Изменение внешнего получателя платежа. Данный тип хищения характеризуется изменением реквизита после прохождения стадий контроля. Защита от злоупотребления достаточно сложна и сводится к запрету на редактирование информации после прохождения стадий контроля и до электронной подписи отправляемого рейса.
Еще одним источником потенциальной опасности для информационных систем является разрушение системы автоматизации или ее отдельного модуля. Как ни странно, но одна из возможных причин подобных действий - желание какого-либо сотрудника банка (обычно увольняемого) отомстить руководству и организации в целом. При этом результаты нанесенного ущерба могут проявиться через неопределенное время, что сделает выявление виновного невозможным. Для защиты можно рекомендовать регулярно создавать резервные копии, ввести запрет на доступ сотрудника в информационную систему после уведомления его об увольнении, совершенствовать процедуры увольнения во избежание мести.
Можно привести несколько фактов:
· Потери банков и других финансовых организаций от воздействия на их системы обработки информации составляют около $ 3 млрд. в год.
· Объем потерь, связанных с использованием пластиковых карточек, оценивается в $ 2 млрд. в год.
· Средняя величина ущерба от банковской кражи с применением электронных средств составляет около $ 9000. [75].
· Один из самых громких скандалов связан с попыткой семерых человек украсть $ 700 млн. в первом национальном банке, Чикаго. Она была предотвращена ФБР.
Можно привести и другие примеры.
Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает не последнее место. При этом необходимо учитывать, что защита АБС – дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около $ 20 млн. ежегодно.
Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1153 анкеты, на основе которых получены приводимые ниже результаты [75]:
· около 25% всех нарушений составляют стихийные бедствия;
· около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;
· около 3% систем испытывали внешние нарушения (проникновение в систему организации);
· 70-75% – внутренние нарушения, из них:
– 10% совершены обиженными и недовольными служащими-пользователями АБС банка;
– 10% – совершены из корыстных побуждений персоналом системы;
– 50-55% – результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.
Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты о них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АБС является наиболее актуальной в сфере информационной безопасности банков.
Встроенные механизмы разграничения доступа в сетевых ОС при систематическом администрировании и строгом разграничении доступа к информационным ресурсам (что бывает далеко не всегда) позволяют достаточно надежно защитить данные, хранимые на серверах. Практически все операционные системы содержат минимальный набор защитных механизмов и для локальных рабочих мест.
Классические угрозы безопасности информации в АБС – это вывод системы из строя, отказ в обслуживании и компрометация или подмена данных. И эти угрозы слишком реальны.
По сведениям Национального центра данных о преступности, связанной с ЭВМ (Лос-Анджелес, США), компьютерные правонарушения наиболее часто совершаются программистами, студентами и операторами ввода исходных данных. В табл. указаны основные типы и субъекты угроз для компьютерных систем.
Таблица 7.4
Типы и субъекты угроз
Тип угроз | Оператор | Руководитель | Программист | Инженер (техник) | Пользователь | Конкурент |
| Изменение кодов | + | + | ||||
| Копирование файлов | + | + | ||||
| Уничтожение файлов | + | + | + | + | + | |
| Присвоение программ | + | + | + | |||
| Шпионаж | + | + | + | + | ||
| Установка подслушивания | + | + | + | |||
| Саботаж | + | + | + | + | ||
| Продажа данных | + | + | + | + | ||
| Воровство | + | + | + | + |
Субъектов компьютерных преступлений с точки зрения профессиональной подготовленности принято подразделять на лиц, совершающих преступления:
а) «нетехнические»;
б) «технические», требующие минимума специальных знаний;
в) «высокотехнические», возможные при условии основательного владения вычислительной техникой.
Практика показывает, что большинство преступлений категории «а» совершают малознакомые с вычислительной техникой служащие со средним образованием. Однако этих людей отличают два качества: они имеют доступ к компьютеру и знают, какие функции выполняет он в их организации. «Нетехнические» преступления совершаются главным образом путем кражи пароля доступа к файлам информации, хранящейся в машинной памяти. Владея паролем и определенными навыками, можно войти в засекреченные файлы, изменить их содержание и т.п. Эти преступления довольно просты для расследования, и, усилив защиту системы, их легко предупредить.
«Технические» преступления связаны с манипуляциями программами, которые составлены специалистами. Изменить их могут лишь лица, имеющие соответствующую квалификацию. Наибольшую трудность для правоохранительных органов представляют «высокотехнические» преступления.
Субъекты, совершившие несанкционированный доступ к информации, называются нарушителями. С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного нарушения работоспособности АБС.
Нарушителем может быть любой человек из следующих категорий сотрудников:
· штатные пользователи АБС;
· сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение системы;
· обслуживающий персонал (инженеры);
· другие сотрудники, имеющие санкционированный доступ к АИТ (в том числе подсобные рабочие, уборщицы и т.д.).
Доступ к АБС других лиц (посторонних, не принадлежащих к указанным категориям) исключается организационно-режимными мерами.
Под каналом несанкционированного доступа к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанкционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, что приводит в конечном итоге к факту несанкционированного доступа.
Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Информационная безопасность банка должна учитывать следующие специфические факторы:
· Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
· Информация в банковских системах затрагивает интересы большого количества физических и юридических лиц – клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
· Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без томительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
· Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.