Угрозы информационной безопасности банка

Информационная безопасность банка – это комплекс действий, которые направлены на предупреждение утечки данных клиентов и организации, а также содержимого корпоративных документов.

Защита банков от утечки информации является одной из главных задач службы безопасности финансовой организации. Без полного комплекса мер ИБ невозможна полноценная деятельность и взаимодействие банка с клиентами.

Цели информационной безопасности банка

Политика безопасности любого банка преследует минимум четыре цели:

1. Создать и наладить систему работы всех банковских подразделений и оперативно предотвращать признаки утечки информации.
2. Распределить информацию по категориям секретности с разными грифами доступа: публичная, служебная, коммерческая тайна.
3. Разработать меры по предотвращению хищения финансовых активов, имущества банка.
4. Поддерживать стабильную работу технических средств.

Угрозы безопасности

При несоблюдении ИБ-политики возникают типовые виды угроз безопасности банка, которые приводят к нарушению работы и создают условия для серьезных утечек данных, потери денег и других активов.

Мобильный банкинг

Современный банк предоставляет клиентам инструменты для управления картами и счетами через интернет. Поэтому система безопасности веб-ресурса должна включать шифрование на любом этапе взаимодействия пользователей с системой: авторизации, внесения изменений в счет, оплаты, перечисления денег и прочие операции.

Однако угроза утечки данных через мобильный банкинг не только является последствием уязвимости в защите сайта, но и возникает из-за незнания самих пользователей. Мошенники обманным путем получают доступ к персональным аккаунтам. С 2015 по 2018 год минимум 100 крупнейших мировых банков, включая Bank of America, пострадали от массовой утечки клиентских данных. Большинство инцидентов произошли из-за того, что пользователи по неосторожности раскрыли пароли и номера телефонов, «привязанные» к интернет-банкингу.

Службе безопасности финансовой организации под силу уменьшить количество случаев мошенничества такого рода. Достаточно регулярно напоминать пользователям о запрете передавать личные данные третьим лицам.

Социальные сети

Несмотря на принципиально разные направления деятельности, банки и социальные сети в сочетании нередко становятся реальной угрозой информационной безопасности клиентских счетов. Мошенники в социальных сетях пытаются узнать персональные данные у самого владельца и взламывают страницы других пользователей, чтобы найти секретную информацию в личных сообщениях.

Социальные сети могут стать каналом раскрытия корпоративной тайны банка. Вероятность утечки многократно увеличивается, когда сотрудники общаются на рабочие темы в личных сообщениях. Поэтому для банковских служащих рекомендуют создавать локальную систему передачи сообщений, файлов и данных, которая будет работать только в пределах защищенной среды офиса банка или даже нескольких отделов.

Персонал банка должен быть осведомлен о возможных рисках, о том, как можно непреднамеренно раскрыть важную информацию и что делать, чтобы этого не произошло.

Вредоносные программы

Эта группа угроз информационной безопасности банка включает вирусное ПО, ботнеты и DDoS-атаки. Атаки чаще всего направлены на официальные сайты банков, интернет-банкинг и локальные рабочие сети финансовых организаций. Вне зависимости от вектора атаки на банки проектируются с одной целью – массовая кража денежных средств.

Хакеров, которые стоят за распространением вирусного ПО, интересуют не счета конкретного пользователя, а денежные потоки организации. В 2017 году с помощью атак и вирусного ПО злоумышленники украли у банков по всему миру в общей сложности более 300 миллионов долларов США.

Устранить угрозы данной группы помогает внедрение систем двухэтапной или биометрической аутентификации пользователей и сотрудников банка. Подобные методы существенно усложняют задачу хакера, так как получить доступ к служебным или клиентским аккаунтам могут только владельцы.

Фишинг

Фишинговая атака – еще одна угроза безопасности банковской сферы, в результате успешной реализации которой злоумышленник получает нужные секретные данные. Фишинг реализуется через массовую интернет-рассылку и может касаться как работников банка, так и клиентов.

К примеру, сотрудник получает на почту письмо с достоверным текстом и ссылкой на вредоносную страницу. Веб-страница будет точной копией корпоративного сайта или интернет-банкинга. Невнимательный юзер введет данные, которые сохранятся на сервере злоумышленников.

Единственный способ избежать фишинга – внимательно изучать всю информацию во входящих письмах от темы до подписи, остерегаться неожиданных рекламных предложений и перед вводом любой конфиденциальной информации в браузере всегда проверять адресную строку. Адрес фишингового сайта отличается от адреса официального ресурса всего одним символом.

Облачные технологии

Облачные технологии принадлежат к числу выгодных способов хранения любых данных. Поэтому крупные банки развертывают целые серверы в облаке, где хранят корпоративную информацию и секретные данные.

Большинство публичных облачных сервисов не предоставляет пользователям расширенные методы защиты, так что у злоумышленников появляется больше шансов найти каналы утечки информации. Перед службой безопасности встает сложная задача предусмотреть все варианты защиты информации банка в облаке.

Облако, по сути, защищает данные пользователей только с помощью авторизации. Если данные для входа в аккаунт украдены посредством хакерской атаки или фишинга, злоумышленник легко не только выкрадет сведения, но и продолжить следить за появлением новой важной информацию без ведома владельца аккаунта. Так как в облаке часто хранятся корпоративные документы, договоры, архивы переписки, персональные данные клиентов, решение задачи по защите облачных хранилищ требует максимальной сосредоточенности от службы безопасности.

Для создания комплексной системы защиты на рабочих компьютерах сотрудников банков рекомендуют использовать ПО для шифрования данных перед отправкой в облако. Администратор безопасности должен регулярно тестировать работу программ защиты и следить, не были ли данные в облаке удалены, модифицированы или перемещены.

Внутренние угрозы

Угрозы информационной безопасности банка могут поступать не только извне, но и со стороны сотрудников финансовой организации. В роли злоумышленника часто выступают сотрудники, которые недовольны условиями труда и оплаты или подкуплены конкурентами.

Действия инсайдеров могут быть направлены на хищение корпоративной тайны или на подрыв репутации банка. Задача службы безопасности в любом случае – контролировать деятельность сотрудников для предотвращения внутренних рисков утечки, используя комплекс мер защиты, в том числе:

• Создать правила разграничения доступа. У рядовых сотрудников банка не должно быть доступа к критически важной информации, которая касается финансовых активов, сведений об акционерах и других секретных данных банка.
• Установить на все компьютеры банковской системы ПО для контроля за деятельностью пользователей. В таком случае при возникновении первых признаков утечки или попытках получить доступ к данным служба безопасности оперативно получит оповещение и вычислит инсайдера.
• Внедрить систему видеонаблюдения. С помощью наружного наблюдения служба безопасности всегда будет в курсе действий персонала, что повышает вероятность раскрытия попыток хищения, поскольку инсайдеры нередко пытаются украсть секретные данные в нерабочее время или подставить других работников.

* * *

Экономическая система любого банка требует разработки эффективных методов противодействия утечкам данных. Вся информация, которой оперирует банк, обладает материальной ценностью, так что ее потеря провоцирует серьезные финансовые убытки.

Политика безопасности и методы построения системы защиты индивидуальны для каждого банка. Компоненты и методы защиты зависят от количества отделов, специфики работы с клиентами и организации деятельности персонала. Однако следует придерживаться базовых принципов предотвращения угроз информационной безопасности и постоянно следить за появлением новых незащищенных каналов передачи конфиденциальных данных.