В то же время, АСОИБ банка становится одним из наиболее уязвимых мест во всей организации, притягивающей злоумышленников, как извне, так и из числа сотрудников самого банка. Для подтверждения этого тезиса можно привести несколько фактов:

* Потери банков и других финансовых организаций от воздействий на их системы обработки информации составляют около $3 млрд. в год.

* Объем потерь, связанных с использованием пластиковых карточек оценивается в $2 млрд. в год, что составляет 0.03-2% от общего объема платежей в зависимости от используемой системы.

* Средняя величина ущерба от банковской кражи с применением электронных средств составляет около $9.000. [3, с.60]

* Один из самых громких скандалов связан с попыткой семерых человек украсть $700 млн. в Первом национальном банке, Чикаго. Она была предотвращена ФБР.

* 27 млн. фунтов стерлингов были украдены из Лондонского отделения Union Bank of Switzerland;

* DM 5 млн. украдены из Chase Bank (Франкфурт); служащий перевел деньги в банк Гонконга; они были взяты с большого количества счетов (атака «салями»), кража оказалась успешной;

* $3 млн. — банк Стокгольма, кража была совершена с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной. [10]

Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АСОИБ занимает не последнее место. При этом необходимо учитывать, что защита АСОИБ банка — дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около $20 млн. ежегодно. [13]

В первой половине 1994 г. Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1.153 анкеты, на основе которых получены приводимые ниже результаты [2, с.101]:

* около 25% всех нарушений составляют стихийные бедствия;

* около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;

* около 3% систем испытывали внешние нарушения (проникновение в систему организации);

* 70-75% - внутренние нарушения, из них:

- 10% совершены обиженными и недовольными служащими-пользователями АСОИБ банка;

- 10% - совершены из корыстных побуждений персоналом системы;

- 50-55% - результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты от них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АСОИБ является наиболее актуальной в сфере информационной безопасности банков.

Глава 1. Особенности информационной безопасности банков.

Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность банка должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2, с.16]:

· Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.

· Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.

· Большинство компьютерных преступлений — мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.

· Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.

· Большинство злоумышленников — клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.

· Компьютерные преступления не всегда высокотехнологичны. Достаточно подделки данных, изменения параметров среды АСОИБ и т.д., а эти действия доступны и обслуживающему персоналу.