Защита систем ДБО: разовые меры не являются панацеей

- Михаил Николаевич, какая проблема в сфере информационной безопасности стоит перед банковской отраслью и перед КБ "Первый Экспресс" наиболее остро?
- Проблем достаточно  много,  но можно выделить одну, наиболее значимую. Я считаю, что на сегодняшний день в банковской сфере с точки зрения ИБ наиболее остро стоит задача защиты системы дистанционного банковского обслуживания (ДБО) клиентов. Тонким местом в данной системе является рабочее место клиента ДБО. Банк должен надежно защищать информацию на своих серверах, защита на линиях связи осуществляется путем шифрования и с помощью  применения других методов. А вот защитить компьютер клиента, так же как серверы банка, далеко не всегда возможно.

К сожалению, несмотря на настойчивые рекомендации банков, далеко не все клиенты ДБО понимают опасность и задумываются о защите своих интересов. Причем для банков, с их достаточно серьезной юридической службой, важна даже не столько юридическая и материальная составляющая инцидентов с кражами денежных средств со счетов клиентов, сколько репутационная составляющая данного риска.

- Какие технологии и разработки предлагаются на рынке для решения этой проблемы?
- На рынке есть целый ряд решений для работы над этой проблемой: это и USB-токены либо другие устройства с гарантированным хранением  информации,   и   SMS-информирование,   и ОТР-токены,   и   разовые   пароли,   и дополнительные    клавиатуры    для ввода пароля, и специализированные антивирусные программы, и межсетевые экраны. И это далеко не полный перечень! Однако в данном случае очень важен комплексный подход, ведь преступники "не стоят на месте" и на все меры защиты находят все новые и новые ухищрения. К тому же    никакие    разовые    меры    не являются панацеей. Только постоянная работа с клиентом, понимание им задачи в комплексе с правильно используемыми техническими мерами позволяет бороться с преступлениями в этом направлении.

- Стоит ли перед вами проблема выбора той или иной технологии? Какой из них вы скорее всего отдадите предпочтение и почему?
-  Проблема выбора стоит перед службой информационной безопасности всегда, ведь нет идеальной защиты. Как я говорил, важен комплексный индивидуальный подход. Каждому клиенту ДБО предлагается комплекс систем защиты и выбор тех, которые для него конкретно подходят в наибольшей степени, при этом банк, конечно же, рекомендует максимально защитить систему ДБО клиента.

В обязательном порядке на компьютерах клиентов должна быть установлена лицензионная антивирусная программа с актуальными сигнатурами, причем она должна быть включена на постоянный контроль. Должен быть настроен брандмауэр. На компьютере клиента также должно быть настроено автоматическое обновление системы как минимум для критичных обновлений.

Не менее важна качественная парольная защита компьютера и входа в систему ДБО. Хранение электронных подписей для работы в ДБО должно осуществляться на USB-токенах либо других устройствах с гарантированным хранением ЭЦП.

Клиентам предлагается (очень настойчиво) использование SMS-информирования, системы одноразовых паролей и ОТР-токенов. Клиентам разъясняются правила использования программных и аппаратных средств защиты.

Кроме того, клиентам настоятельно рекомендуется использовать для системы ДБО отдельный компьютер и фиксированный IP-адрес на нем. IP-адрес фиксируется в системе ДБО, и все попытки подключения к системе от имени клиента с другого IP считаются попытками проникновения.

Разработчики систем защиты информации в настоящее время обдумывают все новые системы защиты информации, и банкам важно "держать руку на пульсе" этого процесса. Чем больше будет предложено различных методов защиты критичной информации, тем проще подобрать решение для каждого клиента.

В заключение еще раз подчеркну, что самое важное в защите систем ДБО - это "добрая воля" клиента и понимание им задачи защиты информации, в том числе на его компьютере.