Ежедневно в мире перечисляются с использованием информационных технологий и электронных систем связи около 2 триллионов долларов. Учитывая возрастающую сложность электронных банковских технологий, вопросы обеспечения ИБ становятся все более важными. Для банков факторами риска являются все большая зависимость от всепроникающей информатизации, а также не всегда адекватные средств обеспечения ИБ. Примеры преступлений, направленных против банков из-за недостаточного внимания к вопросам ИБ, достаточно многочисленны и разнообразны. И если даже финансового ущерба удается избежать, репутации банка может быть нанесен серьезный удар.

Например, в августе 1995г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и похитить 2,8 миллионов долларов. В 1994г. Владимир Левин вместе с приятелем сумел подобрать ключи к системе банковской защиты Citibank и попытался снять с его счетов крупные суммы. По сведениям представителей Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить 2,8 миллионов долларов. Контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь 400 тысяч долларов. Для получения денег Левин выехал в Англию, где и был арестован.

Кроме того, необходимо учитывать и затраты на весьма дорогостоящие мероприятия, которые проводятся после успешных попыток взлома компьютерных систем. Так, пропажа данных о работе с секретными счетами Bank of England в январе 1999 г. заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки для того, чтобы не допустить невероятной утечки информации, способной нанести огромный ущерб. Правительством предпринимались крайние меры с тем, чтобы посторонним не стали известны счета и адреса, по которым Bank of England ежедневно направлял сотни миллионов долларов. Причем в Великобритании больше опасались ситуации, при которой данные могли оказаться в распоряжении иностранных спецслужб. В таком случае была бы вскрыта вся финансовая корреспондентская сеть Bank of England. Возможность ущерба была ликвидирована в течение нескольких недель.

Можно также перечислить другие известные компьютерные преступления или попытки, произошедшие в разные годы конца двадцатого столетия в банковской сфере:

один из самых громких скандалов связан с попыткой семерых человек украсть 700 миллионов долларов в Первом национальном банке в Чикаго. Она была предотвращена ФБР;

27 миллионов фунтов стерлингов были украдены из Лондонского отделения Union Bank of Switzerland;

5 миллионов марок украдены из Chase Bank (Франкфурт). Служащий перевел деньги в банк Гонконга. Они были взяты с большого количества счетов (атака "салями"), кража оказалась успешной;

3 миллионов долларов украдены из банка в Стокгольме. Кража была совершена с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной.

В марте 2004 г. в Чили арестована крупная преступная группа, занимавшаяся изготовлением поддельных банковских карт. Члены выявленной группы незаконно получили доступ к базам данных Transbank, который пренебрег соблюдением не только информационной, но физической безопасности. История, закончившаяся разоблачением крупной банды мошенников, началась в октябре 2003г., когда полиция обнаружила 81-метровый тоннель в одном из престижных районов Сантьяго. Тоннель использовался преступниками для проникновения в банк, где они похищали данные пользователей пластиковых карт. Используя похищенные сведения, они выпускали дубликаты уже существующих банковских карт платежных систем MasterCard, Visa, Magna, American Express, Diners Club и Redcompra. Общая сумма наличности на счетах потерпевших составила около 20 миллионов песо.

В октябре 2004г.13 тысяч банкоматов Bank of America оказались не в состоянии обслуживать клиентов банка. Это было вызвано нарушением коммуникаций через Интернет, спровоцированным действиями вируса. Работы по восстановлению связи велись в течение всего дня, и только к концу дня вкладчики смогли получить доступ к своим средствам. Руководство Bank of America утверждает, что вирусная атака не повлияла на состояние счетов клиентов, а только значительно замедлила транзакции через Интернет.

В интернет-афере, в результате которой летом 2004г. пострадали банки Европы, Америки, Австралии и Новой Зеландии, использовалась технология "фишинга". Отличительной чертой данного мошенничества является то, что целью являются не банки, а их клиенты. Интернет-мошенники через сфальсифицированные "банковские" рассылки приглашали ничего не подозревающих пользователей обновить их пароли и личную информацию. Ссылки из текста писем вели пользователей на фальшивые интернет-страницы, на которых использовались логотипы и другие знаки пострадавших банков. Злоумышленники стремились заполучить конфиденциальную информацию клиента банка для совершения финансовых операций с его счетом или кредитной картой. Для защиты своих клиентов, которые были обманным путем приглашены на фальшивые "банковские" интернет-страницы якобы для уточнения личной информации, паролей и другой конфиденциальной информации, некоторым пострадавшим банкам пришлось даже прекратить выплату денежных средств в размере от 500 до 750 долларов. Эксперты в сфере ИБ считают, что без дальнейшего совершенствования средств, направленных на более точную идентификацию пользователя, будет практически невозможно избавиться от подобного рода мошенничеств.

В апреле 2005 г. раскрыта попытка украсть 220 миллионов фунтов стерлингов из лондонского филиала японского банка Sumitomo. Причастными оказались как бывшие, так и действующие сотрудники филиала. Злоумышленники использовали программы-шпионы, которые были размещены на компьютерах, куда вводятся коды доступа и пароли. Эти программы записывали все нажатые клавиши и отправляли эту информацию за периметр корпоративной сети банка. Эксперты считают, что очень маловероятно, чтобы такой логический шпион попал в эту неинфицированную и критически важную систему случайно, например, как часть вредоносного кода, находящегося в Интернет в "диком виде". Вероятно, сделал это сотрудник банка, но выяснить, кто именно, будет очень сложно. Злоумышленники пытались перевести деньги с помощью электронной системы управления счетами, коды доступа и пароли к которой как раз и были получены с помощью программы-шпиона. Правоохранительным органам удалось задержать в Израиле одного из преступников, который хотел перевести 13,9 миллионов фунтов стерлингов. Пострадавший банк заявил, что не понес никаких финансовых потерь. Расследование продолжается.

В мае 2005г. электронное издание Computerworld сообщило об утечке конфиденциальной информации, принадлежащей 500 тысячам клиентам 4 различных банков США. Представитель Казначейства США назвали это преступление самой крупной банковской брешью в информационной безопасности США. Сведения об электронных счетах были украдены из банков и проданы третьим лицам. По обвинению в этом преступлении уже задержано 9 человек, 7 из которых являются бывшими служащими банков. Полиция все еще ведет расследование, пытаясь выявить все каналы, по которым конфиденциальная информация распространялась от бывших сотрудников банков. Довольно интересным является способ, с помощью которого недобросовестные банковские служащие "выносили" конфиденциальные сведения в начале из банковской сети, а потом и из офиса. Они выводили записи базы данных на экран, а потом либо распечатывали снимок с экрана на принтере, либо переписывали данные вручную.

Во всем мире усиливаются кибератаки на информационные системы банков и страховых компаний. Согласно исследованию, проведенному компанией Deloitte Touche Tohmatsu, почти 83% респондентов сообщили, что их системы в 2004г. были взломаны, тогда как в 2003г. таких респондентов было 39%. Почти 40% организаций, чьи системы были атакованы, понесли финансовые потери. Исследование основано на интервью с руководителями служб безопасности 100 ведущих мировых финансовых учреждений. Несмотря на рост интенсивности атак, не все компании увеличивают бюджет службы безопасности. Около 5% опрошенных сказали, что их секьюрити-бюджеты остаются неизменными, а 10% - что их бюджеты сократились по сравнению с прошлым годом. За год процент компаний, которые в полной мере применяют антивирусные средства, сократился с 96% до 87%. А одна треть респондентов считает, что технологии защиты в их компаниях используются неэффективно. "Финансовые учреждения ведут непрерывную борьбу с постоянно растущими угрозами безопасности, атаками и нарушениями конфиденциальности, а также вынуждены соответствовать все более строгим ограничениям регулирующих органов", - говорится в заявлении руководителя отдела корпоративных рисков Deloitte Touche Tohmatsu.

Руководители банков имеют все более четкое представление о рисках ИБ, которые представляют их собственные работники, однако не предпринимают исходя из этого практически никаких действий. К такому выводу пришли аналитики Ernst & Young, проведя исследования для ежегодного отчета, охватившего 51 страну. Один из ключевых выводов, сделанных в отчете - финансовые учреждения по всему миру не справляются с охраной своей информации от становящихся все более мощными компьютерных угроз, и прежде всего от тех, что исходят от их собственных сотрудников. По мере того, как банки двигаются к все более децентрализованным бизнес-моделям, для них становится все более затруднительно сохранять контроль над безопасностью информации, а для менеджмента - правильно оценивать уровень риска.

Отчет показал, что большинство финансовых учреждений оставляют приоритет на защите от внешних угроз, таких как вирусы, в то время как внутренние угрозы упорно недооцениваются. Банки с готовностью идут на расходы на установку межсетевых экранов или внедрение антивирусных систем, и неохотно уделяют внимание вопросам, касающимся сетевой активности персонала.

"В то время, как внимание остается сфокусированным на внешних угрозах, перед банками встает гораздо более серьезная проблема - проблема ущерба от действий инсайдеров и несоответствия организационной структуры существующим стандартам безопасности", - отмечает г-н Беннет, управляющий компании Ernst & Young. "За счет того, что многие инсайдерские инциденты основаны на сокрытии информации, банки иногда даже не знают о том, что становятся жертвами компьютерных преступлений. Слишком часто кредитные организации не ощущают реальной ценности информационной безопасности до тех пор, пока нет видимых атак на их данные. Такой подход остается неизменным все те 10 лет, что Ernst & Young собирает данные для этого отчета".

По мнению аналитиков компании, пришло время переноса акцентов в обеспечении ИБ. Необходимо понимание того, что безопасность данных - это одно из конкурентных преимуществ, а не просто необходимый пункт в операционных издержках. Сейчас только 20% банков видят ИБ как приоритетный вопрос уровня топ-менеджера. Больше внимания может и должно уделяться тому ресурсу, который потенциально несет в себе больше всего угроз для ИБ, - людям. Правильное управление может превратить этот ресурс в сильнейшее звено защиты.

Подтверждая наметившиеся тенденции данными ежегодного исследования проблем ИБ (Global Information Security Survey 2004), компания Ernst & Young отмечает, что именно в области внутренних угроз наблюдается наибольший рост озабоченности профессионалов в области информационных технологий: респонденты поставили эту проблему на второе место в списке наиболее серьезных опасностей.60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем. Этот показатель опередил такие "громкие" темы, как спам (56%), атаки, вызывающие "отказ в обслуживании" (48%), финансовое мошенничество (45%) и бреши в системах безопасности программного обеспечения (39%), и уступил лишь угрозе со стороны вирусов и червей (77%). В десятку также попали другие внутренние угрозы - утечка информации о клиентах и прочие виды кражи конфиденциальных данных. Особенно примечательно, что человеческий фактор был возведен также на первое место в списке обстоятельств, препятствующих проведению эффективной политики ИБ.

Данные наглядно свидетельствуют о понимании потенциальной опасности, которую представляют сотрудники. С другой стороны, оказывается, что руководство практически бездействует, уделяя этой проблеме исключительно низкое внимание. Существует несколько причин такой парадоксальной ситуации.

Во-первых, высокий уровень внимания, уделяемый внешним угрозам (прежде всего вредоносным программам) со стороны средств массовой информации и активная информационная работа разработчиков соответствующих систем защиты. В результате редкий пользователь ни разу не слышал о вирусных эпидемиях, и при этом мало кто может похвастаться глубокими знаниями относительно внутренних угроз.

Во-вторых, высокий уровень латентности (сокрытия) таких преступлений или низкий показатель раскрываемости. По оценкам экспертов, латентность киберпреступлений в США достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%. Экстраполируя эти данные, можно утверждать, что статистика является отражением лишь около 10% совершенных преступлений: большая часть банков в случае обнаружения инцидента предпочитает не разглашать сведения о нем из-за боязни повредить своему конкурентному положению, имиджу в глазах общественности, а также из-за вероятности негативного влияния на стоимость акций на фондовой бирже. Также очевидно, что с развитием и расширением кредитной организации возможностей для преступлений у персонала становится больше, а риск быть пойманным уменьшается. С учетом этого, сколько криминальных инцидентов и вызванных ими потерь остаются незамеченными? Банкам следует признать, что они просто не знают этого. "Многие организации даже не представляют что именно причиняет им ущерб и в каком объеме. В то время как паникеры фокусируют внимание пользователей на внешних угрозах, аргументируя сомнительными оценками потерь, для банков большую опасность представляют инсайдеры - неправомерные действия, халатность, недосмотр сотрудников. Поскольку многие инсайдерские инциденты тщательно маскируются и не контролируются, банки часто оказываются не в курсе, что они подверглись атаке изнутри", - отметил в выводах Эдвин Беннет, управляющий компании Ernst & Young.

Наконец третьим фактором недостатка внимания к решению проблемы внутренних угроз является практически полное отсутствие комплексных систем защиты от внутренних угроз, в частности от утечки конфиденциальной информации. В итоге почти 100% опрошенных подтвердили наличие в корпоративных сетях антивирусного программного обеспечения, 71% - антиспамовых систем, но о защите от внутренних угроз не упомянул никто.

Исследование, проведенное U. S. Secret Service совместно с CERT/CC, дает представление о технических и поведенческих аспектах действий инсайдеров, совершающих нарушения в банках. Ниже приведено краткое описание семи основных фактов, выявленных в исследовании:

1) большинство инцидентов не требовали высокого уровня технической подготовки.

Большая часть рассмотренных в обзоре инцидентов, произошедших в банковском и финансовом секторах, не были техническими сложными для осуществления. Обычно использовались нетехнические уязвимости, например, бизнес-правила или политика организации, а не бреши собственно в информационной системе или сети. Виновниками инцидентов в большинстве случаев были люди с низким уровнем знаний в технической сфере.

2) нарушители планировали свои действия.

Большинство инцидентов были обдуманы и спланированы заранее. В большей части случаев другие люди знали о намерениях, планах или действиях инсайдеров. Посвященные обычно были напрямую связаны с планированием инцидентов, либо ждали выгоды от действий инсайдеров.

3) финансовая выгода была мотивом для большинства нарушителей.

Большая часть инсайдеров преследовала цель получения финансовой выгоды, а не принесения ущерба банку или ее информационной системе. Среди других распространенных мотивов можно выделить месть, неудовлетворенность менеджерами компании, ее политикой или культурой, и желание уважения.

4) нарушители не были ранее замечены в инцидентах.

Большинство инсайдеров, занятых в банковском и финансовом секторах, не были ранее замечены в участии в атаках на сеть или хакерской деятельности, и как правило не относились к "проблемным" работникам.

5) инциденты были детектированы разными методами и разными людьми.

Инциденты детектировали не только работники, ответственные за безопасность, но и совершенно разные люди, как внутренние, так и внешние по отношению к банку. В детектировании использовались как процедуры, производимые вручную, так и автоматизированные.

6) банки-жертвы понесли финансовый ущерб.

Эффектом от практически всех нарушений, совершенных инсайдерами, стал финансовый ущерб. Многие банки пострадали сразу по нескольким аспектам.

7) нарушения происходили в рабочее время.

Большинство инцидентов было осуществлено с рабочего места и в обычные рабочие часы.