Риски использования информационных технологий в российских банковских системах и безопасность данных

В статье рассматриваются угрозы и риски, возникающие при использовании информационных технологий в функционировании российских банков. Обозначается значение информационной безопасности как элемента обеспечения экономической безопасности хозяйствующего субъекта. Производится анализ специфики деятельности банковских организаций и данных, которыми они располагают. Предоставляется анализ риска утечки разных видов информации и возможные последствия таких инцидентов.

Развитие и распространенность тенденций использования информационных технологий приводят к бурному росту числа угроз и рисков в секторе информационной безопасности. Обработка большей части данных по деятельности хозяйствующего субъекта в электронном виде приводит к увеличению перечня угроз, которые связаны с разглашением, хищением и порчей информации, что может принести крупные материальные и репутационные риски для компании. Из-за этого развитие и оптимизация систем обеспечения информационной безопасности выступает одним из наиболее значимых факторов деятельности компании.

Крайне важно для обеспечения информационной безопасности выявить, оценить и предотвратить последствия угроз. При этом стоит учитывать, что существует четыре группы угроз:

  • 1. Программные - внедрение «вирусов», аппаратных и программных закладок; уничтожение и модификация данных в информационных системах.
  • 2. Технические, в т.ч. радиоэлектронные, - перехват информации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления.
  • 3. Физические - уничтожение средств обработки и носителей информации.
  • 4. Режимные - нарушение регламентов информационного обмена; незаконные сбор и использование информации; незаконное копирование данных в информационных системах.

Информационная безопасность банка - это состояние защищенности всех его информационных активов.

Репутация и конкурентоспособность банка зависят от информационной безопасности в нем. Высокий уровень её обеспечения позволяет значительно уменьшить следующие риски:

  • • утечка информации, которая представляет собой служебную, коммерческую или банковскую тайну;
  • • разрушение и потеря важных данных;
  • • использование в деятельности банка неполной или искаженной информации;
  • • распространение вне банка информации, угрожающей его репутации. [4]

Специфика работы банков, как посредников на финансовых рынках и доверенных лиц для клиентов, объясняет более масштабный, чем в других областях, список угроз его информационной безопасности. Приоритетным объектом являются сведения, составляющие банковскую тайну, что и определяет главное направление защиты конфиденциальной информации кредитно- финансовых организаций. Наиболее актуальная из опасностей - несанкционированный доступ к информации и проведению операций. Информационная безопасность и защита банковской информации должны обеспечиваться на высоком уровне и должны быть способны отразить атаки злоумышленников и попытки вторжения, в том числе, и со стороны сотрудников.

Представлять угрозу информационной безопасности банка, или быть её субъектом, могут:

  • • Конкурирующие с банком или с его клиентами организации, которые стремятся занять большую долю рынка через получение преимущества, либо скомпрометировав своих конкурентов;
  • • Криминальные формирования, которые хотят получить сведения о банке и данные его клиентов для различных целей;
  • • Индивидуальные злоумышленники (в современных условиях - чаще всего наемные хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;
  • • Собственные нелояльные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;
  • • Государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

Согласно статистике первой половины 2016 года, виновниками утечек информации стали [3]:

Необходимо помнить, что в банке хранимая и обрабатываемая информация используется для проведения различных операций, произведения выплат, выдачи кредита, перевода денежных средств, поэтому она представляет собой реальные деньги. [1] Такая информация также затрагивает интересы большого круга физических и юридических лиц-клиентов банка. В отношении информации о клиентах, которая находится в распоряжении банка, у него возникают обязательства по обеспечению ее достаточной конфиденциальности.

Важно отметить, что информационная безопасность банка должна обеспечивать надежность и работоспособность используемых информационных технологий даже в нестандартных ситуациях, т.к. от этого зависят не только активы самого банка, но и средства его клиентов.

К числу угроз, которым подвержена информация банка, относят:

  • • разглашение конфиденциальной информации третьим лицам;
  • • утечка данных через технические средства и компьютерные системы;
  • • доступ к данным со стороны конкурентов или мошенников.

Действия мошенников в основном могут быть реализованы по двум

сценариям:

  • • Кража личности, а именно кража персональных данных для последующего получения кредитов, заключения сделок, проведения операций и т.д.
  • • Кража клиентской базы (хищения совокупных сведений о контрагентах компаний). Такой сценарий используется часто по заказу или в интересах конкурентов.

В первом полугодии 2016 года доля утечек данных, которые впо- следствие были использованы для мошенничества, составила 8%.

Один из видов информации, которая может быть получена мошенниками, - это конфиденциальные сведения банка, которые представляют собой базы данных о направлениях деятельности организации, которые обеспечивают управление; данные об окладах сотрудников и их индивидуальных социальных пакетах; документы, регламентирующие внутренний порядок осуществления деятельности и используемые в системе управления банком (инструкции, приказы, положения и т.д.) [1]. При недостаточной защите данной информации существуют риски ограбления банка и совершения мошеннических операций. Стоит также заметить, что мошенником может выступать как сотрудник банка, заметивший брешь в безопасности и получивший несанкционированный доступ к конфиденциальной информации, так и постороннее лицо или группа лиц, которые могут воспользоваться утечкой информации о внутренних регламентах банка. В таком случае банковская организация понесет финансовые потери.

Также банк может понести значительные финансовые и репутационные потери, если произойдет утечка данных об обслуживании VIP- клиентов. Обычно система private-banking подразумевает в частности и то, что каждого отдельного клиента обслуживает индивидуальный консультант по финансам и услугам, а также гарантируется полная конфиденциальность. При утечке информации об условиях обслуживания VIP- клиентов существует риск потери целевых клиентов банка вследствие несоответствия основным условиям.

Наиболее распространены утечки персональных данных: по экономике доля таких утечек - 83% (Рисунок 1). В то же время для банковской сферы их доля только 64%, гак как мошенников привлекает и платежная информация клиентов банка (Рисунок 2).

В соответствии с российским законодательством, к персональным данным гражданина могут быть отнесены его Ф.И.О., паспортные данные, дата и место рождения, место регистрации, ИНН, СНИЛС, номер медицинского полиса, сведения о местах работы, об образовании, семейном положении и т.д. А непосредственно к данным клиента банка можно добавить номер банковской карты в совокупности с именем держателя карты и ее сроком действия, а также сведения о счетах и транзакциях клиента.

При утечке персональных данных возникают риск судебных разбирательств с пострадавшими клиентами и риск проведения проверки со стороны регулирующих органов. В данном случае клиенты, чьи персональные данные были потеряны или раскрыты могут подать иск в суд в соответствии с ФЗ №152 «О персональных данных». А проверки могут быть направлены такими органами, как Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности РФ, Роскомнадзор.

Несмотря на то, что крупные случаи разглашения коммерческой тайны финансовых учреждений достаточно редки, они могут нанести огромный ущерб. Подобная информация может «утечь» как случайно, гак и намеренно, т.к. она может быть передана конкурентам, использована мошенником в личных целях и т.д. По данным российской статистики утечек персональных данных, в 2015 году умышленные и случайные утечки распределились почти поровну - 50,9% и 49,1% соответственно.

Сумма финансового ущерба в таком случае складывается из затрат на проведение исследования для выявления причины инцидента; оповещение пострадавших клиентов и организации линии помощи им; консультации по безопасности; действия для минимизации риска повторения инцидента; услуги юристов в случае судебных разбирательств; рекламную компанию, направленную на восстановление имиджа; возможные штрафы регуляторам. Тем не менее, самые большие материальные потери - косвенного характера, и связаны они с репутационными потерями и, как следствие, оттоком клиентов. По статистике, на них приходится половина убытков кредитных организаций от подобного инцидента.

Следующий риск для компании связан с утечкой данных о разработке или планировании выпуска на рынок нового продукта. В данном случае при неосторожном использовании информационных носителей конкуренты фирмы смогут выпустить новый товар, не имеющий аналогов на рынке, и часть потребителей будут пользоваться его услугами. Источниками утечки может стать любой сотрудник компании. Многие эксперты отмечают, что размер опасности для информационной безопасности предприятия, причиняемый собственными сотрудниками, составляет практически 60%. 40% утечек информации связаны с техническими ошибками, и только 2%- с действиями инсайдеров. При этом, в 14% случаев инсайдерских нападений происходили утечки вну тренних конфиденциальных данных, включая данные о клиентах.

К большим финансовым потерям и возможному снижению инвестиционной привлекательности может привести утечка финансовой информации. Финансовая информация отражает деятельность компании и представляет собой систему показателей, демонстрирующих движение денежных средств. Такие данные о функционировании крайне секретны и не могут попасть в руки конкурентов и населения. Более того, попадание такой информации в общий доступ может привести к усиленному контролю аудиторов и возможным штрафным санкциям.

Следующими данными, попадающими под угрозу, являются сведения по агентам, партнерам и условиям сотрудничества. Потеря конфиденциальности такой информации приведет к ухудшению или, возможно, разрыву отношений с данными фирмами. К тому же, эту информацию смогут увидеть конкуренты и предложить более выгодное сотрудничество.

Таким образом, любой банк нуждается в комплексном воздействии на систему его информационной безопасности. Высшему руководству необходимо осознавать, что любой сотрудник способен идти на правонарушения, основываясь на мотивацию, возможности и обоснование своей невиновности. Нарушители информационной безопасности банка чаще всего пытаются найти следующую информацию: конфиденциальные сведения банка, данные об обслуживании VIP-клиентов, данные о разработке или планировании выпуска на рынок нового продукта, не менее существенные результаты получит банк при утечке финансовой информации, а также сведения по агентам, партнерам и условиям сотрудничества.

Литература:

  • 1. Гамза В.А. Безопасность банковской деятельности / В.А. Гамза, И.Б. Ткачук, И.М.Жилкин - М.: Юрайт, 2014. - с. 96.
  • 2. Deloitte 2014 Global Security Survey URL: https://www2.deloitte.com /content/dam/Deloitte/kz/Documents/risk/KZ_Deloitte_lnformation_Secu rity_Survey_2014_EN .pdf
  • 3. Официальный сайт компании InfoWatch URL: https://www.infowatch. ru (дата обращения 13.10.2016)
  • 4. Информационная безопасность банков URL: http://www.arinteg.ru/ (дата обращения 13.10.2016)
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >