CC BY
27Программное обеспечение по информационной безопасности -важный объект интеллектуальной собственности в эпоху цифровых технологий
Зинатова Анастасия Александровна,
студент факультета финансовых рынков, Финансовый университет при Правительстве РФ
В век цифровых технологий кредитные организации находятся в эпицентре преступного интереса и периодически подвергаются кибер-атакам. Интерес вызван осуществлением безналичных переводов денежных средств с использованием электронных средств платежа, а также наличием доступа кредитных организаций к служебной информации о финансово-хозяйственной деятельности клиентов - компаний, организаций, физических лиц. Отмечено, что в результате повсеместного использования электронных платежей, пластиковых карт и компьютерных сетей информационные атаки на денежные средства банков и их клиентов участились. Поэтому проблема информационной безопасности в кредитной организации является для банковского сообщества актуальной. Решить проблему защиты банковской информации от внутренних и внешних утечек возможно, если грамотно выстроить систему информационной безопасности.
Ключевые слова; кибератаки, банковская информация, программные продукты, антивирусные программы, экономическая безопасность
Важной составляющей системы защиты банковской информации от внутренних и внешних утечек является разработка либо приобретение банком средств, обеспечивающих защиту информации от неправомерного доступа:
- антивирусные программы для защиты от вторжений,
- программы ограничения доступа к информации в электронном виде в целях реализации парольной политики,
-программы-сканеры для проведения сканирования сети, рабочих станций и серверов банка на предмет обнаружения возможных проблем в системе безопасности, выявления активной учетной записи уволенных сотрудников,
- программы систем криптографической защиты информации (СКЗИ), которая обеспечивает шифрование и расшифровку документов, отвечает за работу с электронной подписью,
- и другие программы, необходимость установки которых обусловлена требованиями Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» №СТО БР ИББС-1.4-2018 от 01.07.2018.
В соответствии со статьей 1225 Гражданского кодекса РФ разработанные программы по информационной безопасности являются результатом интеллектуальной деятельности.
При выстраивании системы информационной безопасности банк может использовать в работе:
1) приобретенное у других компаний программное обеспечение, что влечет необходимость оформления отношений с обладателями прав на него посредством приобретения лицензии на использование программного обеспечения;
2) самостоятельно разработать программное обеспечение. Это предполагает регистрацию прав на собственную разработку в Федеральной службе по интеллектуальной собственности «Роспатент».
-&
С
о ш и-4 Н
Н
Программное обеспечение по информационной безопасности должно обеспечить защиту всех информационных активов банка от внешних и внутренних информационных угроз, предотвращая утечку, хищение, утрату, искажение, подделку информации, несанкционированные действия по уничтожению и копированию информации.
От информационной безопасности банка зависят его репутация и конкурентоспособность. Высокий уровень обеспечения информационной безопасности банка позволяет минимизировать риски (рис.1).
Риски информационной безопасности
е
о Сч]
' Риск утечки информации, составляющей служебную/ коммерческую/банковскую
■ Риск разрушения и потери ценных данных, в том числе информационных
I Риск использования в деятельности банка, в том числе при принятии управленческих решений, неполной или искаженной информации
■ Риск распространения во внешней среде информации, угрожающей репутации банка.
Рис.1
Программы по информационной безопасности банка отличаются от программ, используемых иными компаниями и организациями. Это вызвано, прежде всего, нетривиальным характером угроз.
Так, обычная компания использует программы по информационной безопасности, исходя лишь из малого круга неких угроз - в основном защищая информацию от своих потенциальных конкурентов. Такая информация нужна лишь малому кругу заинтересованных лиц и организаций. Тогда как программы по информационной безопасности банка непременно должны учитывать следующие особенности:
1. Все банковские операции проводятся на основе компьютерной информации. Следовательно, незаконное манипулирование с информацией приводит к крупным потерям. Эта особенность быстро и сильно увеличивает круг преступников, которые покушаются только на банки.
2. Информация банка затрагивает интересы широкого круга людей и организаций - банковских клиентов.
3. Конкурентоспособность банка во многом зависит от того, насколько клиенту комфортно и удобно работать с банком, а также насколько широк круг предоставляемых услуг, включая услуги, которые связаны с удаленным доступом (например, переводы денежных средств посредством электронных средств платежа). Однако такая лёг-
кость доступа повышает вероятность преступного проникновения в информационные системы.
4. Надежность работы компьютерных систем должна быть обеспечена даже в случае нештатных ситуаций, т.к. банк несет ответственность за своевременность и полноту переводов денежных средств клиентов.
5. Банк хранит важную информацию о своих клиентах и это увеличивает количество потенциальных злоумышленников, которые заинтересова-ныв краже или порче информации такого рода.
Таким образом, программы по информационной безопасности банка банк должны предотвращать действия злоумышленников, атакующих информационные системы банков, для получения контроля над информационными активами банка с целью последующего совершения неправомерных транзакций или компрометации банка по заказу недобросовестных конкурентов.
При разработке программ информационной безопасности банк учитывает статистику компьютерных атак в кредитно-финансовой сфере, а также характер проведения мошеннических операций (хакерские атаки на банкоматы, мошенничество со счетами юридических лиц, банковскими картами физических лиц).
В феврале 2018 года Банк России опубликовал обзор мошеннических финансовых операций, совершенных в России за 2017 год, согласно которому:
- хакерам впервые удалось успешно атаковать российский банк (Банк "Глобэкс") через систему SWIFT (международная межбанковская система передачи информации и совершения платежей). Они смогли вывести около 1 миллиона долларов;
- со счетов юридических лиц пытались похитить средства 841 раз. При этом объём таких операций за 2017 год сократился на 17% и составил 1,6 миллиарда рублей. Наибольший интерес для мошенников представляют суммы от 100 тысяч до 1 миллиона рублей. На этот сегмент приходится 50% мошеннических операций со счетами юридических лиц;
- самым популярным способом похищения денег является внедрение вредоносного кода, так как операции в большинстве своём совершаются со стационарных компьютеров;
- средняя сумма мошенничества с банковскими картами составила 3 тысячи рублей. Объем операций злоумышленников с картами, выпущенными в России, в 2017 году составил около 1 миллиарда рублей. Объем незаконных операций с ними сократился на 30% и составил 231 миллион рублей;
- наиболее широко используемыми способами взлома банкоматов явились: подключение к аппаратам устройств, позволяющих ими управлять, удаленное управление после заражения вирусом и физическое воздействие на них (например, взрыв).
На рис.2 приведена динамика объёма мошеннических финансовых операций, проведенных в России за последние 2 года посредством кибер-атак.
По мнению экспертов Банка России по итогам 2017 года наиболее критическими последствиями
от инцидентов информационной безопасности в кредитных организациях являются репутационные и финансовые потери. Поэтому в условиях роста кибер-угроз более половины банков увеличили свои расходы на средства информационной защиты.
Рис. 2
Проведенные исследования показывают, что помимо потерь от кибер-атак руководство банков несёт убытки из-за собственных служащих. Человеческий фактор в этом плане создаёт отличную конкуренцию мощнейшим компьютерным системам. Однако при правильном управлении человеческими ресурсами, этот фактор может стать основным звеном защиты информации от внешних угроз.
В таблице 1 приведены данные о самых крупных потерях кредитных организаций, которые они понесли от умышленных действий их служащих.
Таблица 1
Наименование банка Сумма ущерба, млрд. долл.
SocieteGeneral Bank 7,2
DaiwaBank 1,2
AlliedIrishBank 0,8
Так, Societe General второй по величине банк Франции, потерял 7,2 миллиарда долларов из-за махинаций одного из своих служащих. Им была разработана замысловатая схема фальшивых торгов ценными бумагами, согласно которой каждая реальная сделка уравновешивалась виртуальной. Это стало крупнейшим в истории мошенничеством со стороны одного сотрудника, ущерб от него вдвое превзошел потери кредитной организации от финансового кризиса 2008 года.
В целях отслеживания утечки конфиденциальной информации через Skype, e-mail, внешние устройства (USB/CD), документов, отправляемых на печать, а также выявления её появления на компьютерах пользователей, банками используется ряд программ информационной безопасности, которые позволяют администратору информационной безопасности просматривать информацию со всех компьютеров, подключенных к локальной сети банка, перехватывать информацию, записываемую через порты на внешние носители USB/CD, отслеживать sms и передаваемые файлы
через Skype, письма, отправленные посредством Интернет, и при этом в сжатые сроки составить объективное и документально подтвержденное представление о внутрибанковских информационных потоках. Помимо специальных программ, направленных на предотвращение утечки информации, большое значение отводится программе, обеспечивающей разграничение прав доступа всех сотрудников банка к конфиденциальной информации.
При разработке программ первоочередное внимание уделяется:
1) организационной структуре банка (внутренней организации работы банка, на основании которой определяются методы управления и контроля, уточняются группы исполнителей, назначаются ответственные лица);
2) направленности информационных потоков (между структурными подразделениями банка, во внутрибанковской сети с учетом филиалов, кре-дитно-кассовых и операционных офисов);
3) количеству и характеру повседневно выполняемых операций (за основу как правило берется количество банковских операций, проведенных за день);
4) функциональным обязанностям персонала, численности сотрудников;
5) численности клиентов, типу клиентов (юридическое или физическое лицо, индивидуальный предприниматель).
В целом система информационной безопасности банка включает в себя 3 блока: организационная, правовая и техническая защита информации (рис.3).
Рис. 3
Программы по информационной безопасности, которые обеспечивают защиту на всех путях проникновения и доступа к компонентам информационной системы, входят в технический блок защиты информации.
Именно технический блок защиты на сегодняшний день является основополагающим в обеспе-
-&
С
о
od о-4 Н
Н
чении информационной безопасности банка. Поскольку он позволяет руководству и персоналу банка быть готовыми к возникновению и предотвращению разного рода информационных инцидентов.
В заключение стоит отметить следующее. Учитывая, что в эпоху цифровых технологий количество кибер-атак с каждым годом учащается, а ущерб кредитных организаций, наносимый ими, неуклонно растет, программное обеспечение по информационной безопасности, способное отражать атаки и сокращать убытки до минимума, является значимым и важным продуктом интеллектуальной собственности кредитных организаций. На сегодняшний день службы информационной безопасности банков ведут активную работу в данном направлении и в этой связи большое значение уделяется программным продуктам, позволяющим не только своевременно реагировать на информационные инциденты (не допускать утечки, как денежных средств, так и иной информации, составляющей важную часть для деятельности банка), но и способных предотвратить их, идти на шаг вперёд.
Литература
1. Гражданский кодекс РФ, статья 1225
2. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» №СТО БР ИББС-1.4-2018 от 01.07.2018
3. Обзор Банка России «Обзор мошеннических финансовых операций за 2017 год»
4. Информационный портал Эксперт.Ру: http://expert.rU/2016/11/7/ sberbank-razrastetsya-do-ekosistemyi/
5. Информационный портал РБК: https://www.rbc.ru/finances/ 14/12/2017/
6. Информационный портал БанкиРу: http://www.banki.rU/n ews/lenta/
7. Официальный сайт Сбербанка: https://sber-info.ru/sberbank-ekosistema-banka-idei-i-razvitie/
INFORMATION SECURITY SOFTWARE IS AN IMPORTANT INTELLECTUAL PROPERTY IN THE DIGITAL AGE
Zinatova A.A.
Financial University under the Government of the Russian Federation
In the digital age, credit organizations are at the epicenter of criminal interest and are periodically subjected to cyber attacks. The interest is caused by the implementation of non-cash transfers of funds using electronic means of payment, as well as the availability of credit organizations to official information about the financial and economic activities of clients - companies, organizations, individuals. It was noted that as a result of the widespread use of electronic payments, plastic cards and computer networks, information attacks on banks 'and their clients' money have increased. Therefore, the problem of information security in a credit institution is relevant for the banking community. Solving the problem of protecting banking information from internal and external leaks is possible if you correctly build an information security system. Keywords; cyber attacks, banking information, software products, antivirus programs, economic security
References
1. Civil Code of the Russian Federation, Article 1225
2. Standard of the Bank of Russia "Ensuring the Information Securi-
ty of Organizations of the Banking System of the Russian Federation" No. STO BR IBBS ??? 1.4-2018 dated 07/01/2018
3. Overview of the Bank of Russia "Review of fraudulent financial
transactions for the year 2017"
4. Information portal Expert.Ru: http://expert.ru/2016/11/7/ sber-bank-razrastetsya-do-ekosistemyi /
5. Information portal of RBC: https://www.rbc.ru/finances/ 14/12/2017 /
6. Information portal BankiRu: http://www.banki.ru/news/lenta/
7. Sberbank's official website: https://sber-info.ru/sberbank-ekosistema-banka-idei-i-razvitie/
LO
s р
e
03
1
о Сч]
C\J
