rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Банки. Безопасность на программном уровне

По данным экспертов, данные платежных банковских карт на сегодняшний день является одним из наиболее востребованных типов информации у киберпреступников. Вопросы, связанные с обеспечением безопасности банковских систем и в частности платежных приложений на уровне программного обеспечения актуальны для финансовых организаций. Тем более выросла важность обеспечения безопасности с развитием и повсеместным проникновением информационных технологий в сферу обслуживания клиентов в финансовой отрасли.

Согласно данным ежегодного общемирового исследования в области информационной безопасности, проводимого компанией Trustwave,  порядка 85% информации, которая интересует злоумышленников это данные платежных банковских карт. Из такой информации злоумышленникам наиболее просто удается извлечь выгоду. Другие типы конфиденциальной информации, согласно все тому же исследованию, хотя и интересуют злоумышленников, но в гораздо меньшей степени. Так, к примеру, на долю служебной информации приходится всего 8%, а коммерческая тайна интересна лишь в 3% случаев. По 2% приходится на такие типы информации как данные аутентификации и персональные данные.

Любая утечка информации, или взлом системы и кража средств наиболее болезненно сказывается именно на организациях финансового сектора, нанося не только финансовый, но и репутационный ущерб. Ко всему этому следует добавить, что сами взломщики в Сети уже давно превратились в хорошо организованные преступные сообщества, основной задачей которых является извлечение прибыли. По некоторым данным в 2010 году объемы похищенных киберпреступниками средств превысили доходы, получаемые преступным сообществом от наркоторговли.

Банковский сектор и банковские информационные системы, как уже говорилось, являются первыми, кто «попадает под удар». Одной из проблем в частности является то, что в части клиентских систем (дистанционное банковское обслуживание, интернет-банкинг и так далее) к ним открыт доступ для клиентов из сети Интернет. Таким образом, через Интернет с банковской системой работают множество легитимных пользователей, среди которых крайне сложно отследить злоумышленника. Еще одним важным аспектом является то, что банки как правило стремятся охватить как можно большее количество клиентов. Соответственно, банковские приложения ориентированы в первую очередь на удобство и простоту использования. Поскольку продукты со сложной системой верификации, частой сменой пароля и так далее не всегда удобны для клиента и есть риск его потерять, банки стремятся разрабатывать или приобретать программные продукты, ориентированные на клиентов с любым уровнем владения навыками информационной безопасности. Безопасность в данном случае отходит на второй план в сравнении удобством работы для пользователя.

Говоря о процессах обеспечения безопасности программного обеспечения, используемого в банковской сфере, эксперты называют несколько основных. В частности, как отмечал старший аудитор компании «Информзащита» Алексей Бабенко, выступая на проходившей в начале текущего месяца конференции CEE-SECR 2011 («Разработка ПО 2011»), проверка на безопасность должна начинаться еще на стадии разработки продукта. Иными словами, процесс программирования, тестирования и анализа кода должен происходить с участием специалистов по информационной безопасности. Также полезными с точки зрения проверки программного продукта на безопасность являются его проверки с использованием автоматизированных средств и проверки «вручную». Здесь можно среди прочего говорить о стресс-тестировании продукта, при котором задаются нестандартные задачи и это позволяет проверить программный продукт на так называемую «защиту от дурака». Еще одним аспектом на который обращают внимание эксперты является обеспечение информационной безопасности для окружения в котором работает банковское приложение.

Одним из способов повысить уровень безопасности программного обеспечения, используемого в банковской сфере, является стандартизация ПО и получение сертификатов соответствия стандартам, принятым для программных продуктов финансовой сферы применения. Соответствие программных продуктов стандартам конечно не может гарантировать стопроцентной защищенности, но все же повышает надежность банковского ПО.

Автор: Денис Шишулин (info@mskit.ru)

Рубрики: ПО, Финансы, Безопасность

Ключевые слова: информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, аутентификация, системы безопасности, защита персональных данных, мошенничество

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга