Глава 3. Безопасность АИС в банках.

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Существуют два аспекта, выделяющих банки из круга остальных коммерческих систем: Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д. Она затрагивает интересы большого количества организаций и отдельных лиц. Поэтому информационная безопасность банка - критически важное условие его существования. Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии.

 Современные АБС - это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью. Особенно актуальна данная проблема в России.

 Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые из этих операций. Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций по закрытым для остальных сотрудников методикам.

 За последние несколько лет в российских банках были выявлены случаи хищения (предотвращенные и свершившиеся) денежных средств с расчетных счетов корпоративных клиентов путем совершения электронных платежей по системе «Клиент-Банк». Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов осуществляются:. Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам ЭЦП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации. Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-носители, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе «Клиент-Банк». Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе «Клиент-Банк». Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.

 Злоумышленниками путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей или дистанционно управляли компьютером клиента. Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям корпоративного клиента и направляли в банк платежные поручения с корректной ЭЦП клиента. Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные данному клиенту платежные поручения в большинстве случаев пресекались банковскими операционистами на этапе принятия решения об исполнении документов. В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

Заключение

Итак, изложенное выше, показывает роль технических средств в обеспечении эффективности банковской деятельности в настоящее время. Были рассмотрены эволюция информационных систем, а также специфика и история развития банковских автоматизированных систем, их принципы, обеспечивающие надёжность обработки и передачи информации, которая заключается в выполнении большого количества операций проводимых банком в современных условиях банковской деятельности. Современные системы управления позволяют не только усовершенствовать операции расчёта, но и процессы управления банком, оказывают помощь по принятию решений в кредитной или дилинговой деятельности.

Были также рассмотрены лидеры на рынке автоматизированных банковских систем за границей и в пределах нашей страны, даны их краткие характеристики.

Повышение функциональных возможностей современных банковских информационных систем, обусловленное постоянными изменениями в юридической, экономической сферах банковской деятельности, влечет за собой повышенные требования к техническим и программным средствам, которые выражаются в обеспечении скорости и надёжности передачи информации, надёжности её хранения и удобства использования. От правильного построения банковской информационной системы зависит эффективность и надежность ее функционирования, а, следовательно, и функционирования самого банка как системы.

Принимая во внимание, что в настоящее время жизнеспособность в целом человеческой цивилизации полностью зависит от состояния ее техносферы, основу которой составляют высокотехнологичные производства и системы, нетрудно провести параллель и определить роль, которую должна играть в банковском деле информационная система.

Деятельность современного банка все больше зависит от эффективности процессов информатизации и автоматизации. Понимание этого положено в основу развития информационной системы. С учетом реалий современности, в условиях быстро меняющихся информационных технологий формируются перспективные планы создания эффективных информационных систем.

Понимание необходимости организованного управления и непрерывного совершенствования автоматизированных банковских систем не оставляет никаких сомнений в том, что данные системы будут занимать достойное место в банковском деле во имя прогрессивного развития.