На порядку денному банків - інформаційна безпека

Комітет з питань банківської інфраструктури та платіжних систем Незалежної асоціації банків України провів конференцію, на якій розглядалися питання впровадження і дисципліни застосування електронного цифрового підпису (ЕЦП), а також інформаційної безпеки банків.

Одним з необхідних умов створення електронного уряду є електронна ідентифікація (eID) фізичних і юридичних осіб. Вона дозволить спростити роботу багатьох фінансових і державних установ і підприємств, а також приватного бізнесу. При Державному агентстві електронного уряду України було створено кілька робочих груп, які розробляють концептуальні програмні документи за складовими електронного уряду.

Керівник однієї з таких груп, а саме начальник відділу з питань надання послуг ЕЦП і супроводу ІТС центрального засвідчувального органу ДП «Інформаційний центр» Мін'юсту України Юрій Козлов, представив Національну стратегію в галузі електронної ідентифікації та проект «Білої книги» з електронного урядування.

Юрій Козлов: «Національна стратегія в області eID передбачає побудову такої інфраструктури в державі, коли громадяни можуть безперешкодно отримувати доступ до інформації та електронним довірчим послуг через Інтернет з різних джерел, з найменшою вірогідністю втрати доступу до критично важливих послуг і даних»

Місія нової стратегії полягає в побудову такої інфраструктури електронної ідентифікації в державі, коли громадяни можуть безперешкодно отримувати доступ до інформації та електронним довірчим послуг через Інтернет з різних джерел, урядових, приватних, від інших фізичних осіб, за межами національних кордонів з максимально зниженим ризиком розкрадання персональних даних або шахрайства, з найменшою вірогідністю втрати доступу до критично важливих послуг і даними, без необхідності управляти не Колька обліковими записами і паролями. Закладаються базові принципи включають безпеку, гнучкість, інтероперабельність між різними програмними та апаратними платформами, конфіденційність і захист персональних даних, економічність і простоту рішень.

Основними цілями, визначеними виступаючим, є побудова інтероперабельної eID-інфраструктури в національному масштабі, створення довірчої середовища і мотивації громадян до використання електронних послуг, а також забезпечення безперервного розвитку eID-інфраструктури та електронних послуг. Очікується, що ця інфраструктура дозволить, зокрема, безпечно проводити онлайн-транзакції, підвищити ефективність взаємодії громадян, бізнесу та органів влади в кіберпросторі, стимулювати інноваційний розвиток суспільства.

На концептуальному рівні модель eID містить наступні компоненти. Перш за все, це провайдер електронних сервісів електронного уряду, який безпосередньо взаємодіє з компонентом, що відповідає за ідентифікацію і надання доступу. Останній, в свою чергу, взаємодіє з різними ID-провайдерами, які, можливо, будуть включені в загальну структуру eID, такими як провайдери, що надають послуги на базі логіна / пароля, ID-провайдери електронного банкінгу, PKI і т.п.

Що стосується архітектури, то вона повинна включати рівень держуправління і нагляду, рівень забезпечення інтероперабельності, рівень адміністрування та функціональний рівень.

У той же час, реалізації планованого перешкоджає ряд проблемних питань, які потребують вирішення. До них, зокрема, відносяться відсутність єдиного загальнонаціонального ідентифікатора фізичних осіб, надійної і стійкої системи електронної взаємодії державних інформаційних ресурсів, розрізненість та неузгодженість розробок, недосконалість нормативно-правової бази з питань визначення гарантій аутентифікації і механізму їх забезпечення в конкретних системах.

Про деякі спостереженнях, які були зроблені на основі досвіду роботи компанії «ESET в Україні», розповів керівник служби технічної підтримки Олександр Ілллюша. Перш за все, це необхідність відповідності міжнародним стандартам, далі, це проблеми BYOD / CYOD (Choose Your Own Device) і, нарешті, віртуалізація.

Олександр Іллюша: «Продукти ESETобеспечівают проактивне виявлення шкідливих програм при мінімальному споживанні системних ресурсів»

Дотримання міжнародних стандартів тягне за собою ряд проблем. Це необхідність використання технічних засобів для захисту всіх вузлів ІТ-інфраструктури, доступу до корпоративних ресурсів, конфіденційних даних і для безпеки роботи для віддалених співробітників. Активізація бізнес-процесів змушує задуматися про зниження навантаження як на обладнання, так і на системних адміністраторів. Гострим залишається питання про зниження витрат на придбання, впровадження, обслуговування і супровід.

У цій ситуації ESET рекомендує будувати комплексний захист інфраструктури. Вона повинна охоплювати антивірусний захист всіх основних вузлів мережевої інфраструктури, а також комплексний захист клієнтів за межами корпоративної мережі. За допомогою продуктів компанії можна забезпечити захист файлових і поштових серверів, віртуальних машин, інтернет-шлюзів, робочих станцій і мобільних пристроїв. Зокрема, для захисту робочих станцій можна використовувати єдине рішення ESET Endpoint Security, яке надає такі функції, як антифішинг, контроль пристроїв, персональний брандмауер, антиспам, веб-контроль і ряд інших. При цьому відпадає необхідність купувати і утримувати окремі інструменти ІБ і модернізувати обладнання для обслуговування складних систем.

Найчастіше при використанні коштів для захисту інформації замовники стикаються з уповільненням роботи обладнання і систем, наприклад, гіпервізора, окремих серверів, робочих станцій. Технологічні розробки ESET ThreatSense, Smart Optimization і ESET Live Grid забезпечують високу якість виявлення ІБ-інцидентів при мінімальному споживанні системних ресурсів.

Додатковий рівень захисту доступу до корпоративних ресурсів досягається за допомогою двофакторної аутентифікації ESET Secure Authentication. При цьому one-time password (OTP) генерується на мобільному пристрої віддаленого співробітника або відправляється SMS. Рішення може використовуватися для всіх популярних сервісів віддаленого доступу Microsoft.

В області шифрування даних ESET пропонує продукт DESlock +, за допомогою якого можна виконувати шифрування дисків (в тому числі і віртуальних), папок, файлів, архівів і буфера обміну. Для шифрування листів і приєднань використовується плагін для Outlook.

Складність сучасних ІС призводить до зростання кількості адміністративних завдань, складності моніторингу стану безпеки і розслідування інцидентів. ESET Remote Administrator виконує моніторинг стану безпеки в режимі реального часу, надає детальну інформацію для аналізу інцидентів і мінімізує кількість адміністративних завдань. Встановлені на клієнтах агенти адміністрування дозволяють управляти комп'ютерами користувачів навіть без доступу до центрального серверу.

У підсумку, продукти ESET, за словами виступаючого, забезпечують проактивне виявлення шкідливих програм при мінімальному споживанні системних ресурсів.

Банки є, мабуть, одним з найбільш привабливих об'єктів атак кіберзлочинців. Думкою про те, які загрози несе 2015 рік інформаційної безпеки банків, поділився начальник відділу розвитку компанії AMICA Сергій Мудренко. Свою доповідь він розпочав з огляду тенденцій, які спостерігалися в 2014 р Перше місце було віддано атакам типу DDoS.

Сергій Мудренко: «Примітно, що компанії, що надають послуги DDoS, не тільки не ховаються від закону, але і рекламують себе в Інтернеті, інформуючи про вдалі атаки і публікуючи відгуки замовників»

Сьогодні атаки DDoS - це багаторівнева індустрія. Вона складається з замовників, людей, які контролюють бот-мережі і надають їх в оренду, організаторів атак, які є посередниками між замовниками та власниками бот-мереж, і людей, що займаються фінансовою стороною цієї справи.

DDoS-атаки можна розділити на дві категорії. До першої відносяться атаки на інфраструктуру. Їх мета - перевантажити канали зв'язку і мережеві пристрої. У 2014 р був зафіксований значний ріст потужності таких атак - понад 400 Гб / с. «Хороша новина» та, що вони порівняно легко визначаються. До другої категорії відносяться атаки на додатки, які виявляються більш складно. Вони спрямовані на слабкі елементи сервісів. За оцінкою компанії Gartner, їх частка становить 25% від всіх DDoS-атак і буде продовжувати рости. Таке припущення дозволяють зробити деякі цифри 2014 року. Одноденна атака на одну мету на чорному ринку коштує в середньому 150 дол. Така ціна дозволяє практично будь-якій людині, незадоволеність діями компанії або банку, замовити DDoS-атаку. Примітно, що компанії, що надають такі послуги, не тільки не ховаються від закону, але і рекламують себе в Інтернеті, інформуючи про вдалі атаки і публікуючи відгуки замовників. У порівнянні з 2013 р, кількість атак DDoS подвоїлася. За даними Verisign, третина всіх простоїв ІС в світі пов'язана з DDoS-атаками.

Для банківської сфери атаки DDoS можуть викликати недоступність таких сервісів, як міжбанківські платежі, процесинг пластикових карт, інтернет-банкінг і системи клієнт-банк. Це може привести, зокрема, до упущеної вигоди або до збитку репутації. Однак було відмічено, що в 2013 р DDoS-атаки часто виконували функцію відволікаючого маневру, який прикриває більш серйозні дії.

Блокування DDoS-атак може бути виконано трьома способами. На думку компанії AMICA, найменш ефективним є установка програмно-апаратного комплексу безпосередньо в мережі замовника. Це вимагає дорогого устаткування і найму кваліфікованого персоналу. До того ж цей спосіб не захищає від перевантаження каналу. Другий спосіб - захист на рівні провайдера. У провайдера набагато ширший канал, який важче перевантажити, однак, як правило, вони не спеціалізуються на захисті від DDoS. Крім цього, з'являється прив'язка до певного провайдеру. У компанії вважають, що найефективнішим захистом від DDoS є хмарна фільтрація трафіку. Такий сервіс надається, зокрема, компанією Kaspersky Lab - це Kaspersky DDoS Prevention.

Друга тенденція, відзначена AMICA, це спрямовані атаки (APT). Основними їх жертвами є банки і платіжні системи. Атаки проводяться з метою виведення коштів або розкрадання даних про клієнтів банку. За прогнозами компанії, в 2015 р кількість атак цього типу буде збільшуватися, а область розширюватися. Для захисту від APT AMICA рекомендує продукти компанії FireEye.

Однак що робити, якщо атака все ж відбулася? Найкращим рішенням, на думку виступаючого, буде звернутися для розслідування інциденту до провідних світових компаній, що спеціалізуються в даній області. Такі послуги, наприклад, надають MacAfee і Kaspersky Labs.

За час роботи конференції учасники прослухали дев'ять виступів, зокрема, на такі теми, як організаційно-технічні аспекти створення та функціонування Центру сертифікації ключів (заст. Генерального директора Інституту інформаційних технологій Віктор Онопрієнко), забезпечення ефективності процесу управління доступом (провідний інженер проектів ISSP Сергій Сопронюк), управління ПО як аспект ІБ (генеральний директор «Компарес Україна» Сергій Пуриш).

Ви можете підписатися на наш Telegram-канал для отримання найбільш цікавої інформації