Источники и мотивы нарушений
Разрабатывая систему информационной безопасности, необходимо четко понимать, кто или что может выступать причиной нарушения, случайно ли оно или это целенаправленная акция, может ли повториться, какие механизмы устранения последствий доступны в тех или иных случаях.
Наиболее распространенной причиной нарушений в работе информационных систем являются ошибки их пользователей — непреднамеренные ошибки сотрудников организации, как правило, не приводящие к большому ущербу, хотя возможны и исключения. Особенность таких нарушений — стремление всех сторон избежать появления подобных ситуаций и минимизировать нанесенный ущерб. Вследствие этого рекомендуется применять административные санкции в отношении совершившего ошибку сотрудника только в случае ее сокрытия им. Основными же виновниками таких ошибок являются бизнес-технологи и разработчики систем. Современные механизмы контроля и мониторинга позволяют почти полностью исключить этот тип нарушений. Однако из-за большого количества разновидностей ошибок создание системы, полностью исключающей их появление, как правило, невозможно или связано с неоправданными затратами.
Рассмотрим непреднамеренные ошибки сотрудников.
Ошибки ввода составляют более 80% ошибок персонала, связанного с информационными системами. Усталость, различные помехи, неразборчивые записи — все эти факторы могут стать причиной ошибки при ручном вводе данных. Подавляющее число подобных ошибок носят непринципиальный характер, однако такие ошибки, как ввод неправильной суммы, неправильных реквизитов, могут привести к серьезным последствиям. Основным средством борьбы с ошибками ручного ввода являются его автоматизация и развитие систем электронного документооборота. В случае, когда возможности такого решения исчерпаны, используются следующие механизмы:
— контроль ключевых параметров по справочнику;
— двойной ввод документов;
— использование шаблонов;
— снижение нагрузки на персонал;
— дополнительный визуальный контроль документа «вторым» сотрудником.
Ошибки в эксплуатации системы связаны с недостаточным опытом работы сотрудников с системой. Наиболее часто такой тип ошибок встречается при внедрении новых информационных систем или при изменении функционала уже существующих. В качестве меры по предотвращению подобных ошибок, которых следует также ожидать при изменении обязанностей сотрудников или при найме новых работников, обычно используются более совершенная система обучения в организации и четкая система ограничения прав, не допускающая возможности неправильных действий пользователя.
Ошибки систематизации связаны с неправильной классификацией различных объектов (например, установка неправильной категории счета при его открытии). Такие ошибки достаточно редки и обычно не приводят к серьезным потерям. Их наиболее вероятное следствие — ошибки в отчетах или ошибки при прохождении документов, причиной которых в основном является недостаток знаний и опыта, а стоимость устранения которых, как правило, зависит от гибкости информационной системы и скорости их обнаружения. Защитой от ошибок может стать автоматизация процесса принятия решения или автоматизированные фильтры, ограничивающие диапазон возможных значений. Но следует помнить, что поддержка данных механизмов в условиях меняющейся среды может быть очень дорогостоящей.
Небрежность, нарушение технологической цепочки. К сожалению, ошибки, связанные с небрежным отношением сотрудников к выполнению своих обязанностей, не редкость. Эта группа нарушений — единственная из непреднамеренных ошибок, которая требует системы наказаний. Однако следует учитывать неопределенность формулировки данной группы. Очень трудно оценить, что явилось причиной — усталость сотрудника или небрежное отношение к работе.
Рассмотрим теперь преднамеренные действия сотрудников, нарушения, которые являются самыми сложными для предотвращения. Сотрудник организации, как правило, хорошо ориентируется во внутренних процессах и системах. Часто он знает о механизмах безопасности и, что более опасно, об их отсутствии в определенных модулях системы. У него есть время и возможность смоделировать и протестировать свои действия, оценить последствия.
Еще одним слабым местом в системе безопасности от умышленных действий сотрудников является доверие к ним других работников организации. Часто достаточно простой просьбы к администратору для получения доступа к закрытым данным или требования у разработчика добавления какой-либо, на первый взгляд безопасной, функции системы, чтобы впоследствии использовать ее для противоправных действий.
Причинами, побуждающими сотрудников к умышленному нарушению информационной безопасности, являются:
— обида на действия менеджеров, как правило, связанная с конфликта ми или увольнением сотрудника;
— попытка хищения денег из организации;
— попытка создания зависимости организации от конкретного сотрудника;
— карьерная борьба.
В качестве мер противостояния нарушениям этого типа наиболее эффективны социальные меры, разграничение доступа и мониторинг действий пользователей.
Причинами нарушений в работе информационных систем могут быть также действия сторонних лиц криминального характера. Несмотря на повышенное внимание к этой теме, объем таких нарушений, повлекших реальный ущерб, скорее растет, чем снижается. Возможно, это вызвано именно завышенной рекламой данных нарушений и в результате тратится максимальное количество средств в области информационных технологий на защиту от них. Однако следует признать, что кредитные организации действительно являются объектом пристального внимания.
Цель у преступников, как правило, одна — деньги, методы ее достижения постоянно совершенствуются. Поэтому, анализируя потенциальные нарушения, следует выделять объекты возможной атаки. В первую очередь — это системы удаленных платежей, особенно системы расчета пластиковыми карточками. В случае удачи у преступника много шансов остаться безнаказанным.
Другим объектом атаки могут стать информационные хранилища банка с последующим шантажом их публикации.
Третьим вариантом противоправных действий может стать создание помех в работе информационной системы кредитной организации с целью продвижения собственных услуг по их устранению. Как правило, подобные попытки легко разоблачаются, поэтому такой вариант нарушений встречается достаточно редко и практикуется фирмами, не имеющими собственного имени на рынке услуг информационной безопасности.
Еще одна угроза со стороны злоумышленников — внедрение измененных компонент системы (это практически невозможно сделать без сотрудничества кого-либо из персонала банка), что может привести к хищению значительных средств. Всем известны случаи, когда злоумышленники вносили свои изменения в алгоритмы округления и весь остаток переводили на свои счета. Единственной защитой от подобных атак может быть постоянный аудит используемых алгоритмов и параллельный независимый контроль сумм, определяемых в автоматическом режиме.
Перечисленные выше примеры не охватывают всех возможных случаев. Противостояние преступникам, постоянно пытающимся придумать новые пути хищения средств, является наиболее важной задачей системы информационной безопасности.
Следующая возможная причина — это деятельность конкурентов. Несмотря на то что законы банковского бизнеса требуют честной конкурентной борьбы, встречается использование информационных технологий для незаконной борьбы с соперниками. Здесь можно рассмотреть два варианта атаки на систему информационной безопасности.
Целью первого варианта является простой сбор данных: о клиентах, операциях, рынке. Обычно все сводится к попытке купить какие-либо сведения у сотрудников банка. Еще чаще недобросовестные лица из их числа сами пытаются продать информацию конкурентам. Противостоять этому можно различными социальными мерами, а также пресечением подобной деятельности сотрудников других организаций, пытающихся продать такие сведения вам.
Второй вариант атаки возможен, когда конкурент напрямую заинтересован в доступе к информационной системе. В случае банковского бизнеса для этого могут быть привлечены огромные ресурсы. Противостоять подобной атаке на уровне менеджеров среднего звена практически невозможно. Решение проблемы лежит на высшем уровне и выходит за рамки данной книги.
И наконец, последняя причина — это аварии, стихийные бедствия и прочие случайные события.
Основная проблема в защите от случайных событий — их непредсказуемость и отсутствие методики расчета степени риска. Малая вероятность подобных событий компенсируется высокой стоимостью последствий. Часто случайные события (пожар, стихийное бедствие или банальный разрыв трубы) приводят к полному уничтожению информационной системы. Если миссия организации требует продолжения работы даже в экстремальном случае, менеджер должен знать и использовать основные приемы защиты и в таких ситуациях.
Международная практика рекомендует несколько защитных мер в зависимости от доступного бюджета организации. В основном они связаны с резервным копированием системы. К ним относятся:
• для многофилиальных организаций — создание взаимных резервных копий различных подразделений на территории друг друга. В случае аварии данные восстанавливаются, и территория одного подразделения может использоваться как резервный офис для другого;
• для организаций с большим бюджетом — создание резервного офиса. Как правило, он дублирует базовые функции основного и обеспечивает работоспособность организации только в аварийном режиме. В случае аварии резервный офис должен сохранить работоспособность организации в течение установленного периода времени, за которое должен решиться вопрос или с восстановлением основного офиса, или с арендой нового;
• для организаций с ограниченным бюджетом рекомендуется ежедневное резервное копирование информационной системы и хранение копий на другой территории. Это может быть либо дружественная структура, либо специализированная компания, предоставляющая услуги по хранению архивов.