Угрозы и риски в системе ИБ банков и страховых организаций
Работа любых финансовых организаций основывается на доверии клиентов и репутации на рынке.
Поэтому значение защиты информации в данном бизнесе трудно переоценить.
Взлом автоматизированных банковских систем и кража средств путем несанкционированных переводов с одних счетов на другие негативно отражается на репутации банка и влечет за собой необходимость возмещения огромных сумм денег.
Те же последствия для банков имеют переводы со счетов путем подделки пластиковых банковских карт и фишинга.
Массовая клиентура требует новых подходов к обслуживанию: развития удаленного доступа к счетам и финансовым рынкам, возможностей самостоятельного управления счетами (например, персонального интернет-банкинга), новых технологий информирования клиентов, в частности через сотовые телефоны,
и т. д.
Современные методы обслуживания банковских клиентов задействуют обычные публичные каналы связи, которые менее защищены, чем специализированные финансовые сети, такие как SWIFT, VisaNet и Western Union.
Кроме того, самостоятельный доступ пользователей к финансовым сервисам влечет за собой риски ИБ, связанные с их неосведомленностью, халатностью и недобросовестностью.
Существуют различные виды банковских карт, операции с которыми связаны с разным уровнем рисков ИБ.
Банки должны обеспечивать конфиденциальность, целостность и достоверность информации, включая данные, записанные на лицевой части, магнитной полосе и в памяти микропроцессора карты.
Наиболее распространены дешевые и простые в использовании карты с магнитной полосой.
Для осуществления платежа с их помощью надо получить разрешение банка.
Поэтому основная задача финансовой организации, эмитирующей и обслуживающей магнитные карты, сводится к защите и правильному управлению запасами карт, а также обеспечению надежной связи между точкой платежа и процессинговым центром банка.
Несмотря на применение ПИН и других защитных кодов с целью идентификации пользователя и контроля за подлинностью магнитной ленты, этот вид карт относительно легко подделывается.
Более безопасными являются смарт-карты, которые имеют многоступенчатую систему защиты, включающую разрушаемый при вторжении чип на одном кристалле, а также развитые программные и криптографические средства обеспечения безопасности.
Однако технологии управления смарт-картами более сложны, чем картами с магнитной лентой, и требуют от банка наличия безопасной системы генерации и распределения ключей, а также защиты систем обработки транзакций.
Защиты помимо самих карт требуют и сети процессинговых центров и банкоматов.
Смарт-карты достаточно интеллектуальны не только для “самостоятельного” принятия решения о платеже — на них также можно размещать дополнительные бизнес-приложения различных торговых компаний, операторов связи и т. д.
Это ставит перед финансовыми организациями, телекоммуникационными, торговыми компаниями, а также регуляторами рынка вопрос о том, кто должен считаться эмитентом карт и в конечном итоге отвечать за их безопасность.
Иногда в пластиковые банковские карточки встраивают RFID-метку для осуществления платежей.
Такие платежи удобны, поскольку не требуют нахождения карты в зоне прямой видимости карт-ридера и обладают большой информационной емкостью радиочастотных меток.
Однако RFID-технологии довольно уязвимы в отношении несанкционированного удаленного считывания информации, что требует введения дополнительных средств защиты — ПИН-кодов и специальных блокирующих чехлов.
Источник: www.pcweek.ru