Загальний аналіз загроз та ризиків

Від забезпечення безпеки інформаційної обчислювальної системи банку сьогодні багато в чому залежить безперешкодне, стійке і надійне функціонування бізнес-процесів у банку в цілому.

Банки приділяють дуже велику увагу захисту інформації клієнтів, однак постійно існують як внутрішні зловживання, так і зовнішні загрози, пов’язані з її втратою. З початку існування Інтернет-банкінгу широко розповсюджені хакерські атаки на систему, так як отримати доступ до рахунку клієнта, і розпоряджатись чужими грошима на власний розсуд є дуже великою спокусою для деяких людей.

За даними опитування (RSA 2011 Global Online Consumer Security Survey), більше 80% користувачів систем Інтернет-банкінгу висловили переживання з приводу відсутності належного рівня безпеки. Тільки у Великобританії в 2010 році втрати становили близько 440 млн. фунтів стерлінгів. А по даним ФБР, втрати від он-лайн-шахрайства в США 2010 року становили 560 млн. доларів, а загальне число фінансових он-лайн-шахрайств перебільшило 336 тисяч (роком раніше їх було 275 тисяч).

Незважаючи на те, що на даний час найбільш привабливими для хакерів є банки США і Великобританії, не варто забувати, що Україна входить до першого десятка країн, які найчастіше піддаються атакам на комп'ютерних користувачів. У міру того як Інтернет-банкінг набирає популярність серед українців - вектор атак в нашій країні зміститься на он-лайн платежі.[5, 65]

Згідно зі звітом компанії Cenzic за перше півріччя 2011 року більше 90% комерційних веб-додатків схильні до ризику витоків і розкриття інформації, 80% мають уразливості авторизації та автентифікації, а уразливості в управлінні сесіями і міжсайтового скриптинга схильні 68% веб-додатків.

До банківських ризиків, пов'язаних із застосуванням систем Інтернет-банкінгу, відносяться: операційний, правової, стратегічний ризики, ризик втрати ділової репутації (репутаційний ризик) і ризик ліквідності.

Системи захисту призначені для забезпечення безпеки інформації, яка обробляється в інформаційно-обчислювальній системі. До всіх даних, з якими працює інформаційна банківська система, в обов'язковому порядку ставиться вимога збереження, аутентичності та цілісності. Забезпечення цих вимог є першочерговим в задачах забезпечення інформаційної безпеки. При сучасній гострій конкурентній боротьбі багато фінансових даних мають бути доступними тільки певному колу уповноважених осіб. З іншого боку, банківська система повинна залишатися прозорою для державних наглядових і податкових органів.

Доступ до сервісу Інтернет-банкінгу, який надає банківське програмне забезпечення, здійснюється через відкриті мережі, використання яких містить в собі численні інформаційні загрози.

Найбільш поширеними з них можна назвати:

несанкціонований доступ до ресурсів і даних системи: підбір пароля, злам систем захисту і адміністрування, дії від чужого імені;

перехоплення і підміна трафіку, підробка платіжних доручень, атака типу «людина посередині»;[5, 66]

підміна мережевих адрес;

відмова в обслуговуванні;

атака на рівні додатків;

сканування мереж або мережева розвідка;

використання відносин довіри в мережі.

Основними причинами, що призводять до появи подібних уразливостей є:

відсутність гарантії конфіденційності і цілісності переданих даних;

недостатній рівень перевірки учасників з'єднання;

недостатня реалізація або некоректна розробка політики безпеки;

відсутність або недостатній рівень захисту від несанкціонованого доступу (антивіруси, контроль доступу, системи виявлення атак);

існуючі уразливості ОС, ПЗ, веб-систем і мережевих протоколів, що використовуються;

не професійне і слабке адміністрування систем;

проблеми при побудові між мережевих фільтрів;

збої в роботі компонентів системи або їх низька продуктивність;

уразливості при управлінні ключами. [5, 67]