Болурова М.И., Салпагарова М.У., Шакова Ф.М.
ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОМ СЕКТОРЕ *
Аннотация:
в статье рассматриваются виды экономических угроз безопасности банковской сферы. Исследуются основные угрозы и риски экономической безопасности банковской системы России.
Ключевые слова:
банк, банковский сектор, информационная безопасность, угрозы информационной безопасности банковского сектора
Информационная безопасность- защита информации и поддерживающей ее инфраструктуры от различных вредоносных действий, реализация которых может нанести значительный ущерб субъектам информационных отношений банковской сферы. Банковский сектор - совокупность различных видов национальных банков, которые действуют в рамках единого кредитно-денежного механизма. Неотъемлемой частью инфраструктуры банка, кроме случаев аутсорсинга, являются системы электронного банкинга и качество обеспечения безопасности напрямую сказывается на возможностях злоумышленника произвести атаку на банк. Зачастую сам банк является пользователем систем интернет-банкинга. К ним можно отнести системы управления депозитарными счетами в уполномоченных банках Московской биржи, системы перевода денежных средств через Банк России, отправку отчетности в Банк России, взаимодействие с платежными системами, как то «Город» или QIWI, для ускоренного перевода платежей, связанных с оплатой мобильной связи и т. д., систему SWIFT, системы перевода моментальных платежей типа Western Union и т. д Положение Банка России от 9 июня 2012 г. «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля над соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» N 382-П. Также отраслевые стандарты Банка России по информационной безопасности 117 призваны, максимально обезопасить банки от возможных попыток злоумышленников украсть деньги или нанести вред банку, например, сорвать сделку крупного клиента банка, который должен внести до какого-то времени авансовый платеж, чтобы начать сотрудничество с определенным покупателем. Основные ошибки и проблемы при обеспечении информационной безопасности: 1. Некачественно сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются неуполномоченным лицам, конечная отправка платежей осуществляется не с выделенного рабочего места как физически, так и отделенного от сети банка. 2. В небольших банках можно встретить ситуацию, когда ключи нескольких пользователей записаны на один накопитель, а также на постоянной основе размещен компьютер, с которого администраторы удаленно осуществляют отправку. Данная ситуация дает хорошую возможность для злоумышленников, которые каким-то образом проникли в банк — через подкупленного сотрудника, занесенного вируса или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-подразделения 3. Неподготовленность персонала к воздействиям извне. Социальная инженерия остается одной из самых актуальных проблем. Нередко злоумышленники собирают информацию об определенных сотрудниках из социальных сетей, форумов и т. д. Далее, представляясь сотрудниками регуляторов, различных ведомств, сотрудниками технической поддержки, преступники просят произвести перевод денежных средств. Также нередки случаи, когда злоумышленники направляют письма сотрудникам от имени каких-то проверяющих органов с вложением (якобы отчетом), открыв которое сотрудник банка заражает рабочую станцию 4. Низкая организованность в предоставлении доступа. Нередко в банках можно встретить ситуацию, когда на площадке (в помещении), где работают дилеры, используется вход в системы под одной учетной записью, что усложняет возможность контроля действий дилеров, а также расследования инцидентов. 5. Экономия на средствах безопасности. В первую очередь нарушаются требования об эшелонировании антивирусной безопасности. 6. Плохое сегментирование сети на сетевом уровне, отсутствие шифрования. 7. Нерегулярное сканирование инфраструктуры на наличие уязвимостей. 8. Сокращение штатов в подразделении, ответственном за информационную безопасность или наличие непрофессиональных сотрудников. 9. Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. 10. И, пожалуй, самой распространенной ошибкой, даже для крупных банков, является отсутствие риск-ориентированного подхода к информационной безопасности. Это выражается в поиске баланса между потребностями бизнеса, проблемами безопасности, а также разницей в возможностях современных технологий безопасности с тем, что есть инновационного в мире информационных технологий. Данный список неполон, однако даже такие типовые проблемы и ошибки дают хорошие возможности для злоумышленников, заразив сеть банка или используя уязвимости самих систем интернет-банкинга, получить доступ к управлению средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и рискориентированный подход в состоянии изменить проблему и улучшить состояние безопасности в банковском секторе.
Номер журнала Вестник науки №10 (19) том 4
Ссылка для цитирования:
Болурова М.И., Салпагарова М.У., Шакова Ф.М. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В БАНКОВСКОМ СЕКТОРЕ // Вестник науки №10 (19) том 4. С. 90 - 93. 2019 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/2175 (дата обращения: 24.04.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2019. 16+