Банки

Надежность шифрования проверена временем и опытом

Ради обеспечения ИБ надо отключать все «лишние» устройства, интерфейсы и шлюзы.

Ради обеспечения ИБ надо отключать все «лишние» устройства, интерфейсы и шлюзы.

При защите информации от несанкционированного доступа, пожалуй, наиболее эффективными являются превентивные меры: корректное распределение прав пользователей, своевременный их пересмотр, мониторинг событий доступа и регулярные аудиты. Если несанкционированный доступ уже произошел, дальнейшее развитие событий очень сложно и даже практически невозможно держать под контролем.

Несмотря на всю важность проблемы защиты данных в финансово-кредитных организациях, информационная безопасность (ИБ) не является самоцелью для банка. ИБ - это, прежде всего, вспомогательный процесс или сервис, позволяющий банку достичь поставленных бизнес-целей. В этом контексте не вызывает удивления тот факт, что многие «безопасники» сталкиваются с общей для всех трудностью при построении систем управления ИБ: с пренебрежительным отношением к информационной безопасности со стороны сотрудников банка или с пониманием ее как процесса, который только мешает жить и работать.

Поэтому с точки зрения службы безопасности банка никакие системы аутентификации, никакая защита данных от несанкционированного доступа, никакие программные средства защиты информации не способны контролировать инсайдеров и сотрудников с низким уровнем компетентности, профессиональной подготовки, осознания личной ответственности.

Специалисты в области ИБ видят только один выход из такой ситуации: повышать уровень ограничений при работе в информационных системах, уменьшать область доступа, отключать все «лишние» устройства, интерфейсы и шлюзы. Безусловно, некоторая доля рисков в процессе эксплуатации информационных систем возникает не только вследствие несанкционированных действий с финансовой информацией, но и в работе сотрудников, совершающих непреднамеренные ошибки. Эти ошибки также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.

Серьезной проблемой ИБ является вопрос распределения прав доступа и прав управления. «Безопасники» говорят о том, что зачастую пользователи получают набор прав, который избыточен для выполнения их служебных обязанностей. Сотрудники переходят из одного подразделения в другое, им предоставляются новые права, при этом старые не изымаются. Данная проблема усугубляется еще и тем, что в каждой системе пользователь регистрируется под отдельной учетной записью, что значительно усложняет процесс управления доступом.

Еще один важный момент в ИБ - это использование сотрудниками на работе мобильных устройств: ноутбуков, планшетов, смартфонов. Средства защиты информации на них не так сильно развиты, как системы на персональных компьютерах. К тому же пользователи неохотно ограничивают возможности своих персональных устройств, устанавливая пароли на вход в систему.

В настоящее время широко используется удаленный доступ к корпоративной сети, а также практикуется удаленная работа. Это приводит к тому, что периметр сети компании как понятие становится очень размытым. В результате в него попадают домашние компьютеры, контролировать состояние которых очень сложно, хлопотно, дорого, а зачастую практически невозможно.

Эффективные меры защиты

Необходимо отметить, что несанкционированный доступ к данным осуществляется с различными целями. Злоумышленнику может требоваться как извлечение ценной и полезной информации, то есть нарушение их конфиденциальности, так и удаление данных с целью выведения ИТ-сервисов из строя. Конечно, наиболее распространенная цель несанкционированного доступа - это нарушение конфиденциальности. В этом случае, по мнению ряда банковских экспертов в области ИБ, самыми эффективными мерами защиты были, есть и в ближайшей перспективе будут оставаться программные или программно-аппаратные средства шифрования, благо рынок средств защиты насыщен, и на нем представлен самый широкий спектр данных продуктов.

В отличие от других программных или программно-аппаратных средств защиты у шифрования меньшая вероятность присутствия уязвимостей и ошибок, ему свойственна относительная простота в реализации. При этом стойкость ко взлому фактически зависит только от длины ключа шифрования. Даже если злоумышленник украдет зашифрованные данные, то без ключа шифрования он не сможет получить какие-либо полезные сведения из этих данных. Надежность и эффективность шифрования проверена как временем и опытом, так и строгими математическими обоснованиями.

Если речь идет об оптимальных для клиентов банков способах обеспечения безопасности, то здесь наиболее эффективным будет сочетание нескольких инструментов контроля доступа. В частности, клиент может использовать постоянный логин и пароль, но при этом подтверждать свой доступ к базе данных. Для совершения каждой платежной операции необходимо будет вводить одноразовый пароль, например, высылая его на зарегистрированный в системе мобильный телефон.

При совершении же платежей по банковским картам необходимым является обеспечение их соответствия актуальным протоколам безопасности, реализуемым платежными системами. При использовании Интернета - технология 3D-Secure, а при базовых транзакциях -встроенный в карту чип.

Безусловно, внедрение и сопровождение указанного функционала может вызвать недовольство клиентов (из-за временных потерь в результате введения одноразовых паролей). Не подлежит сомнению и тот факт, что использование вышеназванных инструментов ИБ приведет к некоторому удорожанию процесса обслуживания. Но, с другой стороны, это позволит в максимально возможной степени обеспечить защиту информации, а значит, и финансовых интересов как самого банка, так и его клиентов. Цена ошибки, допущенной при работе с системой информационной безопасности, слишком высока и для финансово-кредитных организаций, и для рядовых пользователей финансовыми услугами, чтобы можно было ее игнорировать.

Начать дискуссию

3-НДФЛ

Налоговики не будут штрафовать, если просрочка 3-НДФЛ произошла из-за технических ограничений

Штрафовать за просрочку из-за технических сбоев инспекторы не будут. Инспекторы разъяснили, что делать, если неквалифицированная электронная подпись (НЭП) для подачи декларации 3-НДФЛ не сгенерировалась.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

Финансовые мошенники могут первое время реально выплачивать доход

В Москве сотрудники полиции задержали подозреваемого в многомиллионном мошенничестве под предлогом инвестирования.

Маркетинг

На майских праздниках хотят запретить продажу алкоголя

Чтобы снизить число преступлений и защитить здоровье населения, депутат предложил по всей стране запретить продажу спиртного во время майских праздников.

Лучшие спикеры, новый каждый день
Отпуска

Сотрудники имеют право уйти в отпуск за свой счет без согласия работодателя

В особых случаях работники могут не согласовывать с работодателем период отпуска без сохранения зарплаты.

Налоговой системе грозит модернизация: Минфин пообещал «донастройку» налогов. ⚡«Ночной бухгалтер» № 1672

Антон Силуанов сообщил, что в стране назрела необходимость налоговой «донастройки» и конкретные предложения по ней Минфин будет обсуждать с бизнесом в середине мая этого года. Интересно, бухгалтеров на обсуждение позовут?

Иллюстрация: Вера Ревина / Клерк.ру

Минфин: Россия занимает 3-е место по майнингу

Министерство финансов ожидает, что Госдума примет законопроекты, которые разрешат применять криптовалюту для расчетов по внешнеэкономическим контрактам.

Опытом делятся эксперты-практики, без воды

Предпринимателя вызывают на опрос в полицию. Тактика успешного прохождения и защиты

Все изложенное в данной статье можно использовать и при вызове для дачи пояснений в рамках доследственной проверки, проводимой в отношении предпринимателя.

Клиенты провели более 2,5 млрд операций через СБП

Пользователи Системы быстрых платежей оплатили 700 млн покупок на общую сумму 1,2 трлн рублей.

Через сервис поиска попутчиков можно никуда не уехать и остаться без денег

В Алтайском крае осудят участников группы, похитивших почти 1 млн рублей у 53 клиентов сервиса поиска попутчиков.

Какие распространенные страхи кандидатов перед собеседованием нерациональны

Собеседование является неотъемлемой частью процесса поиска работы, и многие кандидаты испытывают страх перед ним. Однако, некоторые из этих страхов являются нерациональными и необоснованными. В этой статье предлагаю рассмотреть несколько распространенных страхов кандидатов и расскажу, как их преодолеть.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
Бесплатно с Больничные

Как ИП в 2024 году оформить право на пособия по больничным

В общем случае ни ИП, ни самозанятые права на оплату больничных не имеют. Но ИП могут оформить добровольное страхование в СФР. Самозанятые – тоже, но только если они ИП на НПД.

Как ИП в 2024 году оформить право на пособия по больничным
Бесплатно с Самозанятые

Обязательные и необязательные документы в работе с самозанятыми. Мини-курс

Какие обязательные и необязательные документы оформить при сотрудничестве с самозанятыми, рассказываем в мини-курсе.

Обязательные и необязательные документы в работе с самозанятыми. Мини-курс
Миникурсы, текстовые и видеоинструкции для бухгалтеров

⚡️ Итоги дня: в поезде появился спа-вагон, в Дагестане начали выращивать голубику, а собака родила зеленого щенка

Подготовили обзор главных событий дня — 25 апреля 2024 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Вскрыта афера с получением вычетов за стоматологию

В Смоленской области направлено в суд уголовное дело о мошенничестве при получении социальных налоговых вычетов по НДФЛ за лечение.

Инвестиции

Как продать заблокированные активы

Появился механизм, который позволит инвесторам продать ценные бумаги, заблокированные из-за санкций. Рассказываем, как это будет происходить.

Иллюстрация: Вера Ревина/Клерк.ру

Аномальная нагрузка на электросеть помогла выявить майнинг криптовалюты

В Новосибирской области полицейские задержали подозреваемых в незаконном потреблении электроэнергии для майнинга криптовалюты.

Медосмотры офисных работников: для кого обязательны, как проводить, ответственность

Многих работодателей интересует вопрос: обязательно ли проводить для своих офисных сотрудников медицинские осмотры? Какие риски с этим связаны и как все организовать, рассмотрим в статье.

Иллюстрация: freepik/freepik

Как правильно и выгодно «продать» себя на собеседовании

Советы по трудоустройству дают, как правило, HR или психологи. Но не менее полезной информацией обладают эксперты с солидным опытом в сфере продаж. Как сделать так, чтобы потенциальный работодатель из всех кандидатов выбрал именно вас, а какой компании стоит точно отказать рассказала Гульнара Гумарова, коммерческий директор Wazzup.

Как правильно и выгодно «продать» себя на собеседовании

💪 Известен размер вычета НДФЛ за сдачу норм ГТО. Подготовиться к сдаче норм может выйти и дороже, считает эксперт

Налоговый вычет по НДФЛ можно будет получить за сдачу норм ГТО.

Интересные материалы

«Мегамаркет» начал продавать автомобили LADA

При оформлении заказа с покупателем свяжется менеджер «СберАвто», чтобы уточнить технические моменты и варианты доставки.