Труднее всего организовать защиту от несанкционированного получения информации. Это объясняется тем, что для полной защиты в этом направлении часто необходимы не только технические средства, но и комплекс организационных процедур, поскольку нередко для получения конфиденциальной информации достаточно войти в "контакт" с кем-то из сотрудников банка.
Однако, принимая решение о выделении каких-либо денежных средств на разработку подобной защиты, необходимо помнить, что ущерб от утечки информации обычно невелик. Нанести значительный урон путем хищения информации может только мощная организация (или конкурирующая, или государственная), которая при достаточных затратах обойдет любую защиту. В качестве дополнительной защиты необходимо также упомянуть об ограничении доступа в помещение отдела автоматизации и ключевых функциональных служб.
Приведем перечень информации, являющейся строго конфиденциальной в рамках коммерческой организации:
персональная информация о клиентах;
информация об остатках и оборотах по лицевым счетам, включая все регистрируемые реквизиты платежей, а также количество совершаемых по счету операций;
персональные данные сотрудников банка.
Не являются конфиденциальными данные такого рода, как:
информация, полученная из сторонних источников;
публичные отчетные и рекламные документы банка.
К отдельной группе можно отнести данные, не являющиеся строго конфиденциальными, но тем не менее не предоставляемые для широкой огласки:
особенности технологических процессов и внутреннего документооборота в организации;
отдельные показатели деятельности организации, кроме опубликованных в прессе;
стратегические планы руководства банка и данные о работах, связанных с подготовкой к их реализации, можно отнести и к информации конфиденциального характера.
Осуществление несанкционированных действий
В отличие от хищений информации такие действия часто можно доказать и, следовательно, пресечь. Мотивами несанкционированных действий, как правило, являются попытки хищения средств. Несмотря на наличие параллельного бумажного документооборота, российские банки имеют ряд слабых мест, позволяющих совершать хищения средств банка. При этом в целом неверно распространенное мнение о том, что подобные преступления совершают профессиональные хакеры, используя сеть Internet. Дело в том, что Internet в большинстве российских банков либо отсутствует, либо защищен с особой тщательностью.
Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые их этих операций.
* Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений обычно рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций с закрытыми для остальных сотрудников методиками.
* Хищение через систему "клиент-банк". Ввиду особого внимания к безопасности в этой системе и дополнительного контроля проходящих сумм клиентом попытки такой атаки имеют обычно характер разового хищения крупной суммы. Исходя из этого, в качестве защиты рекомендуется ограничить для каждого клиента максимальные ежедневные объемы платежей, совершаемых по системе "клиент-банк" и регламентировать обязательный ежедневный контроль выписки клиентом даже при отсутствии платежей.
* Изменение внешнего получателя платежа. В отличие от ошибки ввода данный тип хищения характеризуется изменением реквизита после прохождения стадий контроля. Защита от данного типа злоупотребления достаточно сложна и сводится к запрету на редактирование информации в период после прохождения стадий контроля и до электронной подписи отправляемого рейса.
Из перечисленных выше примеров видно, что для совершения злоупотреблений данного типа необходима высокая квалификация злоумышленника и слаженная работа нескольких работников.
Еще одним источником потенциальной опасности для информационных систем является разрушение системы автоматизации или ее отдельного модуля. Как ни странно, но одна из возможных причин подобных действий - желание какого-либо сотрудника банка (обычно - увольняемого) отомстить руководству и организации в целом. При этом результаты нанесенного ущерба могут проявиться через неопределенное время, что сделает выявление виновного невозможным. К рекомендациям по процедурной защите от действий такого рода можно отнести регулярное создание резервных копий, немедленное запрещение доступа сотрудника в информационную систему после уведомления его об увольнении, совершенствование процедуры увольнения во избежание мести со стороны увольняемого.
Развитие кредитной организации, а также происходящие в ней процессы реинжиниринга приводят нас к необходимости отдельно рассмотреть техническую базу данных процессов, хотя она и неразрывно связана с информационными технологиями, как средство (платформа), обеспечивающее их функционирование. В связи с этим хотелось бы подчеркнуть обязательный характер проведения дополнительного анализа технической возможности реализации того или иного проекта с учетом необходимых для этого материальных и временных затрат.
Проблемы, связанные с технической базой и отсутствием высококвалифицированного персонала, нередко приводят к неприемлемым затратам и даже к срыву проекта в целом. По данным американских ученых, в области реинжиниринга и автоматизации только 20% проектов укладываются в выделенные для них бюджеты и сроки. Более 50% проектов в этих областях приводят к дополнительным затратам (в среднем в 1,8 раза), а остальной процент проектов так и остается нереализованным. Объясняется подобная статистика многими факторами, и недостаточность материально-технической базы, отсутствие концепции проведения подобных работ занимают далеко не последнее место.
Помочь в решении возникающих проблем может формализация технической политики организации и ее соответствие стратегии и потребностям организации.
Техническая политика определяет основные правила формирования технической базы. Задачей технической политики является четкая регламентация развития технической базы организации в тесной связи с развитием самой организации, определение технических и управленческих стандартов этого развития, регламентация различных исключительных ситуаций в сфере технического обеспечения. Более того, необходимо, чтобы банк формализовал техническую политику в форме отдельного внутреннего документа и подобный документ был в наличии еще до начала разработки проектов по реинжинирингу, для того чтобы техническая база соответствовала бы всем требованиям.
Основные принципы построения технической политики
Главной целью технической политики является оптимизация затрат на техническое обслуживание в зависимости от ожидаемого эффекта данного типа вложений. Поэтому в основу названного документа ложатся экономические аспекты.
В настоящее время при разработке технических бюджетов или бюджетов автоматизации происходит выделение средств по двум основным принципам: "на технологии ничего не жалко" и "лучший бюджет на ИТ - нулевой бюджет". Естественно, обе эти крайние позиции одинаково не соответствуют тому, что должно быть в реальности, так как не учитывают экономический эффект от закупки той или иной техники. Это приводит либо к затовариванию отделов автоматизации ненужным программным обеспечением, либо к покупке устройств, по своей производительности десятикратно превосходящих потребности организации.
Техническая политика должна определить методику формирования бюджета на основании средней доходности банковских операций и инвестиций. Это позволит избежать лишних затрат и не пропустить выгодного капиталовложения. Однако при расчете экономической эффективности технического перевооружения организации необходимо учитывать следующие факторы:
основная часть компьютерной техники дешевеет ежегодно примерно в 2 раза. Это также приводит к постоянному снижению стоимости высокотехнологичных услуг на рынке;
реальные затраты могут превышать ожидаемые до 2-х раз.
Но тем не менее затраты на техническое перевооружение необходимы, даже если их экономический эффект не заметен на первый взгляд. Дело в том, что подобного рода затраты неизбежно оправдывают себя, повышая технический потенциал организации и ее конкурентные преимущества.
Очень важным аспектом технической политики является отношение руководства банка к техническому персоналу. Это очень серьезная проблема, поскольку в настоящее время она решается, как правило, радикально. Так, с одной стороны, мы должны констатировать непозволительно пренебрежительное отношение к техническому персоналу, с другой - непомерное преувеличение его роли в некоторых банках. Вследствие этого в первом случае затраты на изменения технологии предоставления банковских услуг под возможности автоматизации слишком малы, во втором - слишком высоки. Чтобы оптимально решить эту проблему, отдел автоматизации должен действовать исходя из предложенного бюджета, получая при этом в качестве поощрения существенный процент от сэкономленных средств.