Информационная безопасность в банковском секторе Украины

Репутация, конкурентоспособность и надежность банка напрямую зависят от его возможности обеспечить сохранность и конфиденциальность информации, то есть гарантировать информационную безопасность (ИБ).
Как обстоит с ней дело в наших отечественных финансовых учреждениях, сайт Banks.kiev.ua узнавал у ведущих специалистов этой области.

chernenko_igorСергей ЧЕРНЕНКО, Председатель Правления ПАО «ПУМБ»
Информационная безопасность сегодня является одним из наиболее интенсивно развивающихся направлений во многих секторах экономики, в том числе в банковском секторе. ПУМБ уделяет большое внимание этому вопросу и активно инвестирует в знания и изучение опыта в сфере противодействия мошенничеству, поскольку безопасность клиентов – среди основних приоритетов банка.
Так, в структуре безопасности ПУМБ есть отдельное подразделение, отвечающее за IT-безопасность всех банковских операций. Кроме этого, мы постоянно предлагаем новые решения корпоративным и розничным клиентам, развиваем защиту интернет-банкинга. Думаю, что сегодня это направление долино стать приоритетным в работе банков, поскольку развитие технологий дает новые возможности для усовершенствования сервиса. Но не
стоит забывать, что мошенники тоже не стоят на месте и совершенствуют свои методы. Поэтому важно развиваться, все время на шаг опережая рынок. Нам это удается, и мы готовы
поделиться своим опытом. Если говорить о наиболее проблемных аспектах с точки зрения
безопасности, с которыми сегодня сталкивается банковский сектор, то это в первую очередь защита счетов клиентов и доступа к ним, а также защищенность информационных
сетей от внешнего воздействия, от DDos-атак.
Для противодействия этим и другим рискам, необходимо создание так называемой системы управления рисками и мошенничествами, которая бы включала в себя как работу с персоналом, так и технологические моменты. При этом важно понимать, что нет ни одного простого решения, которое закроет все направления. Защита интернет-банкинга требует одних решений, защита от проникновения в сеть – других.
Также необходимо проведение регулярных тестирований этой системы. Например, мы каждый год проводим так называемый тест на вторжение, на защищенность сети, выискивая в ней слабые места, которые мы потом усиливаем, и т. д.

Игорь ТКАЛИЧ, член Правления ПАО КБ «Правэкс-Банк»
igor_tkalichНаиболее проблемный аспект информбезопасности в банковском секторе – это проблемы мошенничества в системах ДБО, а именно в системах интернет-банкинга и мобильного банкинга (кража безналичных средств со счетов клиента в электронной форме для их дальнейшего использования или перевода в наличность). Мошенники используют специально разработанные зловредные программы – «трояны» типа ZeuS, SpyEye, Catberp., предназначенные для атаки серверов и перехвата данных. Получение полного
контроля над компьютером клиента с помощью «трояна», перехват ключей и паролей доступа позволяет злоумышленнику несанкционированно списать средства со счета клиента
и потом их обналичить.
Для устранения таких угроз в системах ДБО используются методы двухфакторной аутентификации, которые требуют ввода дополнительных одноразовых паролей (ОП) при
проведении транзакции. Такие одноразовые пароли действуют в течение короткого периода времени (от 30 секунд до трех минут), что значительно снижает вероятность мошенничества.
В качестве одноразовых паролей систем двухфакторной аутентификации используются следующие:
• SMS ОП;
• специальные устройства ОП
(Hardware Tokens) или программы генерации ОП на смартфонах (Mobile Tokens);
• чиповые карты со специальными дисплеями: имеют встроенную криптографию и защищены от перехвата ключей – клиент видит финальную информацию о своей транзакции (сумма платежа, адресат, счет и прочее), которая
надежна защищена.
Кроме того, для защиты транзакций в системах ДБО применяют электронно-цифровую подпись клиента, антивирусную защиту от «троянов», установку лимитов на плате-
жи… Но клиентам следует внимательно относиться к осуществлению транзакций через Интернет и никогда, ни при каких обстоятельствах, не разглашать CVC-код. Для соверше ния операций в сети Интернет лучше оформить отдельную карту.

igor_shevchenoИгорь ШЕВЧЕНКО, заместитель Председателя
Правления по розничному бизнесу ПАО «ТЕРРА БАНК» По данным международной ас-
социации противодействия мошенничеству ЕМА, атак на системы ДБО по-прежнему достаточно много, нопоказатель степень их уязвимости существенно снижен.
Основная часть проблем связана, как ни странно, не с системами
ДБО, а с банкоматами – например, их взлом разнообразного характера.
Поэтому, я думаю, что ИБ на до-статочно высоком уровне, но это заслуга не столько самих банкиров, сколько производителей того оборудования и софтов, которые к нам поставляются. Это ключевое. Главный проблемный аспект –банальные операционные риски:
когда кто-то кому-то передает логин, пароль, забывает периодически менять его или использует простые пароли. Это же все элементы ИБ.
Мы, банкиры (да и наши клиенты), недостаточно четко для себя понимаем, что за этим стоит. Пока не потеряем деньги. А это банальный вопрос финансовой грамотности.
И здесь уже претензия к нам — банкирам. Мы должны тратить свое время, деньги и усилия для того, чтобы постоянно клиентам и самим себе это повторять. Я, например, не
стесняюсь, рассчитываясь в терминале, закрывать его рукой. Почему некоторые это считают моветоном?
Основные кражи совершаются не из-за внедрения какого-то «супер-вируса». Там стоит обычная накладка, в которой камера снимает номер вашей карты и PIN-код – и у вас ци-
нично воруют деньги! И еще момент, о котором не принято говорить. Основные мошенни-
ческие действия давно переместились из подворотен в крупные торговые центры. Сегодня наибольший процент проблемных операций в мошенничестве с картами связан с тем,
что в торговых центрах компрометируются карты – ставится накладка, списывающая ваши данные. И это, извините, в крупнейших киевских торговых центрах! Банкоматы-то мы
там ставим, но есть внутренняя система безопасности. Мы же не подключены к их видеокамерам, позволяющим видеть, что подходит человек и устанавливает накладку на
банкомат! С чем это связано? С расхлябанностью охраны или с ее участием? Для меня этот вопрос остается открытым…

viktor_polizhukВиктор ПОЛИЩУК, начальник отдела информбезопасности АО «БАНК «НАЦИОНАЛЬНЫЕ ИНВЕСТИЦИИ»
Я занимаюсь данной тематикой всего несколько месяцев, но, имея определенный опыт в банковском деле и общаясь с коллегами из других банков, провайдерами в сфере
информбезопасности, могу предположить вот что: сегодня, в основном, в банках с иностранным капиталом, имеющих уже наработки в материнских структурах, внедрены определенные стандарты защиты ИБ. Что касается большинства украинских банков, то они находятся на том или ином этапе внедрения стандартов информационной безопасности,
в зависимости от финансирования и развития данного направления.
Нацбанком Украины за последние годы установлены стандарты ИБ на базе ISO 27001 и ISO 27002 и определены временные рамки внедрения СУИБ банками. Вообще-то международные стандарты ISO внедряются иностранными компаниями по мере возникновения потребности; у нас же подобные стандарты стали обязательными, что и подтолкнуло банки к их внедрению.
Проблемных аспектов на самом деле масса, но, к сожалению, большинство банков не предают огласке реальную ситуацию с потерями, которые в той или иной степени связаны с информационной безопасностью, что делает невозможным получать достоверную статистику в этом вопросе.
Одна из очевидных проблем –работа клиентов с использованием систем удаленного доступа. В том числе это банк-клиент, интернет-банкинг и другие системы, которым стоит уделять особое внимание. Например, мы своим клиентам предлагаем к использованию дополнительное оборудование для генерации одноразовых паролей с целью исключения несанкционированного перевода денежных средств, что на данный момент недорого и эффективно.
Были циркулярные письма НБУ о необходимости разработки банками рекомендаций для клиентов с целью повышения внимания к обеспечению безопасности при работе с помощью систем ДБО. Банки проводять работу в этом направлении, но далеко не все клиенты прислушиваются к рекомендациям банкиров.
На мой взгляд, принудительные меры никогда не приводили к особой эффективности. Прежде всего необходимо осмыслить, что подразделения, занимающиеся ИБ, не приносят прямого дохода, но как минимум сохраняют уже заработанное и повышают имидж финансовых учреждений.

Текст: Маргарита Сичкар для banks.kiev.ua