омп'ютерн≥ науки > ≤нформац≥йна безпека й ≥нформац≥йн≥ технолог≥њ
≤нформац≥йна безпека й ≥нформац≥йн≥ технолог≥њ—тор≥нка: 1/2
Ќа ранньому етап≥ автоматизац≥њ впровадженн¤ банк≥вських систем (≥ взагал≥ засоб≥в автоматизац≥њ банк≥вськоњ д≥¤льност≥) не п≥двищувало в≥дкрит≥сть банку. сп≥лкуванн¤ з зовн≥шн≥м св≥том, ¤к ≥ колись, йшло через операц≥он≥ст≥в ≥ кур'Їр≥в, тому додаткова погроза безпеки ≥нформац≥њ виникала лише в≥д можливих зловживань з боку фах≥вц≥в, що працювали в самому банку, по ≥нформац≥йних технолог≥¤х. ѕоложенн¤ зм≥нилос¤ п≥сл¤ того, ¤к на ринку ф≥нансових послуг стали з'¤вл¤тис¤ продукти, саме виникненн¤ ¤ких було немислимо без ≥нформац≥йних технолог≥й. ” першу чергу ц-пластиков≥ картки. ѕоки обслуговуванн¤ по картках йшло в режим≥ голосовоњ авторизац≥њ, в≥дкрит≥сть ≥нформац≥йноњ системи банка п≥двищувалас¤ незначно, але пот≥м з'¤вилис¤ банкомати, POS-терм≥нали, ≥нш≥ пристроњ самообслуговуванн¤ - те Ї засобу, що належать до ≥нформац≥йноњ системи банку, але розташован≥ поза нею ≥ доступн≥ сторонн≥м дл¤ банку обличч¤м. ¬≥дкрит≥сть системи, що п≥двищилас¤, зажадала спец≥альних м≥р дл¤ контролю ≥ регулюванн¤ обм≥ну ≥нформац≥Їю: додаткових засоб≥в ≥дентиф≥кац≥њ й аутентиф≥кац≥њњ обличч¤, що запитують доступ до системи (PIN-код, ≥нформац≥¤ про кл≥Їнта на магн≥тн≥й чи смуз≥ в пам'¤т≥ м≥кросхеми картки, шифруванн¤ даних, контрольн≥ числа й ≥нш≥ засоби захисту карток), засоб≥в криптозахисту ≥нформац≥њ в каналах зв'¤зку ≥ т.д. ўе б≥льше зрушенн¤ балансу Узахищен≥сть-в≥дкрит≥стьФ уб≥к останньоњ звТ¤зане з телекомун≥кац≥¤ми. —истеми електронних розрахунк≥в м≥ж банками захистити в≥дносно нескладно, тому що суб'Їктами електронного обм≥ну ≥нформац≥Їю виступають сам≥ банки. ѕроте, там, де захисту не прид≥л¤лас¤ необх≥дна увага, результати були ц≥лком передбачуван≥. Ќайб≥льш кричущий до жалю, наша крањна. ¬икористанн¤ вкрай прим≥тивних засоб≥в захисту телекомун≥кац≥й у 1992 р. привело до величезних утрат на фальшивих ав≥зо. «агальна тенденц≥¤ розвитку телекомун≥кац≥й ≥ масового поширенн¤ обчислювальноњ техн≥ки привела зрештою до того, що на ринку банк≥вських послуг в усьому св≥т≥ з'¤вилис¤ нов≥, чисто телекомун≥кац≥йн≥ продукти, ≥ в першу чергу системи Home Banking (в≥тчизн¤ний аналогЧУкл≥Їнт-банкФ). ÷е зажадало забезпечити кл≥Їнтам ц≥лодобовий доступ до автоматизованоњ банк≥вськоњ системи дл¤ проведенн¤ операц≥й, причому повноваженн¤ на зд≥йсненн¤ банк≥вських транзакц≥њ одержав безпосередньо кл≥Їнт. —туп≥нь в≥дкритост≥ ≥нформац≥йноњ системи банку зросла майже до меж≥. ¬≥дпов≥дно, вимагаютьс¤ особлив≥, спец≥альн≥ м≥ри дл¤ того, щоб наст≥льки ж значно не упала њњ захищен≥сть. Ќарешт≥, гримнула епоха У≥нформац≥йноњ супермаг≥страл≥Ф: взривопод≥бний розвиток мереж≥ Internet ≥ зв'¤заних з нею послуг. –азом з новими можливост¤ми ц¤ мережа принесла ≥ нов≥ небезпеки. «давалос¤ б, ¤ка р≥зниц¤, ¤ким образом кл≥Їнт зв'¤зуЇтьс¤ з банком: по л≥н≥њ, що комутуЇтьс¤, прихожоњ на модемний пул банк≥вського вузла зв'¤зку, чи по IP-протокол≥ через Internet? ќднак у першому випадку максимально можлива к≥льк≥сть п≥дключень обмежуЇтьс¤ техн≥чними характеристиками модемного пула, у другому же-можливост¤ми Internet, що можуть бути ≥стотно вище. р≥м того, мережна адреса банку, у принцип≥, загальнодоступний, тод≥ ¤к телефонн≥ номери модемного пула можуть пов≥домл¤тис¤ лише зац≥кавленим особам. ¬≥дпов≥дно, в≥дкрит≥сть банку, чи¤ ≥нформац≥йна система зв'¤зана з Internet, значно вище, н≥ж у першому випадку. “ак т≥льки за п'¤ть м≥с¤ц≥в 1995 р. комп'ютерну мережу Citicorp зламували 40 раз≥в! (÷е св≥дчить, ут≥м, не ст≥льки про ¤к≥йсь Унебезпец≥Ф Internet узагал≥, ск≥льки про недостатньо квал≥ф≥ковану роботу адм≥н≥стратор≥в безпеки Citicorp.) ”се це викликаЇ необх≥дн≥сть перегл¤ду п≥дход≥в до забезпеченн¤ ≥нформац≥йноњ безпеки банку. ѕ≥дключаючи до Internet, варто заново провести анал≥з ризику ≥ скласти план захисту ≥нформац≥йноњ системи, а також конкретний план л≥кв≥дац≥њ насл≥дк≥в, що виникають у випадку тих чи ≥нших порушень конф≥денц≥йност≥, схоронност≥ ≥ приступност≥ ≥нформац≥њ. Ќа перший погл¤д, дл¤ нашоњ крањни проблема ≥нформац≥йноњ безпеки банка не наст≥льки гостра: до Internet чи нам, ¤кщо в б≥льшост≥ банк≥в коштують системи другого покол≥нн¤, що працюють у технолог≥њ Усервер-файл-серверФ. Ќа жаль, ≥ в нас уже зареЇстрован≥ Укомп'ютерн≥ крад≥жкиФ. ѕоложенн¤ ускладнюЇтьс¤ двома проблемами. Ќасамперед, ¤к показуЇ досв≥д сп≥лкуванн¤ з представниками банк≥вських служб безпеки, ≥ в кер≥вництв≥, ≥ серед персоналу цих служб переважають колишн≥ оперативн≥ сп≥вроб≥тники орган≥в внутр≥шн≥х чи справ держбезпеки. ¬они мають високу квал≥ф≥кац≥ю у своњй област≥, але здеб≥льшого слабко знайом≥ з ≥нформац≥йними технолог≥¤ми. ‘ах≥вц≥в з ≥нформац≥йноњ безпеки в наш≥й крањн≥ узагал≥ вкрай мало, тому що масовоњ ц¤ профес≥¤ стаЇ т≥льки зараз. ƒруга проблема зв'¤зана з тим, що в дуже багатьох банках безпека автоматизованоњ банк≥вськоњ системи не анал≥зуЇтьс¤ ≥ не забезпечуЇтьс¤ всерйоз. ƒуже мало де маЇтьс¤ той необх≥дний наб≥р орган≥зац≥йних документ≥в (анал≥з ризику, план захисту ≥ план л≥кв≥дац≥њ насл≥дк≥в), про ¤ке говорилос¤ вище. Ѕ≥льш того, безпека ≥нформац≥њ суц≥льно ≥ поруч просто не може бути забезпечена в рамках на¤вноњ в банку автоматизованоњ системи ≥ прийн¤тих правил роботи з нею. Ќе дуже давно читаючи лекц≥ю про основи ≥нформац≥йноњ безпеки на одному ≥з сем≥нар≥в дл¤ кер≥вник≥в керувань автоматизац≥њ комерц≥йних банк≥в. Ќа питанн¤: Учи знаЇте ви, ск≥льки чолов≥к мають право входити в прим≥щенн¤, де знаходитьс¤ сервер бази даних ¬ашого банку?Ф, ствердно в≥дпов≥ло не б≥льш 40% присутн≥х. ѕо≥менно назвати тих, хто маЇ таке право, змогли лише 20%. ¬ ≥нших банках доступ у це прим≥щенн¤ не обмежений ≥ н≥¤к не контролюЇтьс¤. ўо говорити про доступ до робочих станц≥й! ўо стосуЇтьс¤ автоматизованих банк≥вських систем, те найб≥льш розповсюджен≥ системи трет≥х-третьоњ-другого-третього покол≥нь складаютьс¤ з набору автономних програмних модул≥в, що запускаютьс¤ з командного р¤дка DOS на робочих станц≥¤х. ќператор маЇ можлив≥сть у будь-¤кий момент вийти в DOS з такого програмного модул¤. ѕередбачаЇтьс¤, що це необх≥дно дл¤ переходу в ≥нший програмний модуль, але фактично в так≥й систем≥ не ≥снуЇ н≥¤ких способ≥в не т≥льки виключити запуск оператором будь-¤ких ≥нших програм (в≥д необразливоњ гри до програми, що модиф≥куЇ дан≥ банк≥вських рахунк≥в), але ≥ проконтролювати д≥њ оператора. ¬арто пом≥тити, що в р¤д≥ систем цих покол≥нь, у тому числ≥ розроблених дуже шановними в≥тчизн¤ними ф≥рмами ≥ продаваних сотн¤ми, файли рахунк≥в не шифруютьс¤, тобто з даними в них можна ознайомитис¤ найпрост≥шими загальнодоступними засобами. Ѕагато розроблювач≥в обмежують засоби адм≥н≥струванн¤ безпеки штатними засобами мережноњ операц≥йноњ системи: вв≥йшов у мережу -≥ роби, що хочеш. ѕоложенн¤ м≥н¤Їтьс¤, але занадто пов≥льно. Ќав≥ть у багатьох нових розробках питанн¤м безпеки прид≥л¤Їтьс¤ ¤вно недостатн¤ увага. Ќа виставц≥ УЅанк ≥ ќф≥с -≥ 95Ф була представлена автоматизована банк≥вська система з арх≥тектурою сервер-кл≥Їнт-сервер, причому робоч≥ станц≥њ функц≥онують п≥д Windows. ” ц≥й систем≥ дуже своЇр≥дно вир≥шений вх≥д оператора в програму: у д≥алоговому в≥кн≥ запитуЇтьс¤ пароль, а пот≥м пред'¤вл¤Їтьс¤ на виб≥р список пр≥звищ вс≥х оператор≥в, що мають право працювати з даним модулем! “аких приклад≥в можна привести ще багато. ѕроте, наш≥ банки прид≥л¤ють ≥нформац≥йним технолог≥¤м багато уваги, ≥ досить швидко засвоюють нове. ћережа Internet ≥ ф≥нансов≥ продукти, зв'¤зан≥ з нею, вв≥йдуть у житт¤ банк≥в –ос≥њ швидше, н≥ж це припускають скептики, тому вже зараз необх≥дно затурбуватис¤ питанн¤ми ≥нформац≥йноњ безпеки на ≥ншому, б≥льш профес≥йному р≥вн≥, чим це робилос¤ дотепер. ƒе¤к≥ рекомендац≥њ: 1. Ќеобх≥дний комплексний п≥дх≥д до ≥нформац≥йноњ безпеки. ≤нформац≥йна безпека повинна розгл¤датис¤ ¤к складова частина загальноњ безпеки причому ¤к важлива ≥ нев≥д'Їмна њњ частина. –озробка концепц≥њ ≥нформац≥йноњ безпеки повинна обов'¤зково проходити при участ≥ керуванн¤ безпеки банку. ” ц≥й концепц≥њ варто передбачати не т≥льки м≥ри, зв'¤зан≥ з ≥нформац≥йними технолог≥¤ми (криптозахисту, програмн≥ засоби адм≥н≥струванн¤ прав користувач≥в, њхньоњ ≥дентиф≥кац≥њ й аутентифи≥ац≥њ, УбрандмауериФ дл¤ захисту вход≥в-виход≥в мереж≥ ≥ т.п.), але ≥ м≥ри адм≥н≥стративного ≥ техн≥чного характеру, включаючи тверд≥ процедури контролю ф≥зичного доступу до автоматизованоњ банк≥вськоњ системи, а також засобу синхрон≥зац≥њ й обм≥ну даними м≥ж модулем адм≥н≥струванн¤ безпеки банк≥вськоњ системи ≥ системою охорони. 2. Ќеобх≥дна участь сп≥вроб≥тник≥в керуванн¤ безпеки на етап≥ вибору-придбанн¤-розробки автоматизованоњ банк≥вськоњ системи. ÷е участь не повинна зводитис¤ до перев≥рки ф≥рми-постачальника. еруванн¤ безпеки повинне контролювати на¤вн≥сть належних засоб≥в розмежуванн¤ доступу до ≥нформац≥њ в систем≥, що здобуваЇтьс¤. Ќа жаль, нин≥ д≥юч≥ системи сертиф≥кац≥њ в област≥ банк≥вських систем скор≥ше ввод¤ть в оману, чим допомагають вибрати засобу захисту ≥нформац≥њ. —ертиф≥кувати використанн¤ таких засоб≥в маЇ право ‘јѕ—», однак правом своњм цей орган користаЇтьс¤ дуже своЇр≥дно. “ак, один високопоставлений сп≥вроб≥тник ÷Ѕ –‘ розпов≥в, що ÷Ѕ витратив досить багато часу ≥ грошей на одержанн¤ сертиф≥ката на один ≥з засоб≥в криптозахисту ≥нформац≥њ (до реч≥, розроблене одн≥Їњ з орган≥зац≥й, що вход¤ть у ‘јѕ—»). ћайже в≥дразу ж п≥сл¤ одержанн¤ сертиф≥ката в≥н був в≥дкликаний: ÷Ѕ було запропоновано знову пройти сертиф≥кац≥ю вже з новим засобом криптозахисту розробленим т≥Їю же орган≥зац≥Їю з ‘јѕ—». ¬иникаЇ питанн¤, а що ж насправд≥ п≥дтверджуЇ сертиф≥кат? якщо, ¤к припускаЇ нањвний користувач, в≥н п≥дтверджуЇ придатн≥сть засобу криптозахисту виконанню ц≥Їњ функц≥њ, то в≥дкликанн¤ сертиф≥ката говорить про те, що при перв≥сному сертиф≥цирован≥њ ‘јѕ—» щось упустило, а пот≥м знайшло дефект. ќтже, даний продукт не забезпечуЇ криптозахисту ≥ не забезпечував њњ ≥з самого початку.
Ќазва: ≤нформац≥йна безпека й ≥нформац≥йн≥ технолог≥њ ƒата публ≥кац≥њ: 2005-02-22 (1800 прочитано) |