Рубрикатор |
Статьи |
Александра КРЫЛОВА  | 24 февраля 2009 |
Кто должен защищать пользователя? (статья)
Минувший год запомнится банковскому сообществу резким ростом DOS-атак на системы Интернет-банкинга, а также участившимися попытками получения персональной информации пользователей систем ДБО – паролей, секретных ключей, аналогов собственноручной подписи, PIN-кодов, номеров банковских карт.
Количество подобных противоправных действий и размеры хищений были таковы, что противодействия со стороны Департамента банковского регулирования и надзора ЦБ РФ оказалось недостаточно, и к решению проблем пришлось подключить специалистов Главного управления безопасности и защиты информации. Об этом на состоявшемся на этой неделе 9-м Форуме iFin-2009 рассказал И.М. Гвоздев (ГУБЗИ ЦБ РФ).
По его словам, для того чтобы поставить барьер правонарушителям, необходимо объединение усилий всех заинтересованных сторон: кредитных организаций, разработчиков средств защиты информации, Банка России, правоохранительных органов.
Между тем, согласно данным опроса, проведенного специалистами ЦБ РФ, оказалось, что только половина всех российских банков имеет в своем штате специалистов в области информационной безопасности, при этом 42% из них имеют подразделения по ИБ в составе IT-департаментов и 8% – подразделения безопасности, которые занимаются вопросами ИБ. Оставшиеся 50% кредитных организаций и вовсе не имеют ни подразделений безопасности, ни специалистов по ИБ.
К тому же оказывается, что защищать конечных пользователей систем интернет-банкинга нужно от них самих. Поскольку сами они недостаточно ясно осознают последствия своего легкомыслия, – не соблюдают тайну паролей, оставляют без присмотра секретные ключи, и готовы по первой просьбе, исходящей якобы от банка, внести свои персональные данные в форму на фишинговом сайте. В результате, как это признают специалисты, персональные компьютеры пользователей услуги интернет-банкинга уже не являются «доверенной зоной», в которой обеспечивается ИБ.
Для того чтобы переломить ситуацию, по мнению А.Л. Поспелова (начальника ГУБЗИ ЦБ РФ), банкам следует больше внимания уделять распространению среди своих клиентов, пользующихся системами ДБО, предупреждающей информации, в том числе и в сети Интернет. «В состав такой информации, – считает он, – целесообразно включать описание официально используемых банком способов и средств информационного взаимодействия с клиентами».
Рекомендации, которые могли бы дать банки своим клиентам просты: не передавать персональные данные не уполномоченным лицам, не использовать банковские карты в организациях торговли, не вызывающих доверия, не называть PIN-код карты при заказе товаров по телефону или через Интернет. Важно также убедить их, используя карту для оплаты покупок или услуг не выпускать ее из поля зрения, а еще – осуществлять информационное взаимодействие со своим банком только по тем номерам телефонов и электронным адресам, которые оговорены в выданных им документах, и пользоваться SMS-оповещениями.
И чем больше пользователей им последуют, тем меньше работы будет у специалистов по информационной безопасности и представителей силовых ведомств.
Свои рекомендации кредитным организациям, в т.ч. и по защите конечных пользователей, представители ГУБЗИ ЦБ РФ облекли в форму новой редакции Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» (СТО БР ИББС-1.0-2008). Не настаивая на его полном применении, А.Л. Поспелов посоветовал участникам Форума ознакомиться с этим документом и соотнести его с условиями, в которых работает конкретная кредитная организация. «Цель выпуска стандарта – показать кредитным организациям необходимость создать корпоративные политики и регламенты в области информационной безопасности, и проведения проверок их выполнения на постоянной основе».