Осуществление несанкционированных действий

В отличие от хищений информации такие действия часто можно доказать и, следовательно, пресечь. Мотивами несанкционированных действий, как правило, являются попытки хищения средств. Несмотря на наличие параллельного бумажного документооборота, российские банки имеют ряд слабых мест, позволяющих совершать хищения средств банка. При этом в целом неверно распространенное мнение о том, что подобные преступления совершают профессиональные хакеры, используя сеть Internet. Дело в том, что Internet в большинстве российских банков либо отсутствует, либо защищен с особой тщательностью.

Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые их этих операций.

* Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений обычно рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций с закрытыми для остальных сотрудников методиками.

* Хищение через систему "клиент-банк". Ввиду особого внимания к безопасности в этой системе и дополнительного контроля проходящих сумм клиентом попытки такой атаки имеют обычно характер разового хищения крупной суммы. Исходя из этого, в качестве защиты рекомендуется ограничить для каждого клиента максимальные ежедневные объемы платежей, совершаемых по системе "клиент-банк" и регламентировать обязательный ежедневный контроль выписки клиентом даже при отсутствии платежей.

* Изменение внешнего получателя платежа. В отличие от ошибки ввода данный тип хищения характеризуется изменением реквизита после прохождения стадий контроля. Защита от данного типа злоупотребления достаточно сложна и сводится к запрету на редактирование информации в период после прохождения стадий контроля и до электронной подписи отправляемого рейса.

Из перечисленных выше примеров видно, что для совершения злоупотреблений данного типа необходима высокая квалификация злоумышленника и слаженная работа нескольких работников.

Еще одним источником потенциальной опасности для информационных систем является разрушение системы автоматизации или ее отдельного модуля. Как ни странно, но одна из возможных причин подобных действий - желание какого-либо сотрудника банка (обычно - увольняемого) отомстить руководству и организации в целом. При этом результаты нанесенного ущерба могут проявиться через неопределенное время, что сделает выявление виновного невозможным. К рекомендациям по процедурной защите от действий такого рода можно отнести регулярное создание резервных копий, немедленное запрещение доступа сотрудника в информационную систему после уведомления его об увольнении, совершенствование процедуры увольнения во избежание мести со стороны увольняемого.

Техническая политика

Развитие кредитной организации, а также происходящие в ней процессы реинжиниринга приводят нас к необходимости отдельно рассмотреть техническую базу данных процессов, хотя она и неразрывно связана с информационными технологиями, как средство (платформа), обеспечивающее их функционирование. В связи с этим хотелось бы подчеркнуть обязательный характер проведения дополнительного анализа технической возможности реализации того или иного проекта с учетом необходимых для этого материальных и временных затрат.

Проблемы, связанные с технической базой и отсутствием высококвалифицированного персонала, нередко приводят к неприемлемым затратам и даже к срыву проекта в целом. По данным американских ученых, в области реинжиниринга и автоматизации только 20% проектов укладываются в выделенные для них бюджеты и сроки. Более 50% проектов в этих областях приводят к дополнительным затратам (в среднем в 1,8 раза), а остальной процент проектов так и остается нереализованным. Объясняется подобная статистика многими факторами, и недостаточность материально-технической базы, отсутствие концепции проведения подобных работ занимают далеко не последнее место.

Помочь в решении возникающих проблем может формализация технической политики организации и ее соответствие стратегии и потребностям организации.

Техническая политика определяет основные правила формирования технической базы. Задачей технической политики является четкая регламентация развития технической базы организации в тесной связи с развитием самой организации, определение технических и управленческих стандартов этого развития, регламентация различных исключительных ситуаций в сфере технического обеспечения. Более того, необходимо, чтобы банк формализовал техническую политику в форме отдельного внутреннего документа и подобный документ был в наличии еще до начала разработки проектов по реинжинирингу, для того чтобы техническая база соответствовала бы всем требованиям.