arrod-back arrow atom Ресурс 2 cod-modern comp connect data-cod detail email fingerprint home input-user iso justice lan libra lifebuoy people planet rub shield speedtimer stat storage tel timer

Контроль доступа к облачным сервисам в отрасли финансовых услуг

До середины XX века все услуги в банках и финансовых компаниях предоставлялись вручную. В 1950-х гг. для упрощения и ускорения ручных операций в банках стали использовать большие компьютеры (мэйнфреймы), занимавшие несколько комнат. Служащие банка подключались к ним со своих терминалов в режиме «разделение времени»


Мустафаев Мурад,
Руководитель службы информационной безопасности в компании «ОНЛАНТА» (входит в группу ЛАНИТ)

В1950-х гг. каждому пользователю казалось, что только он один работает на банковском мейнфрейме, а на самом деле процессорное время компьютера равномерно делилось между всеми операторами терминалов. В таком режиме идентификация пользователя (обеспечение того, что за терминалом сидит нужный сотрудник, а не посторонний человек), а также его аутентификация (определение его прав и объема доступа к информации и услугам) особой проблемы не представляли. Эти права были жестко "зашиты" в рабочем терминале, а служащему достаточно было только ввести уникальный пароль. Такой режим работы стал прообразом будущих облачных услуг, а такой мейнфрейм – прародителем частного облака. Мейнфрейм и комната, где он располагался, в 1970-х гг. превратились в серверную – частный дата-центр, где серверы банка находились под присмотром команды ИТ-специалистов.

Идентификация и аутентификация клиентов

В эру облачных вычислений (Cloud Computing), когда для снижения затрат стало возможным арендовать серверы в общем облаке, задача идентификации и аутентификации пользователей существенно усложнилась. Но зато расширились и функциональные возможности. Стало возможным предоставлять клиентам банка услуги через Интернет с использованием виртуальной частной сети VPN, ранжировать их в зависимости от статуса клиента и объема заказанных им услуг. Однако переезд банковских систем в облако потребовал особого внимания к системам безопасности и, в частности, к идентификации и аутентификации пользователей. Идентификация – это присвоение объекту уникального имени (идентификатора) и сравнение данного уникального имени со множеством других подобных имен для установления личности и прав объекта. Идентификация напрямую связана с аутентификацией – проверкой подлинности, соответствия предъявляемого идентификатора. Чтобы подтвердить свою подлинность, объекту необходимо предъявить нечто, что может показать только обладающий данным идентификатором и никто другой. Без этих двух понятий невозможно говорить о контроле доступа – системе, устанавливающей разрешающие или запрещающие правила для доступа к определенным ресурсам.

Двойной контроль

Важность ограничения доступа к информации о частной жизни ни у кого не вызывает сомнений. Что касается банковской сферы, то здесь вопросы информационной безопасности еще более острые, поскольку инциденты могут привести к серьезным финансовым потерям. Сейчас большинство банков предоставляет свои услуги через облако. Для клиента это действительно удобно – не нужно приходить в офис для совершения какой-либо транзакции: получения кредита, покупки или продажи ценных бумаг и др. Это значительно повышает доходность банковского бизнеса. Но банку каждый раз приходится убеждаться, что человек по ту сторону сети за терминалом – именно его клиент, а не злоумышленник. Для этого чаще всего используется так называемая двухфакторная идентификация: во-первых, нужно знать уникальный пароль, во-вторых, ввести в специальное поле высланный банком одноразовый код, например через SMS.

USB-токены

Для корпоративных клиентов могут использоваться так называемые USB-токены, представляющие собой USB-флешку с записанной на ней идентификационной информацией, либообеспечивающие автоматическое взаимодействие с облачной системой идентификации, а также специальные чиповые карты. Такие устройства используют для многофакторной идентификации и аутентификации клиентов при постановке электронной подписи на документы и для шифрования данных, передаваемых по каналам связи. Сферы их применения:

  • системы электронного документооборота;
  • электронные торговые площадки;
  • системы дистанционного банковского обслуживания;
  • системы таможенного декларирования.

Они также могут использоваться для передачи отчетности в Пенсионный фонд, ЕГАИС и т.д. USB-токены могут применяться и в промышленном Интернете вещей (IoT), и при работе с корпоративными порталами, и в промышленном оборудовании и различных устройствах (системах управления теплоснабжением и освещением, видеонаблюдением и др.).

Меры информационной безопасности

Только комплексное применение различных систем может обеспечить контроль доступа и достаточную защиту банковской системы.

Защита информации в облаке

В банковских системах, использующих облачные решения, безопасность данных должна подкрепляться системами защиты информации (SecretNet, модуль доверенной загрузки "соболь" и др.) на стороне облачного провайдера, куда банк или финансовая организация выносит свои ИТ-системы на аутсорсинг. Перспективы внедрения и развития облачного сервиса велики. Однако на территории России на развитие этого направления в банковской сфере накладываются некоторые ограничения, в частности требования регуляторов по обеспечению информационной безопасности персональных данных, обрабатываемых в банковских информационных системах, а также требования международных платежных систем.

Работа с персоналом

Cтоит помнить и о других мерах безопасности и уделять больше внимания работе с персоналом. Так, по данным Forbes, 76% инцидентов происходит из-за внутреннего "инсайда", иначе говоря, подкупа сотрудников, в первую очередь системных администраторов. от внутренних утечек уберегают использование жестких политик и процедур предоставления доступа, полностью изолированные друг от друга сети и множество технических решений по информационной безопасности, например системы по контролю за действиями администраторов (Balabit и др.), SIEM-системы ("Комрад",
ArcSight и др.), внедрение в компании IPS/IDS (FortiGate и др.).

Информационная гигиена

Не следует пренебрегать и элементарными мерами информационной гигиены. Джон Саффолк, бывший CIO правительства великобритании, приводил пример, когда для государственных служащих был составлен список из нескольких десятков пунктов, которые нужно соблюдать для защиты информации. выяснилось, что следование семи-восьми первым пунктам (запрет на использование сторонних флешек, обновление вирусной базы и проверка компьютеров на наличие вирусов) позволило предотвратить до 90% инцидентов.