Проблема информационной безопасности от года к году становится все острее. Количество хакерских атак и попыток мошенничества растет пропорционально числу пользователей компьютеров, интернет-банкинга, мобильного банкинга и т.д. Достижения цивилизации облегчают жизнь не только владельцам денег, но и мошенникам, стремящимся присвоить себе чужие средства с помощью высоких технологий.

 

ВЫЗОВЫ ВРЕМЕНИ

Российские коммерческие банки - не исключение из общего правила. Данные Visa и Mastercard свидетельствуют, что с карт этих платежных систем ежегодно пропадает порядка $1 млрд. Доля России в этом «негативе» пропорциональна количеству карт, эмитированных и имеющих хождение на территории нашей страны, говорят эксперты.

Таким образом, наши владельцы пластика ежегодно лишаются десятков миллионов долларов.

Поскольку путей мошенничества и воровства множество, а преступники работают все изощреннее, то и методы борьбы с ними необходимо непрерывно совершенствовать.

Проблемы с безопасностью делятся на частные и системные. Зачастую сам пользователь делает все, чтобы облегчить жизнь мошенникам. «Никто не оставляет открытой квартиру, однако считается нормой оставить на незащищенном компьютере номера карточек и даже пароли доступа», - говорит Александр Баранов, заместитель начальника центра безопасности связи ФСБ России.

Хищения при дистанционном банковском обслуживании, например, все чаще организованы в виде атак на компьютеры потребителей - юридических и физических лиц, у которых возникают проблемы с антивирусными программами, паролями и защитой информации со стороны провайдеров. Так что в некотором смысле защита информации - дело рук пользователя.

Однако же представитель ФСБ в большей степени адресует посыл банкам. Эксперты предупреждают: если кто-то овладел электронным ключом подписи, система воспринимает документ как легальный и проводит деньги. «Если замок вставить в дверь из фанерки, ее рядышком проткнут. Поэтому вы, когда дверь изготавливаете, требуете лицензии», - говорит Александр Баранов, намекая на то, что службы безопасности в коммерческих банках должны работать так, чтобы пресекать попытки мошенничества. Ведь одно из главных зол для финансово-кредитных структур - это сотрудники, распространяющие внутреннюю информацию, убеждены эксперты.

 

ИНСАЙДЕРЫ - ВОТ ГЛАВНАЯ ПРОБЛЕМА

«Инциденты, связанные с похищением денежных средств в банках, в основном, происходят с участием инсайдеров», -говорит Андрей Курило, замначальника главного управления безопасности и защиты информации Банка России.

Не секрет, что базы данных разной степени актуальности ходят по рынку, а базы данных и деньги - почти одно и то же, считают специалисты рынка безопасности информации. Если на Западе о пропаже таких баз принято заявлять (хотя бы на уровне правительственных учреждений), то в России подобные прецеденты зачастую замалчиваются до последнего.

«В банках существует традиция скрывать инциденты, чтобы не портить себе репутацию», - говорит А. Курило. Поэтому эксперты не исключают, что реальный объем хищений средств в российских банках на несколько порядков превышает официальные данные. При этом вернуть удается всего 10% «уведенных» денег. Такая математика убеждает крупные банки: дешевле не допускать утечек, чем пытаться отобрать у преступников то, что они благополучно украли.

По словам Курило, как правило, о проблемах в банках становится известно, когда «йодом мазать уже невозможно, надо болезнь лечить». Типовое хищение в российских финансово-кредитных структурах выглядит так: пропадает 1-2 млн рублей. По мнению экспертов, воровать меньше нет смысла, больше - сразу заметят и начнут искать. Как правило, во всех крупных мошеннических операциях находится след инсайдера.

 

СТАНДАРТИЗАЦИЯ БОРЬБЫ

Еще несколько лет назад каждый банк самостоятельно разбирался со своей безопасностью, а ЦБ - со своей. Однако в последние два года ситуация изменилась, говорят эксперты: ЦБ предложил коммерческим финансовым организациям воспользоваться разработанными его специалистами стандартами.

В Банке России подчеркивают: именно предложили, а не обязали этим стандартам следовать. Каждый по-прежнему волен выбирать собственные, но все больше кредитных организаций обращаются к опыту регулятора.

«Стандарты представляют собой консолидированный опыт. Важна возможность не в одиночку биться, а объединить усилия», - говорит председатель комитета АРБ по информационной безопасности Александр Велигура. Тем более что «в условиях кризисной турбулентности повышается активность преступников», а количество банковского персонала и качество его работы, напротив, снижается. И этим пользуются мошенники.

Формирование стратегии безопасности - вопрос, который решает для себя руководство каждого банка. «Прежде чем ставить дверь, нужно додуматься, что она вообще нужна, принять решение о том, какую именно поставить», - считает Велигура. По его мнению, стандарты Центробанка в этом смысле очень полезны.

По словам зампреда ЦБ РФ Михаила Сенаторова, в системе Банка России уже более 10 лет хищений не было. Между тем через эту систему проходит около 60% всех платежей, а остальные 40% - через крупные банки, где хищения возможны.

Банкиры не воспринимают стандарты ЦБ как очередной инструмент воздействия на кредитные организации, убежден Павел Гениевский, секретарь совета сообщества ABISS. По мнению Гениевского, сейчас, когда банки столкнулись с реальными угрозами и рисками - мошенничеством через интернет-банкинг, вирусами, спамом, - руководство финансово-кредитных структур изменило свое отношение к проблемам информационной безопасности. «Теперь специалисты банков сами обращаются в Банк России, в сообщество и просят: дайте инструмент, который защитит наши активы», - говорит Павел Гениевский. На сегодня более тысячи человек скачали с сайта Банка России стандарты информационной безопасности.

 

СМЕНА ПРИОРИТЕТОВ

«В этом году был проведен опрос, есть ли в банках выделенный отдел информационной безопасности. Только 30% сейчас не имеют такого отдела. Два года назад ситуация складывалась с точностью до наоборот», - говорит Павел Гениевский.

Результаты опроса также показали, что в середине 2008 года порядка 80% коммерческих банков в той или иной мере использовали стандарты ЦБ или приняли решение об их использовании.

Представители ФСБ, как и Центробанка, не призывают в обязательном порядке следовать принятым регулятором стандартам. Но настаивают на том, что защитой должны заниматься сертифицированные и лицензированные профессионалы, используя лицензированные программы. И что сотрудничество с ФСБ пойдет банкам не во вред, а во благо. «Многие боятся, что ФСБ будет подглядывать, что-то искать, - удивляется Баранов. - Смешная позиция. Уверяю: есть боковые методы защиты. А привлечение к защите людей некомпетентных - основной бич системы».

Профессионалы в сфере IT объясняют нежелание работать с продуктами ФСБ вовсе не страхом перед всевидящим оком, а тем, что предлагаемые рынку криптографические программы стоят недешево, но не всегда оказываются высокого качества. Каких-то требований по обязательной сертификации пока нет. Но вероятнее всего, в дальнейшем системы защиты криптографии ФСБ будут рекомендоваться к использованию как минимум для критически важных узлов, которые представляют интерес с точки зрения вопросов национальной безопасности - считают на рынке.

 

ЗАГРАНИЦА СТАВИТ ЗАСЛОНЫ

На сегодня информационная безопасность в банках «свыше» регламентируется законом об охране персональных данных и рекомендациями Центробанка по защите информации. Помимо стандартов, разработанных специалистами ЦБ, в России применяется еще и международный стандарт Базель-2: им интересуются банки, которые намерены выходить на международный рынок. Кроме того, в каждом банке существуют внутрибанковские приказы, где прописаны требования к обеспечению информационной безопасности.

Никто не мешает банкам применять любые принятые в мире стандарты, подтверждают банкиры и разработчики IT-технологий. Но с одной оговоркой. «Теоретически внедрение стандартов ЦБ - рекомендация, но практически все ждут, что в любой момент эти стандарты могут сделать обязательными, поэтому банки стараются их внедрять», - говорит Андрей Ларшин, директор по продажам финансового сектора России и СНГ компании Symantec. Таким образом, стратегии банковской информационной безопасности все же строятся с учетом рекомендаций ЦБ. Уже сейчас при проведении аудита банка возможны проверки стандартов безопасности. А несоответствие требованиям ЦБ может стать аргументом для закрытия банка, говорит представитель Symantec.

Тем не менее, в России всерьез озабочены безопасностью лишь несколько топ-банков, например Сбербанк, отмечает эксперт. Остальные же, оценив свои материальные возможности, предпочитают списать потери в 1-2 млн рублей или разобраться с клиентами, у которых с карт пропали средства. Требования ЦБ достаточно абстрактны, чтобы допускать различные трактовки того, что такое безопасность, убеждены эксперты.

 

В ближайших выпусках тема банковского мошенничества будет продолжена.