых технических средств перехвата ин формации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты как самого банка, так и его клиентов. Чаще всего ими применяются:

■   вербовка сотрудников территориальных налоговых органов и учреждений Центрального банка, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкурирующему банку и особенно распространено в современных отечественных условиях);

п»ї

■   внедрение своих агентов в атакуемый банк, что доступно лишь для наиболее крупных конкурирующих банков и корпораций, располагающих мощными службами безопасности и специально подготовленными сотрудниками;

■   вербовка сотрудников атакуемого банка с использованием методов подкупа и реже шантажа (см. раздел 1.4 настоящего УПП);

■   использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;

■   использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемого банка, применяя для этого прямые угрозы, шантаж и, реже, подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники банка могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних для банка структур. Чаще всего, при реализации рассматриваемых угроз они используют собственное  служебное положение,  обеспечивающее им доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять роль резидентов нанявших их сторонних для банка структур. В этом случае, сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовка информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государство в отличие от конкурентов, чаще используют метод внедрения в контролируемый ими банк собственных сотрудников. Уровень их подготовки обыч но очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших банков функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о конкретном клиенте из числа представителей теневой экономики). В крупнейшие банки агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.

Читать далее: Обеспечение информационной безопасности банка