Банковская безопасность: основы и приоритеты

Аватар пользователя ElenaKharlamova
Автор: Харламова Елена,
(1)
()

Банковская безопасность является одним из ведущих направлений в плане приоритетного развития концепций информационной безопасности государства в целом. При этом, техническая составляющая безопасности на банковских объектах не менее актуальна, нежели интеллектуальная её часть. Об основных аспектах банковской безопасности нам рассказал руководитель регионального подразделения компании Group IB в Республике Беларусь Александр СУШКО.

- Каковы профилактические меры, принимаемые специалистами в области безопасности банковских платежей?

- Существует обширный пласт профилактических мероприятий, направленных на повышение общего уровня информационной безопасности банковских структур. Поскольку банковские учреждения желают комплексно обезопасить проведение безналичных платежей, соответствующими отделами банковских структур принимаются определенные меры, позволяющие значительным образом улучшить состояние безопасности банковской сферы. Очевидно, что совершаться преступления в сфере высоких технологий будут повсеместно, и обеспечить комплексную безопасность невозможно. Однако необходимо к этому стремиться. Помимо этого, актуальным аспектом деятельности, как банковских учреждений, так и представителей структур безопасности является обеспечение решения вопросов региональной кибербезопасности. Связано это в первую очередь, с тем, что компьютерные злоумышленники осознают: шанс совершить преступление у них весьма невысок. Поскольку они полагают, что в регионах наказания им можно избежать, большая часть подобных преступлений на сегодняшний день совершается именно там. Однако, как показывает практика, и эти граждане могут быть установлены и привлечены к ответственности.  

- Каковы основные формы противозаконных деяний в банковской сфере?

- Следует подробнее остановиться на отдельных негативных аспектах преступлений в сфере информационной безопасности. В первую очередь, это фотографирование различных частей банковской карточки. Впоследствии с применением полученных реквизитов злоумышленниками совершались хищения, в том числе и в ряде интернет-магазинов Китая. Суммы хищений были невелики, однако на сегодняшний день установлено более 40 пострадавших. Ключевым аспектом, который хотелось бы отметить относительно уровня современных технологий безопасности является продолжительность процессов расследования данных преступлений.  Если в банковское учреждение сообщается о потерпевшем, то через месяц – два, а то и три банк умывает руки и говорит, что по данному поводу проверок производить не будет. Система онлайн-мониторинга, как и система работы с потерпевшими, должна быть организована при поддержке самого банковского учреждения. Специалистами регионального отдела Департамента Охраны было достаточно сказано относительно не только инструкций, но и корректировки основных производственных аспектов. На сегодняшний день, я ни в коей мере не хочу говорить о внутренних инструкциях, которые будут регулировать основные вопросы корпоративной безопасности. Коллегами из Национального банка уже отмечалось, что подобное будет применяться относительно СТБ. Однако  все мы прекрасно понимаем, что если не будет налажена реальная работа в банковских учреждениях, обращение к подобным документам положения дел здесь не исправит. Сопряжена данная ситуация с тем, что на сегодняшний день многие банковские предприятия не имеют единой точки опоры: когда появляется информация о пострадавших гражданах, с ней работают и специалисты отдела банковских карт, и начальники служб безопасности, и юристы. В конечном же итоге, отсутствует точный механизм сопровождения, которое данное заявление должно проходить. Это ключевой момент, который хотелось бы отметить в наладке системы банковских учреждений. Характерный пример, произошел в Витебском регионе: с учетом нестыковок бухгалтерской документации, а также незакрытых вопросов отладки программного обеспечения, регулирующего деятельность интернет-банкинга, злоумышленник получил полтора миллиарда рублей. После данного знаменательного для отечественных сотрудников служб безопасности факта, была разработана инструкция, согласно которой каждый отдел и каждый сотрудников были досконально ознакомлены с собственными должностными обязанностями. В конечном итоге, ответственность за данные операции никто не нёс – и виновных начинали искать уже после того, как был выявлен ущерб.

Еще один аспект, на котором хотелось бы остановить пристальное внимание – это системы видеонаблюдения. Безусловно, хотелось бы отметить, что тратить большое количество денежных средств на приобретение новых систем видеонаблюдения весьма нерационально. Однако, подобная ситуация может коснуться каждого из банковских учреждений.  Банковскими специалистами ведется аналитика и учёт работы по выявлению условий и причин, которые совершаются в данной сфере. Практически по каждому делу в банковские учреждения, а иногда и в адрес Национального Банка, направлялись представления, которые позволили бы должным образом улучшить ситуацию. Однако на улучшение качества видеозаписи не тратилось дополнительных средств. Наличие данных правонарушений тесно сопряжено с деятельностью банковских учреждений. В конечном итоге оказывается, что граждане получают информацию именно в банках. На сегодняшний день методика доступа к информации требует определенных доработок. Разумеется, за это время преступники каким - либо образом заметают следы. В итоге, не всегда предоставляется возможность их установить. Даже когда мы узнаём, что преступник применял банковскую пластиковую карточку для того, чтобы обналичить вырученные от продажи наркотиков средства, видеонаблюдение не всегда показывает достоверную картину. Проблема заключается в следующем: когда кто-либо из технических специалистов интересуется причинами подобных сбоев, возникает вопрос: на каком основании на протяжении восьми лет банковское сообщество не смогло самостоятельно выработать данные критерии? Моё субъективное мнение – инструкции ничего хорошего не принесут, пока банк сам в этом не заинтересован.

- Для чего вообще существует видеонаблюдение?

- Мои коллеги неоднократно отмечали, что большое количество вопросов имеется в отношении потерпевших, пока устанавливаются основные факты мошенничества. К примеру, установка системы видеонаблюдения поможет выявить, что сам потерпевший пользовался банковской пластиковой карточкой. Если же видеонаблюдения не будет, у банковских работников  могут возникнуть обоснованные сомнения относительно того, что данный человек – мошенник. Правоохранительным органам предоставить по факту данного мошенничества будет нечего. Следовательно, исходить необходимо из того, что весь массив производимых операций не может обрабатываться руками одного сотрудника. Однако работники службы безопасности должны поднимать данные вопросы перед самим банковским руководством – для оперативного внедрения систем онлайнового мониторинга. В нашей практике имелись прецеденты уголовных дел, когда работники банковского сектора сами совершали преступления. При этом, служба безопасности рапортовала, что не может установить преступника. И, в конечном итоге суд признал виновными сотрудников банковских учреждений, которые похищали средства с карт-счетов граждан. Служба безопасности при этом оставалась в стороне, и заявляла, что для расследования инцидентов у них нет ни полномочий, ни оснований.   Для того, чтобы такие полномочия и основания появлялись, необходимо нормативное регулирование спорных законодательных вопросов. Если будут регламентированы процессы деятельности каждого подразделения, в конечном итоге мы получим необходимый результат. Поэтому хотелось бы призвать коллег к дальнейшему конструктивному сотрудничеству: в данной сфере преступлений будет становиться, соответственно, всё меньше – а онлайн-банкинг, интернет-банкинг и прочие виды интерактивных банковских решений оперативно будут развиваться. Для них необходимо дополнительное техническое оснащение. Поэтому думать надо также и о том, что нас ожидает через два-три года, а не рассматривать ситуацию сугубо в нынешнем разрезе.

- Каким образом можно создавать предпосылки для формирования положительной динамики расследования компьютерных преступлений?

- Совершение преступления система видеонаблюдения предотвратить не может, однако существует деятельность по их целенаправленной профилактике. Существуют условия, способствующие повышению уровня компьютерной преступности - как в столице, так и на региональном уровне. Одним из них является отсутствие видеонаблюдения. Однако отсутствие практических мер, направленных на реализацию информационного противодействия киберпреступности - это только одна сторона медали. Другой вопрос, когда вы самостоятельно выявляете неисправности и изменяете тем самым отношение к системе видеонаблюдения при условиях сохранения информации. Однако подобных фактов будет становиться всё меньше. Но, если в банке отсутствует система видеонаблюдения – нельзя говорить о наличии целостной системы  профилактики. Когда банку сообщают о выявленных недостатках, а причины их не были установлены, то подобные представления от следователей продолжают поступать. Представления при этом не являются самоцелью – целью можно назвать то, что банковское сообщество самостоятельно начинает заботиться о вопросах корпоративной безопасности. Однако не следует путать вопросы информационной безопасности с подразделениями, которые данным направлением занимаются. Информационная безопасность – это совокупность всех процессов, которые происходят в банке. Складывается она из организационных, технических и правовых мер. На сегодняшний день в банковской структуре обеспечение вопросов информационной безопасности находится на надлежащем уровне. Проблема заключается лишь в том, что не окончательно обеспечены правовые аспекты. Банковская система должна представлять собой целостный комплекс, в котором будут отсутствовать данные недочёты.  Они всегда могут быть, поскольку уровень киберпреступности на сегодняшний день достаточно велик. Поэтому всегда найдутся люди, готовые эти преступления совершать...

 
Оцените материал:
Total votes: 18
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Смешная статья. Вспомнились 90-е, когда так призывали учреждения тратить деньги на бессмысленные затеи.

По сути:

1. Про ИБ в банке - пустые разговоры. Тема бесконечная и если хозяева банка не идиоты они будут решать эти проблемы по-другому.

2. Удивила логика автора - " ...обеспечить комплексную безопасность невозможно. Однако необходимо к этому стремиться....". конец цитаты. Даже комментировать не хочестя.

​3. Пример Витебска - четко показал, что в других местах надо искать причины и разгребать там, а не псевдо ИБ напрягать...

​4. А апофеоз - реклама видеокамер - очень похоже на рекламныю заказуху от производителей мини камер. Для банков - это только затраты, но не решение. Еще для МВД эти камеры могут сгодиться, но банки оплатят ли это?

​А в финале про целостностней комплекс - вершина надувательства.

Будут вопросы - обращайтесь, разъясню.

up
1 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.