В долгах как в шелках. Рост рынка потребительского кредитования. Правила денег от Уоррена Баффета, инвестора №1 в мире.

Дмитрий Левашев: «Я бы не сказал, что банки — легкая добыча для хакеров»

Существует распространенное мнение о том, что вирусы и антивирусы — плоды одних и тех же создателей. Логично предположить, что компания, ставящая своей целью создание защищенных корпоративных сетей, должна иметь представление о двух сторонах медали. Для того чтобы предотвратить взлом, надо знать, как взломать. Компания «АНДЭК» является молодым и прогрессивным игроком IT-рынка. Ее сотрудники — профессионалы своего дела во всех областях, связанных с защитой информации. Мы публикуем интервью нашего гостя, руководителя департамента специальных исследований компании «АНДЭК» ДмитриЯ Левашева.

«Б. Т.»: Скажите, в рамках работы в компании «АНДЭК» можно назвать вас «легальным хакером»?

Дмитрий Левашов: Дело в том, что в понятие «хакер» вкладывают множество смыслов, зачастую противоречащих друг другу. К тому же обычная публика, которая не соприкасается с тематикой IT-безопасности, вообще окружила это понятие неким ореолом таинственности и загадки — будто бы это люди, которые сидят в каких-то подвалах, окруженные хитрой техникой и годами не выходящие из Сети. Их жизнь сосредоточена в виртуальном пространстве, и они не мыслят своего существования без него.

Естественно, это — заблуждение. Возможно, в вашем офисе за соседним компьютером сидит опытный хакер, но вы никогда не узнаете этого. С виду он — обычный человек. Термина «легальный хакер» нет, зато есть другой, отражающий, как я надеюсь, смысл вашего вопроса, — whitehat. Это определение относится ко всем, кто занимается IT-безопасностью профессионально и следует определенной этике и правилам, определяющим, например, порядок уведомления о присутствии уязвимостей в каком-либо программном обеспечении.

«Б. Т.»: Каковы ваши основные задачи в компании «АНДЭК»?

Д. Л.: Департамент специальных исследований компании «АНДЭК», в котором я работаю, занимается исследованиями информационных инфраструктур компаний-клиентов, в том числе и банков, на предмет обнаружения слабых мест. По итогам исследований мы готовим пакет документов, где подробно описываются типы и параметры обнаруженных уязвимостей, а также рекомендации по их устранению. По требованию заказчика мы можем провести демонстрацию атаки на информационную систему.

Мы уделяем пристальное внимание вопросам развития IT-инфраструктуры в будущем и разрабатываем стратегию, нацеленную на дальнейшую перспективу. Наша задача — не только решить текущие проблемы, но и построить систему безопасности таким образом, чтобы минимизировать потенциальные риски в будущем.

«Б. Т.»: Как вы считаете, почему банки являются относительно легкой добычей для злоумышленников и хакеров?

Д. Л.: Я бы не сказал, что банки — легкая добыча. Просто глобальная компьютеризация предъявляет новые требования к защите информационной инфраструктуры банка. Например, удаленное управление счетом через Интернет — это дополнительное конкурентное преимущество, однако, с другой стороны, оно же является фактором риска для деятельности банка.

«Б. Т.»: Какова основная задача обеспечения защиты информационных ресурсов для банков и кредитно-финансовых организаций?

Д. Л.: Важнейшей проблемой для финансовых организаций является управление доступом пользователей и операторов к хранимой и обрабатываемой информации. Наиболее простой принцип реализации системы информационной безопасности — запретить то, что не разрешено явным образом. Для этого необходимо в рамках документации, регламентирующей права доступа, определить разрешенный набор действий для клиентов, операторов, системных администраторов и сотрудников отдела безопасности. Например, в рамках данного документа необходимо регламентировать, что терминал, с которого производятся те или иные операции с конфиденциальной и финансовой информацией, не должен иметь доступа ни в Интернет, ни в локальную сеть общего пользования.

«Б. Т.»: Как это должно быть реализовано с технической точки зрения?

Д. Л.: На техническом уровне управление доступом должно быть реализовано как последовательный набор уровней защиты. Практика показывает, что не стоит полагаться на какой-либо единственный программный или аппаратный комплекс обеспечения информационной безопасности. Оптимально, если используются сертифицированные средства разграничения доступа, хотя инсталляция и внедрение данных средств зачастую трудно реализуемы. Это объясняется тем, что параметры сертификации разрабатывались с учетом жестких требований, предъявляемых к военным системам.

Столь же важную роль играет криптостойкое шифрование хранимых и передаваемых данных, несмотря на то, что обратной стороной внедрения криптографии может быть сложность распространения ключей и снижение быстродействия системы.

«Б. Т.»: На какие действия сотрудников банков следует обращать пристальное внимание?

Д. Л.: Особое внимание следует уделять контролю за действиями пользователей системы, реагируя на любую аномалию в их работе с конфиденциальной информацией. Например, система безопасности должна среагировать в том случае, если операционист начинает необычно интенсивно работать с клиентскими данными или игнорирует предупреждения о превышении полномочий.

«Б. Т.»: В чем, по вашему мнению, состоит специфика обеспечения информационной безопасности в банковских учреждениях?

Д. Л.: Специфика защиты информации в банковских учреждениях заключается в четырех следующих слагаемых.

Ценность информации. На основании хранимой и обрабатываемой в банковских системах информации могут производиться выплаты, открываться кредиты или переводиться значительные денежные суммы, что делает банк привлекательным объектом для криминала.

Конкурентоспособность предоставляемых услуг. Необходимо понимать, что единственный неизолированный компьютер, подключенный к сети Интернет, подвергает риску всю информационную инфраструктуру банка. Это значительно упрощает задачу злоумышленника. В случае успешной атаки можно попытаться восстановить потерянные данные, но восстановить утраченную репутацию для банка практически невозможно.

Конфиденциальность данных клиента. Банку необходимо гарантировать конфиденциальность коммерческой тайны своих клиентов, которая, в свою очередь, также представляет собой ценность для потенциальных злоумышленников.

Безотказность и надежность информационной системы. Устойчивость к сбоям и атакам на отказ в обслуживании, минимизация времени простоя и дублирование критических компонентов информационной системы — все это налагает жесткие требования к организации защиты информационной системы банка. Иными словами, стратегия информационной безопасности банковской деятельности обусловлена, прежде всего, предъявляемыми к ней требованиями, специфическим характером угроз и собственно деятельностью банков, которые зачастую вынуждены предоставлять простой и удобный доступ к управлению счетом (в том числе и через Интернет) в силу конкуренции на рынке банковских услуг.

«Б. Т.»: Если система информационной безопасности банка построена в соответствии с перечисленными вами требованиями, означает ли это, что банк надежно защищен от атак хакеров?

Д. Л.: Не совсем так. Атаки на информационные системы — это не только атаки на собственно компьютеры. В процессе «виртуального нападения» атакующие могут использовать различные техники — от социальной инженерии до съема информации по электромагнитным каналам. Я хочу подчеркнуть: меры обеспечения безопасности должны не только концентрироваться на защите компьютерной информации, но и учитывать другие составляющие процесса информационного обмена, такие как средства телефонной связи, КПК и пр.

«Б. Т.»: Скажите, в вопросах приоритетов защиты банковской сети какому критерию вы отвели бы первое место?

Д. Л.: Нередко банковские организации не имеют политики реагирования на возможный инцидент, что в случае обнаружения последствий успешной атаки может привести к дезориентации и неспособности эффективно устранить последствия нападения. Необходимо разработать ряд организационно-административных и технических мероприятий для предупреждения возможной атаки и реагирования на свершившийся инцидент.

Организационно-административный комплекс мер должен включать в себя разработку нормативной документации, регулирующей вопросы информационной безопасности, должностных инструкций, регламентов и т. д.

«Б. Т.»: Что еще является приоритетным?

Д. Л.: Безусловно, это — отлаженный механизм дублирования и оперативное восстановление информации после отказов системы. Защита информации от разрушения должна достигаться созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.

«Б. Т.»: И последний вопрос. Если банк решил обратиться к компании, занимающейся обеспечением информационной безопасности, по каким параметрам он должен выбирать?

Д. Л.: При обращении к компании, занимающейся обеспечением информационной безопасности, прежде всего следует обратить внимание на профессионализм подхода, круг решаемых подобной компанией вопросов и понимание специфики поставленной задачи.

Финансовой организации должен быть предложен единый и взаимосвязанный комплекс мер, учитывающий все аспекты деятельности клиента, связанной с хранением или передачей информации, а собственно сами работы должны проводиться сертифицированными специалистами, имеющими опыт проведения подобных мероприятий.

Статьи, интервью, публикации