УЧАСТНИКИ «КРУГЛОГО СТОЛА»:
Евгений АКИМОВ, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»;
Юлия АКСЕНОВА, руководитель департамента методологии и корпоративного управления ООО ИКБ «Совкомбанк»;
Александр ВЕЛИГУРА, председатель Комитета АРБ по банковской безопасности;
Павел ГОЛОВЛЕВ, начальник управления безопасности информационных технологий СМП Банка;
Дмитрий ГОРЕЛОВ, коммерческий директор компании «Актив»; Валерий ДАВИДЕНКО, заместитель генерального директора Network Systems Group (NSG);
Сергей ДРАГАЙЦЕВ, начальник управления ИТ КБ «РИАБАНК»; Сергей ЗАХАРОВ, главный специалист управления информационной безопасности Банка УРАЛСИБ;
Олег КАЗАКЕВИЧ, советник президента АРБ по вопросам безопасности;
Карен КАРАГЕДЯН, директор по продажам в России, СНГ и странах Балтии Stonesoft;
Валерий КРУТСКИХ, генеральный директор ЗАО «МТТ Контрол»;
Юлия КУЗНЕЦОВА, руководитель департамента по связям с общественностью ЗАО «МТТ Контрол»;
Сергей ПАВЛОВСКИЙ, начальник управления технических средств безопасности и режима ОАО КБ «АГРОПРОМКРЕДИТ»;
Константин ПЕБАЛК, начальник отдела ИТ ЗАО КБ «Свенска Хандельсбанкен»;
Юрий ПТИЦЫН, вице-президент ОАО «Московский Индустриальный Банк»;
Дмитрий РОМАНЧЕНКО, директор Центра технологий безопасности IBS;
Андрей САВУШКИН, начальник управления безопасности автоматизированных систем и корпоративной сети ОАО Национальный банк «ТРАСТ»;
Артем СЫЧЕВ, заместитель директора департамента безопасности - начальник управления информационной безопасности ОАО «Россельхозбанк»;
Роман ЧАПЛЫГИН, руководитель отдела информационной безопасности банка «ДельтаКредит»;
Евгений ЦАЛЬП, вице-президент Независимого Строительного Банка;
Антон ШАШЛОВ, главный инженер-программист Межрегионального центра информатизации Банка России;
Ольга ШВИЛКИНА, заместитель начальника УИТ по информационной безопасности Межтопэнергобанка;
Владимир ШИКИН, советник председателя правления ООО ИКБ «Совкомбанк»;
Александр ШУБИН, главный специалист отдела информационной безопасности автоматизированных банковских систем службы информационной безопасности банка «Возрождение»;
Константин ШУРУНОВ, пресейл-эксперт Quest Software;
Арам ХАЧАТУРЯН, руководитель направления Quest Software компании «MERLION»;
Иван ЯНСОН, заместитель руководителя службы информационной безопасности Промсвязьбанка;
Николай ЯРОШИНСКИЙ, технический директор Network Systems Group (NSG).

ВЕДУЩИЕ:
Анастасия СКОГОРЕВА, главный редактор НБЖ;
Оксана ДЯЧЕНКО, заместитель главного редактора НБЖ.

100-ПРОЦЕНТНАЯ ИБ - ИЛЛЮЗИЯ. ПРИБЛИЖЕНИЕ К ЭТОМУ УРОВНЮ -РЕАЛЬНОСТЬ

НБЖ: Наверное, ни у кого из участников банковского сектора не вызывает сомнений, что обеспечение информационной безопасности финансово-кредитных организаций - очень актуальная тема, важность которой постоянно возрастает. В связи с этим хотелось бы начать заседание нашего «круглого стола» с вопроса, возможно ли, в принципе, обеспечить 100-процентную информационную безопасность банков, или это - априори иллюзия? Если возможно, то какие существуют пути и средства достижения этого?

О. КАЗАКЕВИЧ: На мой взгляд, вопрос сформулирован не совсем корректно по одной простой причине. Мы, как представители банковского сообщества, знаем, что в настоящее время нет точного и полного определения, что же это такое - информационная безопасность. А если так, то о каком 100-процентном обеспечении безопасности можно говорить?

Второй аспект, который банковские специалисты мало учитывают и который хотелось бы затронуть, - вопросы инсайда. Последние исследования, которые проводились по просьбе АРБ Академией народного хозяйства, наглядно показали, что 40% инцидентов в автоматизированных банковских системах связаны с внутренними проблемами, и в первую очередь, с проблемами инсайда.

Третий аспект - не надо забывать, что мы работаем в заведомо недоверенной среде. Поэтому говорить о 100-процентном обеспечении информационной безопасности - значит, тешить себя иллюзиями.

НБЖ: Хорошо, нет четкого определения, что такое информационная безопасность. Тогда возникает вопрос - с чем же работают специалисты профильных департаментов и управлений банков?

О. КАЗАКЕВИЧ: По большому счету, с защитой информации.

А. СЫЧЕВ: Я бы сказал так: задача, которую решает любое профильное подразделение банка, - это защита экономических интересов банка, интересов его клиентов и владельцев. Сделать эту задачу абсолютной в масштабах финансово-кредитной организации, наверное, было бы не совсем правильно, потому что основная цель любого банка - это получение прибыли от предоставления банковских услуг. Я согласен с Олегом Юлиановичем (Казакевичем - прим. ред.), что сделать работу банка абсолютно безопасной невозможно, в ходе банковской деятельности риски возникают постоянно. В какой момент реализуется тот или иной риск, какой из рисков в тот или иной момент будет иметь наибольшее значение, мы с вами с точностью до микрона предугадать не можем. Поэтому свою задачу мы видим в том, чтобы способствовать минимизации рисков, адекватно оценивать и прогнозировать риски.

А. ШУБИН: Риски - действительно очень важный момент. Банк проводит для себя определенную оценку рисков и решает, какие из них он принимает, а каких пытается избежать. Если эти риски второй категории сведены к минимуму, значит, можно сделать вывод, что информационная безопасность в банке обеспечена в достаточной степени. И тогда условно - подчеркиваю, условно - можно говорить об обеспечении 100-процентной безопасности.

«ЧЕЛОВЕЧЕСКИЙ ФАКТОР» ШИРЕ, ЧЕМ ИНСАЙД

В. КРУТСКИХ: Не думаю, что нам стоит углубляться в вопрос об определении, что такое 100-процентная безопасность, - лучше попробовать понять, какие риски мешают обеспечению такой безопасности. Думаю, коллеги согласятся со мной, что существует некий «джентльменский набор», с помощью которого риски сводятся к допустимому минимуму. И возникает вопрос - сохранять этот «набор» или обратить внимание еще на какие-то существующие риски?

Полностью разделяю точку зрения, высказанную г-ном Казакевичем: «всплывает» новый слой, который он определил как инсайд, а я бы назвал шире - человеческий фактор. Вопрос -что с этим делать? На сегодняшний день большинство банков отвечает на этот вопрос так: надо написать больше правил, как надо и как не надо себя вести. Но на практике совершенно очевидным становится, что эти правила не работают. Поражает простота, с которой преодолеваются сложнейшие алгоритмы шифрования - когда просто передаются пароли либо на столе оставляются флеш-ки или забываются «ключи». Как с этим борются? Путем мотивации персонала. Но мотивация зачастую играет против банка: никто из специалистов не признается в нарушении правил из страха быть оштрафованным, лишиться премии и т.д.

Что делать? На мой взгляд, применять подход, при котором необходимо «поставить» системы так, чтобы правила нельзя было не выполнить. А для этого необходимо объединять уже существующие в банках системы информационной безопасности и системы физической безопасности. В частности, нужно четко идентифицировать объект, применять биометрическую идентификацию. Необходимо иметь «информационный след» - что делает конкретный специалист на протяжении всей его работы. Это достигается с помощью видеонаблюдения, систем контроля доступа, бюро пропусков, наконец, -и вся эта структура должна определять «информационный след». Необходимо также определить ряд регламентов, которые мы должны отслеживать с помощью систем информационной и физической безопасности.

Резюмируя свое выступление, хочу сказать: возникает некий новый «пласт», который очень жестко связан с человеческим фактором. Крайнее выражение этого фактора - инсайд. А борьба с ним - это не подключение имеющихся средств, а дополнение их специальными системами, объединяющими информационные и физические средства безопасности. И интегрирующая система, которая стоит над этими системами и заставляет всех сотрудников без исключения выполнять административные правила.

А. СЫЧЕВ: Вы говорите абсолютно верные вещи, но верные только когда мы касаемся деятельности банка в части миддл- и бэк-офиса. Когда же мы говорим о бизнес-деятельности банка, то вопрос обеспечения информационной безопасности надо понимать гораздо шире. Потому что речь, в первую очередь, идет о клиентах, а клиенты, к сожалению, - потенциальная угроза. Так, например, наш опыт показывает, что очень часто, осуществляя обмен информацией с клиентами в электронном виде, мы фиксируем на стороне клиента заражения вредоносным программным обеспечением. Естественно, это представляет потенциальную угрозу информационным системам банка. И эту проблему невозможно решить путем различных интеграций, написания регламентов и т.д.

На самом деле проблему надо рассматривать в более широком смысле. Информационная безопасность банков должна обеспечиваться отработкой неких сервисов безопасности, которые предоставляются как внутри банка, так и его клиентам. Потому что риски, которые «несут» в банк наши клиенты, не менее серьезны, чем риски, возникающие в результате инсайда. Кроме этого, есть понимание, что даже внутренние бэк-офисные технологии тоже могут быть небезопасными - не потому что кто-то потерял пароль или кто-то работает не в здании банка, а в удаленном режиме, а потому что технологии сами по себе построены без учета требований безопасности и не могут обеспечить адекватный уровень информационной безопасности. Поэтому вопрос, по моему убеждению, надо рассматривать комплексно, не «завязываясь» только на его технических аспектах.

Д. ГОРЕЛОВ: 100-процентно защищенная система - это система, которая не работает. Мы никогда не знаем, что будет в дальнейшем с технологиями, со злоумышленниками, поэтому всегда будет иметь место борьба между мечом и щитом. И самая большая проблема, что в идеальных 100% самыми дорогими для банка становятся последние два-три -98-99%. Поэтому не всегда стоит стремиться к безопасности на уровне 99,99%, разумнее остановиться на уровне 97% -но это будет как раз та степень защищенности, которая необходима банку. И финансово-кредитной организации не придется тратить на системы безопасности столько денег, что ее деятельность просто станет невыгодной.

С. ПАВЛОВСКИЙ: По моему убеждению, те, кто говорит о 100-процентной информационной безопасности в своих банках, просто занимаются самолюбованием или самоуспокоением. И то и другое -самый короткий путь к краху. Мы же понимаем, что ситуация все время меняется и, следовательно, постоянно возникают новые вызовы и риски.

Здесь уже говорилось о человеческом факторе в разрезе инсайда. Этот фактор, с моей точки зрения, важен и когда речь идет о клиентах. Клиенты, к сожалению, не всегда в состоянии понять и оценить уровни рисков. Поэтому с каждым из них необходимо разговаривать на понятном ему языке. Необходимо донести до клиента, какие риски возможны и какие потери он лично может понести в случае реализации этих рисков. Чтобы достичь этого, в свою очередь, необходим контакт с клиентом. Если он налажен, то это путь к обеспечению комфортного для банка уровня информационной безопасности.

Е. АКИМОВ: Мне приходилось сталкиваться с прямо противоположным мнением: спасение утопающих - дело рук самих утопающих. Если у клиента нарушена конфиденциальность «ключей» шифрования и ЭЦП, то некоторые банки склонны воспринимать это исключительно как проблему самого клиента, что, конечно, не так.

Причем наиболее эффективно эта задача решается не только разъяснительными мерами и даже не обязательствами по защите клиентского места (AV, HIPS и пр.), прописанными в договоре, а более комплексно. Прежде всего, из мер, существенно снижающих возможности для мошенников, надо отметить создание fraud machine, осуществляющей в том числе мониторинг банковских транзакций, интеллектуально проверяя их на возможность мошенничества.

Наша дискуссия о возможности или невозможности стопроцентной безопасности потихоньку «сместилась» к обсуждению темы обеспечения оптимального для банка уровня безопасности. И здесь можно сделать некоторую ретроспективу. 10-15 лет назад речь шла в основном об обеспечении безопасности «периметра» банковских ИТ-систем: априори считалось, что все угрозы носят внешний характер, и главная задача банков -оградить себя от «злобных хакеров». С течением времени этот подход корректировался, становилось очевидным, что сотрудники банка тоже могут нести угрозы для его деятельности. В последние несколько лет мы видим бум DLP-систем, когда осуществляется контроль за деятельностью бизнес-подразделений банка, за их информационными потоками. Сейчас тенденция пошла еще дальше: начинают отслеживать деятельность ИТ- и даже ИБ-администраторов. Такой подход, к сожалению, подтверждается и самыми крупными публичными инцидентами ИБ - как раз привилегированные пользователи и осуществляли кражу конфиденциальной информации.

МЕЖБАНКОВСКОЕ СОТРУДНИЧЕСТВО И НЕОБХОДИМОСТЬ УЧАСТИЯ ГОСУДАРСТВА

А. ВЕЛИГУРА: Вопрос, на который следует искать ответ, - что в принципе надо понимать под безопасностью. Если речь идет об удовлетворении определенных правил, прописанных в стандарте или в законе, то, наверное, можно достичь и 100-процентного уровня их выполнения. Если же под безопасностью понимать создание условий, при которых риски банка не выходят за пределы определенного коридора, - то есть если они не возрастают сверх меры, - то можно добиться того, чтобы эта задача была выполнена.

Как мы этого добиваемся? Я достаточно давно общаюсь с банкирами и вижу, как меняются и акценты, и уровень дискуссий. Лет 10 назад большинство специалистов, отвечающих за обеспечение информационной безопасности, не шли дальше обсуждения и использования технических средств. Постепенно пришли к пониманию, что надо уметь этими средствами эффективно управлять. Появились определенные нормы, стандарты управления банковской безопасностью.

Посмотрите, о чем сейчас больше всего пишут и говорят: о системах реагирования на инциденты, выявления событий. То есть сейчас довольно много внимания уделяется вопросу, что делать, если инцидент все-таки произошел. И приходит понимание, что надо не просто реагировать на то или иное происшествие, а собирать информацию о событиях, анализировать ее.

Какие еще тенденции можно отметить? Больше и чаще, чем раньше, говорят о необходимости межбанковского взаимодействия в сфере обеспечения информационной безопасности. Ситуация «берет за горло», потому что мошенники «набрасываются» не на отдельно взятый банк, а на всех участников рынка.

Клиенты, о которых здесь говорилось, - тоже важный вопрос. Расхожая поговорка «клиент всегда прав» тоже ставит некоторые ограничения. Можно заставить сотрудника соблюдать некие регламенты и правила, но нельзя то же самое сделать с клиентом. Клиент - по определению «слабое звено», поэтому нет ничего удивительного, что мошенники, занимающиеся хищением средств, наносят удар как раз по нему, используют клиентские возможности для совершения своих махинаций. Поэтому, по моему убеждению, огромную роль должно играть воспитание клиентов с точки зрения финансовой гигиены. Это тяжелый процесс, но от него отказываться нельзя.

И. ЯНСОН: Действительно, в настоящее время в банковском сообществе формируется тенденция к концентрации внимания на выстраивании и совершенствовании процессов управления информационной безопасностью. И отражением этого является одновременный процесс совершенствования стандартов ИБ. В частности, мы видим эволюцию вопросов управления информационной безопасностью в стандартах и рекомендациях Банка России. В период с 2004 по 2011 год были выпущены 4 редакции основного Стандарта и ряд других документов, причем при непосредственном участии банковского сообщества. Более 80% банков присоединилось к выполнению положений Стандарта БР, в частности, это отражает фактическое осознание банками необходимости построения системы менеджмента информационной безопасности с процессным подходом в этой области.

Второй момент - я согласен, что многие банки все больше внимания уделяют вопросам сбора и анализа событий информационной безопасности. Если мы посмотрим Стандарт Банка России, то увидим, что там есть раздел, в котором отражены соответствующие задачи и вопросы.

Таким образом, можно отметить, что практика и теория в сфере обеспечения ИБ все больше сближаются друг с другом за счет все большего повышения уровня осознания банками вопросов информационной безопасности.

Если продолжить мысль относительно стандартов, то одним из немаловажных примеров отражения лучших практик является международный стандарт PCI DSS. Он появился практически на наших глазах, содержит набор конкретных и предельно полезных требований как в предметных, так и в процессных областях ИБ, быстро эволюционирует, учитывая новые вопросы ИБ. При этом следует отметить, что данный стандарт не противоречит Стандарту Банка России, а в определенном плане дополняет его конкретными инструкциями.

Что касается клиентов, то, действительно, банки проявляют все большую заботу о них и все чаще координируют свои действия в этом вопросе. И это естественно. Возникает большая проблема, связанная с дистанционным банковским обслуживанием, и она не может решаться банками сепаратно. Они, как я уже сказал, взаимодействуют друг с другом в рабочем порядке, выносят проблемные вопросы на обсуждение в АРБ, в ЦБ, готовят совместные предложения. Однако этого уровня взаимодействия не будет достаточно для решения проблемы. Потребуются и законодательные изменения, и помощь со стороны правоохранительных органов. Без помощи со стороны государства эту проблему решить невозможно, как бы хорошо банки ни защищались - и просвещая клиентов, и с помощью технических средств - и как бы хорошо они не взаимодействовали между собой.

А. СЫЧЕВ: Я абсолютно согласен с коллегой. Все банкиры, принимающие участие в нашем заседании, понимают, что существуют законодательные «пробелы», препятствующие оперативным действиям банков в случаях, когда произошел инцидент, и деньги у клиента «увели». Эти «пробелы» должны быть устранены законодателями путем внесения изменений в Гражданский кодекс, в Уголовно-процессуальный кодекс и т.д. Безусловно, должна быть перестроена работа правоохранительных органов по отношению к этим инцидентам, потому что пока их деятельность не является удовлетворительной, и у преступников возникает чувство безнаказанности. Статистика инцидентов свидетельствует о том, что за последний год их число увеличилось более чем в два раза. Поэтому здесь недостаточно только объединения банков и оказания ими помощи друг другу в обеспечении информационной безопасности.

Е. ЦАЛЬП: Мое мнение таково: в существующей сейчас ситуации банки не защищаются, а отбиваются от тех угроз, которые возникают. И все, что мы делаем, - координация усилий, обучение клиентов - это от безысходности и невозможности найти другие пути противодействия данным угрозам. Регуляторы и законодатели прекрасно знают об этом, но результативность и своевременность их деятельности не соответствует значимости и актуальности решаемых кредитно-финансовыми организациями задач по обеспечению информационной безопасности. В некоторых случаях принимаемые решения усугубляют ту непростую ситуацию с информационной безопасностью, которая сложилась в банках в настоящее время. Недавний тому пример - принятие закона «О платежной системе», в соответствии с которым банк фактически становится «без вины виновным» во всех инцидентах, связанных с хищением денежных средств в системах дистанционного банковского обслуживания, и, как следствие, должен возмещать ущерб клиенту в любом случае. В этой ситуации банки смогут законопослушно отбиваться лишь до определенных пределов.

А. СЫЧЕВ: Фактически речь должна идти о создании киберполиции, которая расследовала бы преступления, совершенные в сфере высоких технологий, и которая использовала бы нормативную базу, позволяющую оценивать эти действия реально. А не так, как они оценивались 30 лет назад, когда такой проблемы фактически не существовало. Самый простой пример - инциденты, когда деньги похищают со счета в банке в одном регионе, а «падают» они на счет в банке в другом регионе. Клиент обращается в правоохранительные органы, говорит, что у него украли деньги, -и его посылают с заявлением в тот регион, где деньги «упали» на счет. Поскольку так предписано УПК. При такой схеме работы и при том, что технологическую экспертизу могут осуществлять у нас три правоохранительных органа - ФСБ, МВД и Следственный комитет, между которыми нет единства во взаимодействии, преступники, конечно, имеют большие шансы остаться без наказания. Если же банки начнут массово возмещать клиентам ущерб - а им это пытаются вменить законодательно, - то они поступят очень просто: повысят стоимость банковских услуг.

А. ВЕЛИГУРА: Преступления в сфере высоких технологий прекратятся - или, точнее, снизятся до допустимого уровня, -когда они станут экономически невыгодными. А это произойдет, если совершение таких преступлений станет, с одной стороны, очень технологически сложным, а с другой - рискованным. Сейчас ни того, ни другого не наблюдается.

НБЖ: Разве сейчас технологические преступления не являются дорогостоящими?

Е. ЦАЛЬП: Пока преступникам проще организовать хищение, чем нам - соответствующее противодействие. У них денег на эти цели больше, чем может выделить любой из банков в отдельности, а может, и больше, чем все банки, вместе взятые.

А. СЫЧЕВ: Тут есть очень интересный момент: банки решают эту проблему индивидуально с поставщиками услуг ДБО, и, как правило, ресурсы и тех и других ограничены. Да и скорость отработки решений оставляет желать лучшего. А что на той стороне? А на той стороне небольшое количество заказчиков с неограниченными финансовыми возможностями и огромное, почти беспредельное «поле» для поиска квалифицированных кадров, которым лишь бы в чем-то «покопаться» или получить «легкие деньги». Скорость реакции таких преступных групп значительно выше, чем скорость банка, пытающегося решить ту или иную задачу обеспечения безопасности.

Е. ЦАЛЬП: При этом преступники работают «на перспективу», а банки отбиваются «по факту».

И. ЯНСОН: По информации экспертов, занимающихся вопросами мошенничеств в сфере ДБО, текущий момент является переломным. «Бизнесом» по краже денег в ДБО начинает интересоваться классический криминал. Если этот вид преступников «возьмет под крыло» обычная преступность, то банкам будет бороться с ними намного сложнее.

Д. ГОРЕЛОВ: Действительно, есть две большие «армии» - одна, которая знает, как похищать деньги со счетов в банках, и вторая, которая заинтересована в сотрудничестве с первой. Сейчас эти «армии» сговорились. И если на уровне государства не будет оказано им противодействия, то банки будут нести огромные убытки. Причем к разработчикам всяких «троя-нов» нельзя сейчас предъявить претензии: да, они пишут программы, но они же их не используют! Разработчики просто отдают этот высокотехнологичный инструмент для совершения мошеннических действий людям, которые являются не «технологами», а криминалом.

В. КРУТСКИХ: Мы - банкиры и разработчики - как раз и поставлены для того, чтобы противодействовать этому, коль скоро государство пока данной проблемой всерьез не занимается. Была высказана очень верная мысль: надо «вычленять» слабые моменты и минимизировать затраты на их устранение. В связи с этим у меня предложение - давайте обсуждать конкретные средства защиты.

СТОИМОСТЬ РЕШЕНИЙ - КАК, КТО И ПО КАКИМ КРИТЕРИЯМ ДОЛЖЕН ЕЕ ОПРЕДЕЛЯТЬ?

Ю. ПТИЦЫН: Я хотел бы сказать, что нужно соизмерять затраты, которые мы несем, с теми потенциальными прибылями и законами, которые мы можем получить. И еще один момент: подчеркнем снова, что 100-процентной безопасности не бывает, и, возможно, она не нужна: ведь чем выше уровень безопасности, тем больше затраты банков на ее обеспечение. Но вопрос перераспределения ответственности между банками и клиентами существует. Однако если мы видим, что у клиента деньги уходят, а он не заявляет об этом, то мы возмещать эти деньги не обязаны и не будем.

А. ШАШЛОВ: Мы в рамках данной дискуссии смотрим на угрозы несанкционированного доступа к средствам, на угрозы подмены субъекта информационного воздействия, хотя вопрос гораздо шире.

Это и доступность информационных услуг, и их качество, и целый ряд моментов, которые, возможно, являются частными, но ущерб могут нанести весьма ощутимый. Например, предоставление заемщиками поддельных документов. И я полагаю, что это вопрос качества информационной инфраструктуры и качества информационной безопасности в целом.

А. СЫЧЕВ: Наша дискуссия возникла потому, что тема - очень больная, и количество денег, которое клиенты банков теряют или потенциально могут потерять, очень велико. Однако не менее важно уделять внимание вопросам качества инфраструктуры и безопасности технологий, так как в случае, если не будет правильно отстроена система приема и обработки кредитных заявок или любого другого бэк-офисного процесса, связанного с движением денежных средств по счетам, ущерб может быть существенным.

И. ЯНСОН: Собственно говоря, то, о чем говорит коллега, - это уже вопросы внутреннего фрод-мониторинга. Кстати, системы, нацеленные на сбор и анализ событий информационной безопасности, о которых мы уже говорили, как правило, «смотрят» в две стороны - внутрь и наружу.

НБЖ: А количество денег, которое банк потенциально может потерять из-за рисков, связанных с фрод-мошенничеством, или с инсайдом, или с атаками хакеров на ДБО, как-то коррелируется с затратами банков на обеспечение информационной безопасности? Иными словами, исходят ли банки при определении затрат из оценки своих возможных потерь?

А. СЫЧЕВ: Безусловно. Все банкиры прекрасно знают, как формируются бюджеты на обеспечение информационной безопасности. Не оценив потенциальный ущерб и реально существующие риски, ни один уважающий себя руководитель банка не начнет тратить деньги. Так что взаимосвязь здесь прямая.

К. КАРАГЕДЯН: Мне, как представителю компании-вендора, работающей на рынке информационной безопасности, хотелось бы поднять тему оценки стоимости решений в сфере ИБ. Вынужден констатировать, что мало кто берется оценивать затраты на поддержание созданной вновь или существующей системы. Сегодня уже неоднократно отмечалось, что «поле», в котором ведут деятельность банки, крайне агрессивно, четкого «периметра» безопасности нет, поскольку финансово-кредитные организации работают с огромным количеством контрагентов. Поэтому речь должна идти не о том, чтобы создать единовременно максимально защищенную систему, снижающую риски потерь до минимума, а о поддержании этой системы в актуальном состоянии. И мне было бы отрадно, если бы специалистов по ИБ бизнес привлекал как можно раньше в тех случаях, когда речь идет о создании новых бизнес-процессов или о добавлении новых банковских услуг.

Е. ЦАЛЬП: Если вопросы ИБ серьезно решаются в банке, то ни один проект не реализуется без визы и согласования с «безопасниками». Стандарты, которые были еще в советское время, никто не отменял, и в соответствии с ними службы информационной безопасности подключаются еще на стадии формирования технического задания. А если посмотреть дальше, то современный проект должен заканчиваться не только созданием той или иной системы, но и полным набором рекомендаций по информационно безопасной ее эксплуатации и сопровождению с учетом требуемых для этого финансовых затрат. Ведь можно создать систему, которую с точки зрения затрат просто невозможно будет эксплуатировать.

П. ГОЛОВЛЕВ: Да, конечно, ГОСТы тридцатилетней давности никто не отменял -но, к сожалению, их отменили современные бизнес-школы, которые выпустили кучу менеджеров, никогда не слышавших об этих стандартах. Они исходят из принципа - что удобно клиентам, то и приемлемо. И переломить это убеждение очень трудно, а еще сложнее изменить их подход, что службы информационной безопасности сродни коммунальным службам. Прорвало трубу - они подключаются, не прорвало - пусть сидят тихо.

А. СЫЧЕВ: В данном случае следует ставить перед этими менеджерами вопрос - кто платит? А еще точнее - кто расплачивается за инциденты?

П. ГОЛОВЛЕВ: А тут как раз работает истинно российское убеждение - «а вдруг пронесет». Или российский нигилизм: ну, украли у клиентов деньги, ну, пойдут они в суд, юристы банк «отмажут». И можно еще работать с корпоративными клиентами, убеждать их, что нужно выполнять рекомендации служб безопасности. А убедить в том же самом клиентов -физических лиц, - что надо, например, использовать сертифицированное программное обеспечение, сертифицированные операционные системы, - практически невозможно. Они не привыкли существовать в правовой среде, находящейся за периметром кредитной организации. И тут возникает вопрос - является ли работой банка убеждать их в необходимости перейти в правовое поле? У банка и так достаточно дел и проблем.

НБЖ: Чьей же это должно быть работой? Большинство клиентов таковы, как вы описали: ленивы и безответственны, когда дело касается обеспечения безопасности их средств. Но других-то клиентов у банков нет, и в ближайшее время они вряд ли появятся - во всяком случае, в больших количествах.

А. СЫЧЕВ: Клиенты рискуют, но куда они несут свои риски? Конечно, в банки. Значит, именно мы должны предпринять какие-то действия для того, чтобы эти риски были минимизированы. Если вы найдете компанию, которая согласится страховать такие риски, проблема будет решена. Но на сегодняшний день на этом рынке подобные соглашения - достаточно редкое явление. А коль скоро так, то нам остается только планомерная работа с клиентами: их информирование, предоставление клиентам таких сервисов безопасности, которые будут подталкивать их к жизни в правовом поле и воспитывать у них культуру информационной безопасности.

И. ЯНСОН: Поддержу Артема Михайловича (Сычева - прим. ред.) по вопросу заботы о клиенте. Такая забота, помимо естественной клиентоориентированности кредитных организаций, может быть банально продиктована заботой о репутации банка. Да, в договоре все может быть прекрасно прописано, и клиент может быть действительно неправ, нарушая его положения, касающиеся обеспечения безопасности при работе в системе ДБО. Но все равно практика показывает: если инцидент случился, и он внимательно прорабатывается, если клиенту при этом максимально стараются помочь (заблокировать или вернуть средства, провести расследование и т.п.), то мы имеем одну ситуацию. Если ему просто пишут официальное письмо со ссылками на пункты договора, то мы имеем совсем другую ситуацию. Клиент во втором случае с большой вероятностью может начать обращаться к регуляторам, в средства массовой информации - пусть он неправ, но репутационный ущерб при этом банку будет нанесен. Так что речь идет не только об альтруизме, но и о вполне прагматических вещах, о минимизации репутационных рисков.

ТРЕБОВАНИЕ ВРЕМЕНИ - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПЕРЕСТАЕТ РАССМАТРИВАТЬСЯ КАК НЕЧТО ИЗОЛИРОВАННОЕ

Ю. АКСЕНОВА: На мой взгляд, мы немного углубились сейчас в тему «клиент -банк», и это неудивительно, поскольку сейчас это приоритетная проблема для всех кредитных организаций. Поскольку мы являемся банком с иностранным участием, то должны соответствовать в своей деятельности международным стандартам информационной безопасности. И это «перевернуло» наш подход к ИБ: у нас, когда мы начали внедрять эти стандарты, было принято решение, что департамент, который я возглавляю, должен заниматься сбором событий операционного риска - в том числе и событий информационной безопасности. Так что нам фактически удалось объединить два «потока» и два процесса.

Был вопрос о критериях - как оценивать общий уровень информационной безопасности. Мы решили, что сделать это нам позволит Стандарт Банка России, и каждый год проводим проверку, насколько уровень ИБ в нашем банке соответствует рекомендациям этого Стандарта. Проблем, конечно, очень много - и внутренних, и внешних: например, кражи средств со счетов клиентов -постоянно присутствующий риск.

Е. АКИМОВ: Юлия, у меня к вам вопрос. По нашему опыту, на практике обычно при внедрении новых ИТ-систем обеспечение ИБ осуществляется в два этапа. Сначала реализуются самые недорогие и очевидные (в том числе и для бизнеса, выделяющего средства) меры ИБ. И только потом, когда система поработает полгода-год, делается комплексная оценка рисков (при этом главное, чтобы бизнес готов был обозначить свои потенциальные потери и выделить средства на противодействие соответствующим угрозам), и уровень ИБ поднимается до оптимального в рамках отдельного проекта и отдельного финансирования. Удается ли вам при внедрении ИТ-систем управлять рисками проактивно?

Ю. АКСЕНОВА: В таких ситуациях мы сразу учитываем нормативные требования, прежде всего, по Закону «О защите персональных данных», полную же оценку рисков делаем уже для работающих систем.

К. ШУРУНОВ: Я хотел бы понять, что является на сегодняшний день головной болью российских банков. Из нашего обсуждения понимаю, что самые актуальные риски можно поделить на два типа: риски, связанные со внутренними «взломами» систем, и риски, связанные с отношениями «банк - клиент», то есть кражи средств с конкретных счетов конкретных клиентов. Понятно, что в первом случае размер ущерба меньше, но зато подобные инциденты происходят чаще. Так вот, мой вопрос заключается в следующем: на минимизацию каких рисков банки готовы сейчас выделять бюджеты?

Д. РОМАНЧЕНКО: Со своей стороны, я хотел бы вернуться к теме, которая здесь уже поднималась, - к вопросу об интеграции бизнес-процессов и процессов, связанных с безопасностью. Хотелось бы оставаться в этой «стороне», поскольку, по моему убеждению, это является совершенно правильным «мейнстри-мом». До этого нам часто приходилось сталкиваться с тем, что службы безопасности занимаются исключительно вопросами внедрения и поддержки систем, а выбираются, проектируются и разрабатываются эти системы другими подразделениями, причем без учета требований к обеспечению информационной безопасности.

А. СЫЧЕВ: Такой подход, на мой взгляд, провоцируется действиями разработчиков, которые постоянно стремятся «навесить» на предлагаемую систему дополнительные сервисы безопасности - что, естественно, увеличивает стоимость решения. При этом игнорируется то, что у банка уже что-то есть в этой сфере. В таких случаях хочется спросить - коллеги, а вы в курсе, что в банке система безопасности уже построена, что политики безопасности разработаны? Может, имеет смысл задействовать те системы, которые уже есть, и внедрять только то, чего у банка нет? Может, оптимально совместить новое решение с уже имеющимися? Что мы чаще всего слышим от интеграторов в ответ? Это безумные деньги, и мы не умеем совмещать нашу систему с другими системами. Как это не умеете? Вот заявленное описание системы, вот пункт о ее совместимости с другими системами, в чем тогда проблема? На практике оказывается, что проблемы нет, просто интеграторы не хотят совмещать. Для них выгоднее «впаривать» бизнесу свои системы, старательно умалчивая при этом о том, что средства безопасности вполне могут «дружить».

И. ЯНСОН: На мой взгляд, проблема еще глубже: интеграторы часто предлагают решения, которые вообще не содержат сервисов безопасности. Для того чтобы обеспечить комплексный учет требований информационной безопасности при внедрении или создании и на иных стадиях жизненного цикла автоматизированных систем, необходимо следующее. Во-первых, в банке нужно ввести обязательность согласования вопросов информационной безопасности, начиная с формирования бизнес-требований (то есть еще до этапа ТЗ). Во-вторых, при взаимодействии с интеграторами надо учитывать те системы ИБ, которые уже есть, интегрируя с ними средства ИБ новых систем.

Для обеспечения процесса требований ИБ на стадиях жизненного цикла АС нужно иметь штат «технологов» в службе ИБ, число которых должно быть пропорционально числу бизнес-технологов и ИТ-технологов. Также необходимо вхождение представителей службы ИБ в коллегиальные органы, которые рассматривают предложения по созданию новых бизнес-процессов.

В большинстве банков ИБ-технологов нет, и эти задачи решают сотрудники, нагруженные другими обязанностями.

Это приводит к тому, что либо начинают страдать их непосредственные обязанности, либо они не успевают проанализировать вопросы ИБ при внедрении новых бизнес-процессов и автоматизированных систем.

Е. ЦАЛЬП: Для банков информационная безопасность - не нечто абстрактное, существующее изолированно, а крайне важная составляющая бизнеса. Что же касается служб безопасности, то скажу: если вендоры предлагают ясное, безопасное и эффективное решение, то никто в банке никогда не будет препятствовать его реализации и что-то специально тормозить. Служба информационной безопасности банка заинтересована во внедрении прогрессивных современных решений. Ведь главная задача безопасности в том и состоит, чтобы дать банку возможность максимально увеличивать объемы предоставляемых безопасных услуг.

 

МНЕНИЕ ЭКСПЕРТА
Владимир КОБЫЛЯНСКИЙ, советник исполнительного директора по информационной безопасности компании BSS
Специфика текущего положения дел такова, что внешними угрозами для банков, по сути, являются только DOS-атаки. Злоумышленники в подавляющем большинстве случаев не тратят силы на преодоление системы защиты информации банков (которые обычно находятся все же на достаточно приличном уровне). А вот внутренние (инсайдерские) атаки представляют действительно серьезную угрозу. Как правило, к защите от внутреннего нарушителя банки относятся достаточно небрежно. А зря, поскольку инсайдер может нанести весьма существенный урон.
Методы борьбы с инсайдом существуют.
Использование технических средств:
• строгая аутентификация сотрудников (например, с помощью USB-ключа или биометрии);
аудит всех действий всех пользователей (включая администраторов) в сети;
• использование средств защиты конфиденциальной информации от инсайдеров;
• шифрование конфиденциальных данных.
Использование организационных мер:
• обучение сотрудников, отвечающих за информационную безопасность;
• повышение личной ответственности сотрудников;
• постоянная работа с персоналом, имеющим доступ к конфиденциальной информации (инструктаж, обучение, проверка знания правил и обязанностей по соблюдению информационной безопасности и т.д.).
Пожалуй, в числе самых распространенных остаются инциденты, связанные с использованием системы дистанционного банковского обслуживания.
Существует несколько основных типов атак:
• атака типа «человек посередине»;
• кража ключевого контейнера;
• атака удаленного управления.
Против всех эти типов атак уже разработаны и активно применяются меры противодействия, а именно:
• шифрование передаваемых данных;
• использование технологии ЭЦП;
• использование отторгаемых носителей (токенов), в том числе и с неизвлекаемыми ключами;
• использование одноразовых паролей;
• использование виртуальных клавиатур;
• использование систем оповещения;
• использование систем фрод-анализа.
Новым типом атак является «атака подмены документа». В процессе данной атаки злоумышленник с помощью вредоносного программного обеспечения подменяет реквизиты платежного поручения перед его отправкой банку. Причем для пользователя подмена реквизитов происходит совершенно незаметно, а потому он, ни о чем не подозревая, подписывает поддельный документ с помощью своей ЭЦП, вводит одноразовый пароль и отправляет поручение в банк. Методом противодействия таким атакам является использование средств визуализации подписываемых данных, которые сейчас активно внедряются разработчиками систем ДБО.

SIEM КАК «ЧЕРНЫЙ ЯЩИК»
Александр КУЗНЕЦОВ, руководитель отдела безопасности информационных систем НТЦ «Вулкан»
Не случайно на «круглом столе», посвященном информационной безопасности в банках, был поднят вопрос об «информационном следе»: методичная фиксация действий конкретных специалистов в течение рабочего дня - действительно важная мера в борьбе с инсайдом. Хотел бы, однако, добавить, что данных видеонаблюдения, СКУД, бюро пропусков может оказаться недостаточно для выявления и расследования инцидента, связанного с «внутренним человеческим фактором». Все чаще ставится вопрос о максимально широкой регистрации действий пользователей не только на уровне «физики», но и в информационной среде. А в большой ИТ-инфраструктуре штатных средств приложений, ОС и СУБД для этого может оказаться недостаточно. Во всяком случае, вопрос типа «кто входил в домен с 11.00 до 11.30 шесть месяцев назад?» очень часто остается без ответа: как правило, «логи» так долго не хранят, а если хранят, то возможности по их обработке ограничены.
Эта проблема может эффективно решаться путем применения систем управления событиями и информацией о безопасности (SIEM) - решений, обеспечивающих централизованный сбор и анализ регистрационной информации со всей ИТ-инфраструктуры. В рассматриваемом аспекте эти системы становятся своего рода аналогом «черного ящика» - авиационного бортового регистратора, фиксирующего параметры полета и использующегося при расследовании летных происшествий. Сегодня SIEM представлены на рынке такими продуктами, как RSA enVision, ArcSight, QRadar. Банки имеют возможность выбрать наиболее подходящее решение и реализовать у себя комплексную систему регистрации и анализа событий.
Важно отметить и тот факт, что осознание гарантированной и беспристрастной регистрации ключевых действий в информационной системе хорошо дисциплинирует персонал и является неплохой профилактической мерой.

МНЕНИЕ ЭКСПЕРТА
СОМНИТЕЛЬНЫЕ СДЕЛКИ НЕ ПРОЙДУТ!
Дмитрий ЩЕТИНИН, директор департамента «Расчеты и Главная книга (FLEXTERA)»
Ключевой целью любого коммерческого банка является получение максимальной прибыли. Один из основных способов достижения этой цели - привлечение новых клиентов и расширение спектра банковских услуг. Однако в стремлении к максимальной прибыли важно не забывать и о дополнительных мерах по предотвращению рисков, которые могут возникнуть при взаимодействии банка с «подозрительными» клиентами и проведении «необычных» операций по их обслуживанию. Чтобы минимизировать финансовые и репутационные риски бизнеса, компания «Диасофт» предлагает банкам инновационное решение FLEXTERA «Противодействие легализации доходов», которое дает возможность предотвратить нарушения законодательства ПОД/ФТ.
Каковы же преимущества FLEXTERA
«Противодействие легализации доходов»?

Во-первых, в решении реализована функция автоматической идентификации клиентов и мониторинга совершаемых ими финансовых операций, а также есть готовые алгоритмы контроля, которые позволяют настроить схемы проверки операций практически любой сложности и глубины покрытия.
Во-вторых, новый продукт «Диасофт» позволяет вести справочники проверяемых лиц и организаций (от ФСФМ и OFAC), внутренний справочник клиентов с сомнительной репутацией, справочник недействительных паспортов, а также справочник стран и территорий, не участвующих в противодействии легализации доходов, полученных преступным путем. Кроме того, с помощью этого решения можно создавать любые пользовательские списки.
В-третьих, FLEXTERA «Противодействие легализации доходов» позволяет централизованно контролировать операции многофилиального банка в едином подразделении финансового мониторинга, разграничивать права доступа сотрудников в зависимости от их роли и вида выполняемых операций, осуществлять подробный аудит всех действий пользователей системы. И, наконец, благодаря встроенным интерфейсам решение можно легко интегрировать в существующий ИТ-ландшафт банка.
Зачем в ИТ-арсенале банка такой инструмент?
Внедрение современного решения для реализации требований ПОД/ФТ способствует снижению издержек обеспечения контроля за счет сокращения количества операций, вручную осуществляемых сотрудниками подразделений финансового мониторинга, а также за счет встроенных механизмов определения операций высокого уровня риска и операций, не требующих контроля финансового мониторинга.
С новым высокотехнологичным решением «Диасофт» репутация банковского бизнеса - в безопасности!

МНЕНИЕ ЭКСПЕРТА
ТЕНДЕНЦИИ И ПРОТИВОРЕЧИЯ ПРИ ПОСТРОЕНИИ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОВРЕМЕННЫХ УСЛОВИЯХ
Дмитрий РОМАНЧЕНКО, директор Центра технологий безопасности IBS

Обеспечение информационной безопасности в банковской сфере представляет собой комплексную задачу, находящуюся в смежном поле регулирования российских и международных стандартов и норм. Процесс их гармонизации далек от завершения. Подобная несогласованность имеет место и в вопросе выбора средств защиты информации, так как российская система их сертификации функционирует автономно от мировых стандартов. Есть и техническая проблема: при производстве российских средств защиты требования «сертифицируемости» продукта часто отодвигают на второй план требования его соответствия международным стандартам и совместимости с аналогичными продуктами. Парадокс: российские нормы ИБ требуют создания целостной системы защиты информации, но необязательность следования мировым стандартам, унификации протоколов и интерфейсов не позволяет построить действительно целостную систему.
Возможным выходом могла бы стать, с одной стороны, процедура признания (подтверждения) международных сертификатов, а с другой - требования совместимости к российским разработчикам.
К сожалению, в России полного разделения вендоров и интеграторов пока не произошло, и производители одновременно реализуют комплексные проекты. Это ведет к моновендорно-сти и, как следствие, к закрытости и неоптимальности построенных систем защиты. Другая тенденция - часто ИБ-интеграторы не обладают компетенциями по созданию всего пула необходимых подсистем ИБ и компетенциями в бизнес-приложениях и «тяжелой» ИТ-инфраструктуре. В результате клиенты получают проблемы совместимости и обслуживания, деградацию производительности. Чтобы исключить эти риски, следует ориентироваться на крупных мультивендорных интеграторов с развитой ИБ-практикой и с практиками в области бизнес-консалтинга, комплексных ИТ-инфраструктур, приложений. Такие интеграторы имеют возможности и опыт для нахождения оптимального баланса между требованиями российских регуляторов, международных стандартов, стандартов вендоров, спецификой российских решений и продуктов.

БЕЗОПАСНОСТЬ
РУТОКЕН PINPAD - НОВЫЙ УРОВЕНЬ БЕЗОПАСНОСТИ ИНТЕРНЕТ-БАНКИНГА

Фишинг, спуфинг, вирусы, программы-шпионы, удаленное управление - таков неполный перечень методов хищения денежных средств клиентов систем ДБО. Поэтому одной из важнейших задач разработчиков систем ДБО является обеспечение безопасности интернет-банкинга.
USB-токены с поддержкой неизвлекаемых ключей гарантируют только то, что ключ не будет украден, но они бессильны против подмены подписываемых документов вредоносным ПО или против несанкционированного доступа к функциям токена посредством удаленного управления (USB-over IP). Специалисты российского разработчика в сфере защиты информации, компании «Актив», создали Рутокен PINPad -решение, которое эффективно противостоит всем известным атакам на клиентские места систем ДБО. Рутокен PINPad - это USB-устройство с сенсорным экраном, на котором происходит визуальный контроль документа перед подписью. Рутокен PINPad гарантирует подпись только просмотренного пользователем документа, исключая возможность его подмены. Встроенный механизм подтверждения подписи надежно защищает от несанкционированного доступа к функциям подписи с помощью атаки USB-over-IP или с помощью вредоносного ПО.
Рутокен PINPad имеет USB-разъем, который позволяет подключить сертифицированный ФСБ РФ идентификатор Рутокен ЭЦП и с его помощью произвести электронную подпись документа. Совместное использование Рутокен PINPad и Рутокен ЭЦП удовлетворяет требованиям регуляторов к техническим средствам формирования электронной подписи. Ключевым преимуществом Рутокен PINPad является то, что для поддержки этого устройства в системах «банк - клиент», использующих электронную подпись, не требуется серьезной доработки существующей инфраструктуры - необходимы лишь небольшие изменения, связанные с форматированием платежных поручений и механизмом подписи.

СОВРЕМЕННЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И СОХРАННОСТИ ИНФОРМАЦИИ
Карен КАРАГЕДЯН, директор по продажам в России, СНГ и странах Балтии Stonesoft

Наиболее бурное обсуждение в рамках «круглого стола» АРБ вызвали вопросы, связанные с поиском компромисса между запросами бизнеса, ограничениями со стороны службы ИБ и требованиями регуляторов. Как правило, типичная система информационной безопасности предприятия, а особенно банка, выстраивается под влиянием этих трех факторов, каждый из которых имеет свой вектор развития. До недавнего времени вопрос «реальная защита от современных угроз или сертификат?» был актуальным для руководителей служб ИБ, и однозначного ответа на него не было. Российский рынок технических средств защиты данных совсем недавно представлял из себя два сегмента - средства «формальной» безопасности и средства «реальной» безопасности, причем наиболее продвинутые и востребованные продукты, преимущественно иностранного производства, не имели соответствующих сертификатов, что усложняло выбор технического решения, например, для защиты ИСПДн или коммерческой тайны.

В настоящий момент на рынке появились решения, обладающие как богатым функционалом, что позволяет отнести их к группе средств «реальной» безопасности, так и необходимыми сертификатами российских регуляторов. Больше не нужно идти на компромисс - можно взять все и сразу! Наша компания стала одной из первых иностранных компаний-производителей, кто сертифицировал свои решения по защите данных на уровне производства. Наши новейшие разработки позволяют заказчикам создавать и эксплуатировать эффективные системы защиты данных в организациях любого масштаба. Однако недостаточно построить систему, отвечающую всем реалиям сегодняшнего дня, - ее необходимо поддерживать в актуальном состоянии, а это подразумевает большие накладные расходы. Наши решения, благодаря широким возможностям системы централизованного управления StoneGate Management Center, позволяют обойтись без технических специалистов в удаленных офисах и снизить расходы на развертывание, настройку и регулярные обновления в разы по сравнению с другими производителями средств ИБ. Это особенно важно для банков с развитым розничным бизнесом и большой территориальной распределенностью. В рамках «круглого стола» многие представители банков выступили в поддержку идеи создания системы межбанковского взаимодействия в сфере предупреждения инцидентов информационной безопасности. На мой взгляд, весьма разумная идея, и если банковское сообщество не испугается трудностей, сопутствующих проекту такого масштаба, и сумеет преодолеть не только организационные, но и технические ограничения, то результатом может стать качественно новый уровень защиты финансовых данных.

АКЦЕНТ
NSG: ОТЕЧЕСТВЕННОЕ ОБОРУДОВАНИЕ ДЛЯ БАНКОВСКИХ СЕТЕЙ

Network Systems Group -российская компания, выпускающая сетевое оборудование оригинальной разработки с 1995 г. Популярность ее продукции в банковской отрасли напрямую связана с тем фактом, что корни компании уходят еще в первые советские (sic!) проекты в области сетей X.25. Сегодня NSG - официальный поставщик ведущих российских банков, обладающих крупнейшими сетями банкоматов и POS-терминалов.
Отличительные особенности оборудования NSG - высокое соотношение функциональности и цены, аппаратная и программная гибкость, широкий набор встроенных механизмов для поддержания бесперебойной связи в автоматическом режиме. По своим возможностям продукты NSG не уступают конкурентам от ведущих мировых лидеров, в то же время значительно выигрывая у них по цене. Большинство устройств NSG - это модульные платформы, которые могут оснащаться сменными интерфейсными картами в зависимости от потребностей конкретной задачи.
Например, наиболее популярная модель NSG-700 имеет 2 разъема расширения, в которые могут быть установлены модули 3G/GPRS (2xSIM), CDMA, дополнительные Ethernet и другие, в том числе два сотовых модуля (одного или разных стандартов) для резервирования связи через разных операторов. Столь же гибкими возможностями обладает программное обеспечение NSG: различные виды VPN, динамическая маршрутизация, QoS, а также поддержка унаследованных решений X.25 и Frame Relay.
Специфика подключения банкоматов состоит в необходимости гарантированного поддержания связи, ее контроля и восстановления в автоматическом режиме, без участия человека. Для этой цели устройства доступа NSG имеют помимо стандартных протокольных механизмов средства для мониторинга канала (такие как netping) и для аппаратного управления встроенными модемами, позволяющие вывести модем из любой нештатной ситуации. Синтезом этих методов является фирменная технология резервирования каналов uiTCP, специально разработанная с учетом специфики банковских задач. Она обеспечивает прозрачное переключение без потери данных при многократных переходах между двумя или более каналами связи любого типа.
Попутно с основной функцией передачи данных устройства NSG предлагают вспомогательные средства для удаленного рестарта проблемных банкоматов, охраны банкоматов и т.п.

ЗАЩИТА ИНФОРМАЦИИ И ЧЕЛОВЕЧЕСКИЙ ФАКТОР. ТЕХНОЛОГИИ ПРОТИВОДЕЙСТВИЯ ИНСАЙДЕРАМ
Валерий КРУТСКИХ, генеральный директор ЗАО «МТТ Контрол», доктор физико-математических наук

За 20 лет нашей работы в области безопасности сменилось много систем защиты информации. Сейчас ими оснащен каждый банк. Значит, информация в безопасности? Теоретически да, но это если действовать по правилам. А если нет? Поражает простота, с которой преодолеваются все барьеры, если рассматривать человеческий фактор. Возьмем пароль. Он должен быть сложным. Многие его просто забывают. И вот, пароли можно найти на листочках, приклеенных к монитору. Это касается как сотрудников, так и клиентов банка. Можно дополнить пароли «таблетками», запретить печать на принтере. Но кто-нибудь любопытный сфотографирует экран монитора -и все. К любопытству сотрудника добавится корыстный интерес - и он уже инсайдер.
Как минимизировать влияние человеческого фактора? Группа компаний «Контрол» предлагает дополнить существующие средства защиты новыми технологиями информационной безопасности, находящимися на стыке трех составляющих: физической защиты, информационной безопасности и административных правил. Новые технологии защищают данные и регламентируют действия сотрудников, делая физически невозможным нарушение правил. Эти средства перенесены из защищаемой информационной среды в физически изолированную среду. Персональные данные заменены на идентификаторы с биометрией. Для контроля ответственных операций применяется технология «четырех глаз». «Информационный след» действий сотрудников в физической и информационной среде фиксируется и обрабатывается как метаданные. Все события ранжируются по степени опасности с разбором инцидентов. Контроль разделен между службами информационной и технической безопасности. Есть удаленный контроль руководства. Открытые средства связи можно заменить на защищенную постовую связь. На основе этих технологий реализован ряд крупных проектов. Выбор решения формируется на базе трех линеек продуктов. IDmatic - контроль доступа и биометрия. XVeiwsion - видеонаблюдение, сигнализация, диагностика. XVmatic -интеграция, сценарии, обработка метаданных, оповещение и связь.
Подробнее:
www.insideram.net, www.idmatic.ru, www.hifivideo.ru, www.controlgroup.ru