ДИПЛОМНА РОБОТА
на тему
«Проблеми інформаційної безпеки банків»
ВСТУП
З часу своєї появи банки незмінно викликали злочинний інтерес. І цей інтерес був пов'язаний не тільки зі зберіганням в кредитних організаціях грошових коштів, але і з тим, що в банках зосереджувалася важлива і часто секретна інформація про фінансової та господарської діяльності багатьох людей, компаній, організацій і навіть цілих держав. Так, ще в XVIII столітті недоброзичливці відомого Джакомо Казанови опублікували закриті дані про рух коштів на його рахунку в одному з паризьких банків. З цієї інформації випливало, що організована Казановою державна лотерея приносила дохід не тільки скарбниці, а й (в не менших масштабах) йому особисто [1, с.4].
Нині значення інформації, що зберігається в банках, значно збільшилася. Так, недавня витік даних про ряд рахунків у Bank of England в січні 1999 року змусила банк поміняти коди всіх кореспондентських рахунків, частина устаткування і програмного забезпечення і обійшовся банку в кілька десятків мільйонів доларів. [17, повідомл. за 26.02.99г.]
У наші дні у зв'язку з загальної інформатизації та комп'ютеризації банківської діяльності значення інформаційної безпеки банків багаторазово зросла. Ще 30 років тому об'єктом інформаційних атак були дані про клієнтів банків або про діяльність самого банку. Такі атаки були рідкісними, коло їхніх замовників був дуже вузький, а збиток міг бути значним лише в особливих випадках. В даний час в результаті широкого розповсюдження електронних платежів, пластикових карт, комп'ютерних мереж об'єктом інформаційних атак стали безпосередньо грошові кошти як банків, так і їхніх клієнтів. Здійснити спробу розкрадання може будь-який - необхідно лише наявність комп'ютера, підключеного до мережі Інтернет. Причому для цього не потрібно фізично проникати в банк, можна «працювати» і за тисячі кілометрів від нього.
Наприклад, у серпні 1995 р. у Великобританії був арештований 24-річний російський математик Володимир Левін, який за допомогою свого домашнього комп'ютера в Петербурзі зумів проникнути в банківську систему одного з найбільших американських банків Citibank і викрасти $ 2,8 млн. У 1994 році Володимир Левін разом з приятелем зумів підібрати ключі до системи банківської захисту Citibank і спробував зняти з його рахунків великі суми. За даними московського представництва Citibank, до тих пір подібне нікому не вдавалося. Служба безпеки Citibank з'ясувала, що в банку намагалися викрасти $ 2,8 млн., але контролюючі системи вчасно це виявили і заблокували рахунки. Вкрасти ж вдалося лише $ 400 тисяч. Для отримання грошей Левін виїхав до Англії, де і був арештований [17, повідомл. за 01.10.95г.].
Комп'ютеризація банківської діяльності дозволила значно підвищити продуктивність праці співробітників банку, впровадити нові фінансові продукти та технології. Однак прогрес в техніці злочинів йшов не менш швидкими темпами, ніж розвиток банківських технологій. В даний час понад 90% всіх злочинів пов'язана з використанням автоматизованих систем обробки інформації банку (АСОІБ) [6, с.17]. Отже, при створенні і модернізації АСОІБ банкам необхідно приділяти пильну увагу забезпеченню її безпеки. Саме цій проблемі присвячена велика частина дипломної роботи.
Саме ця проблема є зараз найбільш актуальною та найменш дослідженою. Якщо в забезпеченні фізичної та класичної інформаціонной1 безпеки давно вже вироблені усталені підходи (хоча розвиток відбувається і тут), то у зв'язку з частими радикальними змінами в комп'ютерних технологіях методи безпеки АСОІБ вимагають постійного оновлення. Як показує практика, не існує складних комп'ютерних систем, що не містять помилок. А оскільки ідеологія побудови великих АСОІБ регулярно змінюється, то виправлення знайдених помилок і «дірок» в системах безпеки вистачає ненадовго, тому що нова комп'ютерна система приносить нові проблеми і нові помилки, змушує по-новому перебудовувати систему безпеки.
Особливо актуальна ця проблема в Росії. У західних банках програмне забезпечення (ПЗ) розробляються конкретно під кожен банк і пристрій АСОІБ багато в чому є комерційною таємницею. У Росії набули поширення «стандартні» банківські пакети, інформація про які широко відома, що полегшує несанкціонований доступ у банківські комп'ютерні системи. Причому, по-перше, надійність «стандартного» ПО нижче з-за того розробник не завжди добре розуміє конкретні умови, в яких цьому ПЗ доведеться працювати, а по-друге, деякі російські банківські пакети не задовольняли умовам безпеки. Наприклад, ранні версії (які й досі експлуатуються у невеликих банках) найпопулярнішого російського банківського пакета вимагали наявності дисководу у персонального комп'ютера і використовували ключову дискету, як інструмент забезпечення безпеки [16]. Таке рішення, по-перше, технічно ненадійно, а по-друге, одна з вимог безпеки АСОІБ - закриття дисководів і портів введення-виведення в комп'ютерах співробітників, які не працюють із зовнішніми даними.
У зв'язку з вищевикладеним, у цій роботі основну увагу приділено саме комп'ютерної безпеки банків, тобто безпеки автоматизованих систем обробки інформації банку (АСОІБ), як найбільш актуальною, складною і нагальну проблему у сфері банківської інформаційної безпеки.
У роботі розглядаються особливості інформаційної безпеки банків, показується, що саме для банків (на відміну від інших підприємств) інформаційна безпека має вирішальне значення (розділ 1). У главі 2 йдеться про розвиток банківських інформаційних технологій, оскільки саме ці технології багато в чому визначають систему інформаційної безпеки банку. Оскільки, за даними статистики [17, повідомл. за 08.12.98г.], найбільша частина злочинів проти банків здійснюється з використанням інсайдерської інформації, то в роботі є розділ 3, присвячена забезпеченню інформаційної безпеки у сфері роботи з персоналом.
Інша частина роботи присвячена безпеки АСОІБ та електронних платежів, як її складової частини. У главі 4 аналізуються загрози безпеки АСОІБ і розглядаються загальні принципи побудови систем безпеки АСОІБ. У главі 5 описуються спеціалізовані проблеми безпеки банківських комп'ютерних мереж. Глави 6 і 7 присвячені безпеки електронних платежів.
По мірі розвитку і розширення сфери застосування засобів обчислювальної техніки гострота проблеми забезпечення безпеки обчислювальних систем та захисту що зберігається і обробляється в них інформації від різних загроз все більше зростає. Для цього є цілий ряд об'єктивних причин.
Основна з них - зростання рівня довіри до автоматизованих систем обробки інформації. Їм довіряють саму відповідальну роботу, від якості якої залежить життя і добробут багатьох людей. ЕОМ управляють технологічними процесами на підприємствах та атомних електростанціях, рухами літаків і поїздів, виконують фінансові операції, обробляють секретну інформацію.
Сьогодні проблема захисту обчислювальних систем стає ще більш значною у зв'язку з розвитком і поширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту оброблюваної і переданої інформації.
Доступність засобів обчислювальної техніки, і насамперед персональних ЕОМ, призвела до поширення комп'ютерної грамотності в широких верствах населення. Це, у свою чергу, викликало численні спроби втручання в роботу державних і комерційних, зокрема банківських, систем, як зі злим умислом, так і з чисто «спортивного інтересу». Багато хто з цих спроб мали успіх і завдали значної шкоди власникам інформації та обчислювальних систем.
У чималій мірі це стосується різних комерційних структур і організацій, особливо тих, хто за родом своєї діяльності зберігає й обробляє цінну (у грошовому вираженні) інформацію, що зачіпає до того ж інтереси великої кількості людей. У банках, коли справа стосується електронних платежів та автоматизованого ведення рахунків, така інформація до певної міри і представляє з себе гроші.
Цілісну картину всіх можливостей захисту створити досить складно, оскільки поки що немає єдиної теорії захисту комп'ютерних систем. Існує багато підходів і точок зору на методологію її побудови. Тим не менш, у цьому напрямку додаються серйозних зусиль, як у практичному, так і в теоретичному плані, використовує останні досягнення науки, залучаються передові технології. Причому займаються цією проблемою провідні фірми з виробництва комп'ютерів і програмного забезпечення, університети та інститути, а також великі банки та міжнародні корпорації.
Відомі різні варіанти захисту інформації - від охоронця на вході до математично вивірених способів приховування даних від ознайомлення. Крім того, можна говорити про глобальну захисту та її окремих аспектах: захист персональних комп'ютерах, мереж, баз даних та ін
Необхідно відзначити, що абсолютно захищених систем немає. Можна говорити про надійність системи, по-перше, лише з певною ймовірністю, а по-друге, про захист від певної категорії порушників. Тим не менше проникнення в комп'ютерну систему можна передбачити. Захист - це свого роду змагання оборони і нападу: хто більше знає і передбачає дієві заходи - той і виграв.
Організація захисту АСОІБ - це єдиний комплекс заходів, які повинні враховувати всі особливості процесу обробки інформації. Незважаючи на незручності, заподіяні користувачеві під час роботи, у багатьох випадках засоби захисту можуть виявитися абсолютно необхідними для нормального функціонування системи. До основних із згаданих незручностей слід віднести:
1. Додаткові труднощі роботи з більшістю захищених систем.
2. Збільшення вартості захищеної системи.
3. Додаткове навантаження на системні ресурси, що вимагатиме збільшення робочого часу для виконання одного і того ж завдання у зв'язку з уповільненням доступу до даних та виконання операцій в цілому.
4. Необхідність залучення додаткового персоналу, що відповідає за підтримку працездатності системи захисту.
Що ж до необхідності застосування захисту, то тут принцип «поки грім не вдарить, мужик не перехреститься» себе не виправдовує. Інформація може мати занадто велику цінність, щоб ризикувати нею, а непорушна істина: «хто володіє інформацією - той володіє світом», здебільшого цілком себе виправдовує.
Сучасний банк важко уявити собі без автоматизованої інформаційної системи. Комп'ютер на столі банківського службовця вже давно перетворився на звичний і необхідний інструмент. Зв'язок комп'ютерів між собою і з більш потужними комп'ютерами, а також з ЕОМ інших банків - також необхідна умова успішної діяльності банку - надто велика кількість операцій, які необхідно виконати протягом короткого періоду часу.
У той же час інформаційні системи стають однією з найбільш уразливих сторін сучасного банку, притягаючи до себе зловмисників як з числа персоналу банку, так і з боку. Оцінки втрат від злочинів, пов'язаних з втручанням в діяльність інформаційної системи банків, дуже сильно відрізняються. Позначається різноманітність методик для їх підрахунку. Середня банківська крадіжка із застосуванням електронних засобів становить близько $ 9.000, а один з найгучніших скандалів пов'язаний зі спробою вкрасти $ 700 млн. (Перший національний банк, Чикаго). [3, с.56]
Причому необхідно враховувати не тільки суми прямих збитків, а й дуже дорогі заходи, які проводяться після успішних спроб злому комп'ютерних систем. Так, недавня пропажа даних про роботу з таємними рахунками Bank of England в січні 1999 року змусила банк поміняти коди всіх кореспондентських рахунків. У зв'язку з цим у Великобританії були підняті по тривозі всі наявні сили розвідки і контррозвідки для того, щоб не допустити неймовірною витоку інформації, що може завдати величезних збитків. Урядом робилися крайні заходи з тим, щоб стороннім не стали відомі рахунку та адреси, за якими Bank of England направляє щодня сотні мільярдів доларів. Причому у Великобританії більше побоювалися ситуації, при якій дані могли опинитися в розпорядженні іноземних спецслужб. У такому випадку була б розкрита вся фінансова кореспондентська мережа Bank of England. Можливість збитку була ліквідована протягом декількох тижнів. [17, повідомл. за 26.02.99г.]
Послуги, які надаються банками сьогодні, значною мірою засновані на використанні засобів електронної взаємодії банків між собою, банків та їхніх клієнтів і торгових партнерів. В даний час доступ до послуг банків став можливий з різних віддалених точок, включаючи домашні термінали та службові комп'ютери. Цей факт змушує відійти від концепції «зачинених дверей», яка була характерна для банків 60-х років, коли комп'ютери використовувалися в більшості випадків в пакетному режимі як допоміжний засіб і не мали зв'язки із зовнішнім світом.
Комп'ютерні системи, без яких не може обійтися жоден сучасний банк, - джерело зовсім нових, раніше невідомих загроз. Більшість з них обумовлено використанням у банківській справі нових інформаційних технологій і характерні не тільки для банків. При цьому слід пам'ятати, що в багатьох країнах, незважаючи на все збільшується роль електронних систем обробки, обсяг операцій з паперовими документами в 3-4 рази вище, ніж з їх електронними аналогами.
Рівень оснащеності засобами автоматизації відіграє важливу роль в діяльності банку і, отже, безпосередньо позначається на його стан і доходи. Посилення конкуренції між банками призводить до необхідності скорочення часу на виробництво розрахунків, збільшення номенклатури та підвищення якості послуг, що надаються.
Чим менше часу будуть займати розрахунки між банком і клієнтами, тим вище стане оборот банку і, отже, прибуток. Крім того, банк зможе більш оперативно реагувати на зміну фінансової ситуації. Різноманітність послуг банку (в першу чергу це відноситься до можливості безготівкових розрахунків між банком та його клієнтами з використанням пластикових карт) може істотно збільшити кількість його клієнтів і, як наслідок, підвищити прибуток.
У той же час, АСОІБ банку стає одним з найбільш вразливих місць у всій організації, що притягає зловмисників, як ззовні, так і з числа співробітників самого банку. Для підтвердження цієї тези можна навести кілька фактів:
* Втрати банків і інших фінансових організацій від впливів на їх системи обробки інформації складають близько $ 3 млрд. на рік.
* Обсяг втрат, пов'язаних з використанням пластикових карток оцінюється в $ 2 млрд. на рік, що складає 0.03-2% від загального обсягу платежів залежно від використовуваної системи.
* Середня величина збитку від банківської крадіжки із застосуванням електронних засобів становить близько $ 9.000. [3, с.60]
* Один з найгучніших скандалів пов'язаний зі спробою сімох людей вкрасти $ 700 млн. на Першому національному банку, Чикаго. Вона запобігли ФБР.
* 27 млн. фунтів стерлінгів були вкрадені з Лондонського відділення Union Bank of Switzerland;
* DM 5 млн. вкрадені з Chase Bank (Франкфурт); службовець перевів гроші в банк Гонконгу; вони були взяті з великої кількості рахунків (атака «салямі»), крадіжка виявилася успішною;
* $ 3 млн. - банк Стокгольма, крадіжка була здійснена з використанням привілейованого положення декількох службовців в інформаційній системі банку і також виявилася успішною. [10]
Щоб убезпечити себе і своїх клієнтів, більшість банків вживають необхідних заходів захисту, в числі яких захист АСОІБ займає не останнє місце. При цьому необхідно враховувати, що захист АСОІБ банку - дороге і складне захід. Так, наприклад, Barclays Bank витрачає на захист своєї автоматизованої системи близько $ 20 млн. щорічно. [13]
У першій половині 1994 Datapro Information Services Group провела поштову опитування серед випадково обраних менеджерів інформаційних систем. Метою опитування було з'ясування відбутися у?? ня справ в області захисту. Було отримано 1.153 анкети, на основі яких отримано наведені нижче результати [2, с.101]:
* Близько 25% усіх порушень становлять стихійні лиха;
* Близько половини систем зазнавали раптові перерви електроживлення або зв'язку, причини яких носили штучний характер;
* Близько 3% систем зазнавали зовнішні порушення (проникнення в систему організації);
* 70-75% - внутрішні порушення, з них:
- 10% здійснені скривдженими і незадоволеними службовцями-користувачами АСОІБ банку;
- 10% - вчинені з корисливих мотивів персоналом системи;
- 50-55% - результат ненавмисних помилок персоналу та/або користувачів системи в результаті недбалості, халатності або некомпетентності.
Ці дані свідчать про те, що найчастіше відбуваються не такі порушення, як нападу хакерів або крадіжка комп'ютерів з цінною інформацією, а самі звичайні, що виникають з повсякденній діяльності. У той же час саме умисні атаки на комп'ютерні системи приносять найбільший одноразовий збиток, а заходи захисту від них найбільш складні й дорого коштують. У зв'язку з цим проблема оптимізації захисту АСОІБ є найбільш актуальною в сфері інформаційної безпеки банків.
Розділ 1. ОСОБЛИВОСТІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ БАНКІВ.
Стратегія інформаційної безпеки банків дуже сильно відрізняється від аналогічних стратегій інших компаній та організацій. Це зумовлено насамперед специфічним характером загроз, а також публічною діяльністю банків, які змушені робити доступ до рахунків досить легким з метою зручності для клієнтів.
Звичайна компанія будує свою інформаційну безпеку, виходячи лише з вузького кола потенційних загроз - головним чином захист інформації від конкурентів (в російських реаліях основним завданням є захист інформації від податкових органів і злочинного співтовариства з метою зменшення ймовірності неконтрольованого зростання податкових виплат і рекету). Така інформація цікава лише вузькому колу зацікавлених осіб та організацій і рідко буває ліквідність, тобто обертаністю в грошову форму.
Інформаційна безпека банку повинна враховувати наступні специфічні фактори:
1. Що зберігається та обробляється в банківських системах інформація є реальні гроші. На підставі інформації комп'ютера можуть проводиться виплати, відкриватися кредити, переводиться значні суми. Цілком зрозуміло, що незаконне маніпулювання з такою інформацією може призвести до серйозних збитків. Ця особливість різко розширює коло злочинців, що роблять замах саме на банки (на відміну від, наприклад, промислових компаній, внутрішня інформація яких мало кому цікава).
2. Інформація в банківських системах зачіпає інтереси великої кількості людей і організацій - клієнтів банку. Як правило, вона конфіденційна, і банк несе відповідальність за забезпечення необхідного ступеня секретності перед своїми клієнтами. Природно, клієнти вправі очікувати, що банк повинен дбати про їхні інтереси, в іншому випадку він ризикує своєю репутацією з усіма наслідками, що випливають звідси наслідками.
3. Конкурентоспроможність банку залежить від того, наскільки клієнту зручно працювати з банком, а також наскільки широкий спектр послуг, що надаються, включаючи послуги, пов'язані з віддаленим доступом. Тому клієнт повинен мати можливість швидко і без неприємних процедур розпоряджатися своїми грошима. Але така легкість доступу до грошей підвищує ймовірність злочинного проникнення в банківські системи.
4. Інформаційна безпека банку (на відміну від більшості компаній) повинна забезпечувати високу надійність роботи комп'ютерних систем навіть у випадку позаштатних ситуацій, оскільки банк несе відповідальність не тільки за свої кошти, а й за гроші клієнтів.
5. Банк зберігає важливу інформацію про своїх клієнтів, що розширює коло потенційних зловмисників, зацікавлених у крадіжці або псування такої інформації.
Злочини в банківській сфері також мають свої особливості [2, с.16]:
* Багато злочини, скоєні у фінансовій сфері залишаються невідомими для широкої публіки в зв'язку з тим, що керівники банків не хочуть турбувати своїх акціонерів, бояться піддати свою організацію нових атак, побоюються зіпсувати свою репутацію надійного сховища коштів і, як наслідок, втратити клієнтів. < br />
* Як правило, зловмисники зазвичай використовують свої власні рахунки, на який переводяться викрадені суми. Більшість злочинців не знають, як «відмити» вкрадені гроші. Уміння вчинити злочин і вміння отримати гроші - це не одне й те саме.
* Більшість комп'ютерних злочинів - дрібні. Збитки від них лежить в інтервалі від $ 10.000 до $ 50.000.
* Успішні комп'ютерні злочини, як правило, вимагають великої кількості банківських операцій (до кількох сотень). Однак великі суми можуть пересилатися і всього за кілька транзакцій.
* Більшість зловмисників - клерки. Хоча вищий персонал банку також може чинити злочини і завдати банку набагато більший збиток - такого роду випадки поодинокі.
* Комп'ютерні злочини не завжди високотехнологічні. Досить підробки даних, зміни параметрів середовища АСОІБ і т.д., а ці дії доступні і обслуговуючому персоналу.
* Багато зловмисників пояснюють свої дії тим, що вони лише беруть в борг у банку з наступним поверненням. Втім «повернення», як правило, не відбувається.
Специфіка захисту автоматизованих систем обробки інформації банків (АСОІБ) обумовлена особливостями розв'язуваних ними завдань:
* Як правило АСОІБ обробляють великий потік постійно надходять запитів в реальному масштабі часу, кожен з яких не вимагає для обробки численних ресурсів, але всі разом вони можуть бути оброблені тільки високопродуктивної системою;
* У АСОІБ зберігається і обробляється конфіденційна інформація, не призначена для широкої публіки. Її підробка або витік можуть призвести до серйозних (для банку або його клієнтів) наслідків. Тому АСОІБ приречені залишатися відносно закритими, працювати під керуванням специфічного програмного забезпечення і приділяти велику увагу забезпечення своєї безпеки;
* Іншою особливістю АСОІБ є підвищені вимоги до надійності апаратного та програмного забезпечення. Через це багато сучасних АСОІБ тяжіють до так званої відмовостійкої архітектурі комп'ютерів, що дозволяє здійснювати безперервну обробку інформації навіть в умовах різних збоїв і відмов.
Можна виділити два типи завдань, що вирішуються АСОІБ:
1. Аналітичні. До цього типу відносяться завдання планування, аналізу рахунків і т.д. Вони не є оперативними і можуть вимагати для вирішення тривалого часу, а їх результати можуть вплинути на політику банку щодо конкретного клієнта або проекту. Тому підсистема, за допомогою якої вирішуються аналітичні завдання, повинна бути надійно ізольована від основної системи обробки інформації. Для вирішення такого роду завдань звичайно не потрібно потужних обчислювальних ресурсів, зазвичай досить 10-20% потужності всієї системи. Однак з огляду на можливу цінності результатів їх захист повинен бути постійною.
2. Повсякденні. До цього типу відносяться завдання, які вирішуються в повсякденній діяльності, в першу чергу виконання платежів і коригування рахунків. Саме вони і визначають розмір та потужність основної системи банку; для їх вирішення звичайно потрібно набагато більше ресурсів, ніж для аналітичних завдань. У той же час цінність інформації, що обробляється при вирішенні таких завдань, має тимчасовий характер. Поступово цінність інформації, наприклад, про виконання будь-якого платежу, ставати не актуальною. Природно, це залежить від багатьох факторів, як-то: суми і часу платежу, номера рахунку, додаткових характеристик і т.д. Тому, звичайно буває достатнім забезпечити захист платежу саме в момент його здійснення. При цьому захист самого процесу обробки і кінцевих результатів повинна бути постійною.
Яким же заходів захисту систем обробки інформації віддають перевагу закордонні фахівці? На це питання можна відповісти, використовуючи результати опитування, проведеного Datapro Information Group у 1994 році серед банків і фінансових організацій [2]:
* Сформулювати політику інформаційної безпеки мають 82% опитаних. У порівнянні з 1991 роком відсоток організацій, що мають політику безпеки, збільшився на 13%.
* Ще 12% опитаних планують розробити політику безпеки. Чітко виражена наступна тенденція: організації з великою кількістю персоналу вважають за краще мати розроблену політику безпеки більшою мірою, ніж організації з невеликою кількістю персоналу. Наприклад, за даними цього опитування, лише 66% організацій, з кількістю працівників менше 100 чоловік мають політику безпеки, тоді як для організацій з числом співробітників більше 5000 чоловік частка таких організацій складає 99%.
* У 88% організацій, що мають політику інформаційної безпеки, існує спеціальний підрозділ, який відповідає за її реалізацію. У тих організаціях, які не містять такий підрозділ, ці функції, в основному, покладені на адміністратора системи (29%), на менеджера інформаційної системи (27%) або на службу фізичної безпеки (25%). Це означає, що існує тенденція виділення співробітників, які відповідають за комп'ютерну безпеку, в спеціальний підрозділ.
* У плані захисту особлива увага приділяється захисту комп'ютерних мереж (90%), великих ЕОМ (82%), відновлення інформації після аварій і катастроф (73%), захисту від комп'ютерних вірусів (72%), захисту персональних ЕОМ (69%).
Можна зробити наступні висновки про особливості захисту інформації в закордонних фінансових системах [2, с.21]:
* Головне в захисту фінансових організацій - оперативне і по можливості повне відновлення інформації після аварій і збоїв. Близько 60% опитаних фінансових організацій мають план такого відновлення, який щорічно переглядається в більш ніж 80% з них. В основному, захист інформації від руйнування досягається створенням резервних копій та їх зовнішнім зберіганням, використанням коштів безперебійного електроживлення та організацією «гарячого» резерву апаратних засобів.
* Наступна за важливістю для фінансових організацій проблема - це управління доступом користувачів до збереженої й оброблюваної інформації. Тут широко використовуються різні програмні системи управління доступом, які іноді можуть заміняти і антивірусні програмні засоби. В основному використовуються придбані програмні засоби управління доступом. Причому у фінансових організаціях особливу увагу приділяють такому управлінню користувачів саме в мережі. Однак сертифіковані засоби управління доступом зустрічаються вкрай рідко (3%). Це можна пояснити тим, що з сертифікованими програмними засобами важко працювати і вони украй дорогі в експлуатації. Це пояснюється тим, що параметри сертифікації розроблялися з урахуванням вимог, що пред'являються до військових систем.
* До відмінностей організації захисту мереж ЕОМ у фінансових організаціях можна віднести широке використання стандартного (тобто адаптованого, але не спеціально розробленого для конкретної організації) комерційного програмного забезпечення для управління доступом до мережі (82%), захист точок підключення до системи через комутовані лінії зв'язку (69%). Швидше за все це пов'язано з більшою поширеністю засобів телекомунікацій у фінансових сферах і бажання захиститися від втручання ззовні. Інші способи захисту, такі як застосування антивірусних засобів, кінцеве і канальне шифрування переданих даних, аутентифікація повідомлень застосовуються приблизно однаково і, в основному (за винятком антивірусних засобів), менш ніж у 50% опитаних організацій.
* Велика увага у фінансових організаціях приділяється фізичний захист приміщень, в яких розташовані комп'ютери (близько 40%). Це означає, що захист ЕОМ від доступу сторонніх осіб вирішується не тільки за допомогою програмних засобів, а й організаційно-технічних (охорона, кодові замки і т.д.).
* Шифрування локальної інформації застосовують трохи більше 20% фінансових організацій. Причинами цього є складність розповсюдження ключів, жорсткі вимоги до швидкодії системи, а також необхідність оперативного відновлення інформації при збої та відмови обладнання.
* Значно меншу увагу у фінансових організаціях приділяється захисту телефонних ліній зв'язку (4%) та використання ЕОМ, розроблених з урахуванням вимоги стандарту Tempest (захист від витоку інформації по каналах електромагнітних випромінювань і наведень). У державних організаціях вирішення проблеми протидії отримання інформації з використанням електромагнітних випромінювань і наведень приділяють набагато більшу увагу.
Аналіз статистики дозволяє зробити важливий висновок: захист фінансових організацій (в тому числі і банків) будується трохи інакше, ніж звичайних комерційних і державних організацій. Отже для захисту АСОІБ не можна застосовувати ті ж самі технічні і організаційні рішення, які були розроблені для стандартних ситуацій. Не можна бездумно копіювати чужі системи - вони розроблялися для інших умов.
Розділ 2. ВПЛИВ ДОСЯГНЕНЬ У СФЕРІ КОМП'ЮТЕРНОЇ ОБРОБКИ ІНФОРМАЦІЇ НА РОЗВИТОК БАНКІВСЬКИХ ТЕХНОЛОГІЙ.
Світова банківська індустрія увійшла в період змін. Поява нових інформаційних технологій починає впливати на вироблення стратегічної політики банку.
Нинішні зміни в банківській сфері пов'язані з впливом ряду факторів, серед яких міжнародна тенденція глобалізації ринку банківських послуг, зміни законодавства, а також розвиток інформаційних технологій. Все це змушує банки змінювати способи обслуговування клієнта.
Для того, щоб залишитися конкурентоспроможними в XXI столітті банки повинні оцінювати зовнішні фактори і адекватно реагувати на них. До того ж на діяльність банків впливають і внутрішні чинники, такі як зміна запитів клієнтів, необхідність зменшення часу обслуговування, розширення використання високих технологій.
Все це змушує банки шукати своє місце на ринку і розробляти свою стратегію дій з урахуванням нових реалій. У жорстких умовах сучасного ринку банки повинні дати чітку відповідь на наступні питання:
1. Що чинить тиск на мій бізнес?
2. Що чинить тиск на бізнес моїх клієнтів?
3. Як я буду конкурувати на ринку?
4. Як я можу збільшити кількість моїх клієнтів?
5. Чи зможу я збільшити надходження за допомогою розширеного набору послуг?
6. На яких ринках мені слід бути?
7. Де і як виникають найбільші витрати і як я можу їх зменшити?
8. Як я можу збільшити кількість моїх акціонерів?
До основних зовнішніх факторів, що впливають на банківську індустрію в Європі, фахівці фірми DEC [1, с.42] відносять наступні:
* Загальний ринок. Європейське Співтовариство прийняло рішення про створення Спільного європейського ринку товарів і послуг. Також як і деякі положення Програми Загального ринку, деякі директиви, що випливають з цього рішення нададуть вплив на діяльність банків.
* Друга банківська директива. Найбільш значним актом, що робить вплив на діяльність банків, є Друга координаційна банківська директива [Second Coordination Directive (Banking)], прийнята до виконання всіма членами Співтовариства з 1 січня 1993 Основним змістом цієї директиви є принципи внутрішньодержавного управління та загального схвалення членами Спільноти стандартів контролю та регулювання діяльності банків. Це дозволяє банкам Спільноти, що мають ліцензії на діяльність у своїй країні, виконувати операції в межах всього Співтовариства без отримання додаткових ліцензій.
* Глобалізація ринку послуг. З розвитком нових технологій зникають обмеження, пов'язані з національними бар'єрами, і ринок послуг стає доступним 24 години на добу.
* Зміни в законодавстві. Зміни в законодавстві заохочують небанківські організації надавати фінансові послуги в прямому суперництві з банками. Багато хто з таких організацій створені недавно, їх діяльність не регулюється так, як банківська, і вони не потребують дорогої інфраструктурі на це?? мети. Вони використовують існуючі мережі розподілу і продажів для надання послуг, вартість яких виявляється менше, ніж у банків. Більш того, вони не наслідують традиційну банківську інфраструктуру: багато банків вважають надто обтяжливим для себе її переорієнтувати. Небанківські організації використовують розширюється мережа клієнтів і збільшення продажів у тих областях, які були виключною вотчиною банків. Так наприклад, англійська фірма Marks & Spencer успішно впровадилася на фінансовий ринок за допомогою створення власного інвестиційного фонду та карток для обслуговування в магазинах.
* Збільшення вимогливості клієнтів. Інформованість клієнтів про доступність послуг банків та їх вартості призводить до збільшення вимог до якості і вартості пропонованих послуг. Особливо це стосується найбільших універсальних банків, які стають все менш привабливі для клієнтів, об'єднаних якимось одним спільним інтересом або проживають в одному регіоні. Клієнти також чудово обізнані про ризик, пов'язаний з банківською діяльністю, і стають більш обережними при вкладанні грошей в ненадійні банки.
* Обробка транзакцій. Обробка транзакцій залишається найбільш трудомістким елементом ланцюга пріоритетів банку, воно має бути безпомилкової і забезпечувати точну і своєчасну інформацію. Однак клієнти не бажають оплачувати «невидимі» послуги і тому не вважають обробку транзакцій прибутковим елементом для банку. Банки не в змозі надавати високоякісні послуги без значних витрат у цій галузі. Але вони намагаються компенсувати їх за допомогою прогресивно зростаючих тарифів. Конкуренти прагнуть використовувати більш дешеві технології, які дають переваги в конкурентній боротьбі.
• Технології. За останнє десятиліття розвиток технологій, засобів обробки та передачі інформації допомогли збільшити продуктивність і зменшити вартість банківських операцій. Сучасні технології дозволяють практично миттєво отримувати і використовувати інформацію про клієнтів, продукти та ризики, що, безсумнівно, впливає на конкурентоспроможність банків. Однак поки що дуже небагато банків повною мірою використовують ці можливості. Засоби телекомунікацій разом з новими інформаційними технологіями стають інструментом при розробці нових продуктів і механізмів їх розповсюдження, що розширює сферу діяльності банків. Електронні платежі та засоби розрахунку в точці продажу - приклади використання нових технологій, що докорінно змінюють банківську індустрію. Тим не менше, інформаційні технології та підтримують їхні організаційні структури можуть стати бар'єром на шляху розвитку. Вклавши великі кошти в певну технологію, дуже складно переорієнтуватися на будь-яку іншу. Цього недоліку позбавлені нові конкуренти, які будуть відразу здобувати перспективні технології.
Вихід із цього глухого кута - розробка ефективних способів обробки даних. В ідеалі слід змусити до