Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /var/www/nelvin/data/www/ebooktime.net/index.php:6) in /var/www/nelvin/data/www/ebooktime.net/index.php on line 7

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/nelvin/data/www/ebooktime.net/index.php:6) in /var/www/nelvin/data/www/ebooktime.net/index.php on line 7
5.4. Зловживання відносно систем і даних : казначейство банку : Бібліотека для студентів

5.4. Зловживання відносно систем і даних


Повернутися на початок книги
1 2 3 4 5 6 7 8 9 10 11 12 13 14 
15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 
30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 
45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 
60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 
75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 
90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 
105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 
120 121 122 123 124 125 126 127 128 129 130 131 132 133 

магниевый скраб beletage

Захист комп’ютерів і даних у фінансовій сфері відрізняється від захисту в інших сферах тільки масштабами того майна і тих активів, які повинні бути захищені:

• банки вкладають величезні засоби в комп’ютерне і комунікаційне устаткування (як сконцентроване у великих обчислювальних центрах, так і розосереджене по всьому банку, його філіалах і відділеннях);

• оброблювана інформація є величезною фінансовою цінністю;

• для фінансових установ звичайно надто важливо, щоб їхні комп’ютерні системи працювали цілодобово;

Розділ 5. Банківська безпека

• клієнти мають право чекати, що їхні гроші будуть надійно захищені. Усі великі банки серйозно піклуються про забезпечення захисту комп’ютерів. Від-повідають за цей напрям звичайно менеджери експлуатаційних підрозділів. Звичайно, вищі контролюючі інстанції, такі як Bank of England, найвищий пріоритет віддають надійним банкам, ризик роботи з якими мінімальний або взагалі зведений до нуля.

Буде цікаво дізнатися про масштаби правопорушень у комп’ютерній сфері. Так, за підсумками 1988 р. відповідний підрозділ Лондонської поліції мав справу з поді-бними порушеннями закону на суму понад 4.5 млрд. ф. ст.

Ця цифра, швидше за все, занижена, оскільки багато організацій вважають за кра-ще залишати у секреті просочування інформації, щоб уникнути публічного розголосу і ради збереження своєї репутації. Банки тим більше зацікавлені нерозголошуванні здійснюваних ним злочинних дій, оскільки:

• банки істотно залежать від депозитних внесків клієнтів, всяка інформація про яких є строго конфіденційною;

• якщо в засобах масової інформації буде дуже багато повідомлень про випадки обману і способи його здійснення, то це може здобути негативний ефект, тобто «вкладуться в голови» людей з відповідними порочними схильностями нові «ідеї». Потенційна небезпека обману і шахрайства може виходити від нечесного і недо-бросовісного персоналу, нечесних клієнтів, третьої сторони (наприклад, від особи, яка займається промисловим шпигунством).

Шахрайство в комп’ютерному середовищі стає все більш витонченим. Дуже не-безпечним у цьому сенсі періодом є час розробки системи, коли, наприклад, «дивер-сія» може бути замаскована під помилку або коли достатніх заходів до захисту продукту ще не вжито.

Найскладніше виявляти зловмисників, коли такими є свої власні службовці. Сумна практика показує, що більше трьох чвертей злочинних дій були зроблені спів-робітниками самих компаній, що стали жертвами, які часто займають досить високі пости.

Технічні заходи не дадуть бажаного ефекту в банку, де незадоволений персонал і слабкий контроль за роботою співробітників; там, де велика кількість співробітників перебуває на другорядних ролях, і деякі з них можуть зважитися на великий обман.

Проблемам забезпечення захисту і безпеки слід приділяти особливу увагу. Сис-теми і організаційні процедури захисту повинні бути добре продумані і належним чином реалізовані.

Банки ні перед чим не зупиняються, щоб запобігти будь-яким спробам недобро-совісного або озлобленого персоналу та іншим нечесним людям здійснити які-небудь протизаконні дії з використанням комп’ютерних систем. Вони застосовують:

• парольний захист або контроль з використанням магнітних карток;

• такий розподіл робіт між співробітниками, щоб різні люди були ознайомлені тільки з частиною загальної інформації (коли, наприклад, один ідповідає за від-криття рахунків, а інший — за відправку витягів клієнтам);

• регулярні внутрішні і зовнішні перевірки;

• автоматизоване ведення протоколів звернень до захищеної інформації, що гене-руються комп’ютерними системами;

• аутентифікацію (складну автоматизовану математичну перевірку) електронних платежів і повідомлень у рамках таких систем, як CHAPS і SWIFT;

Казначейство банку

• шифрування інформації, що передається по каналах зв’язку;

• ретельне незалежне тестування програм з погляду їхньої захищеності і надій-ності;

• захист обчислювальних центрів та інших приміщень, що мають відношення до комп’ютерного оброблення інформації (тут цікавий той факт, що хоча банки активно рекламують свою присутність за допомогою яскравих табло, що світяться, на Хай-стріт, місцезнаходження їхніх обчислювальних центрів ретельно ховаєть-ся або, принаймні, не афішується);

• перевірки правильності функціонування комп’ютерних систем з метою запобі-гання помилкам, пов’язаним, наприклад, з дебетуванням замороженого рахунка без санкції менеджера або дебетуванням закритих рахунків. Усі ці заходи допомагають не тільки запобігати протизаконним діям, а й підтри-мувати цілісність даних і уникати випадкових помилок під час їхнього використання.

Комп’ютерні системи: зниження вірогідності протизаконних дій

За допомогою комп’ютерів можна добитися істотного зниження вірогідності тра-диційних правопорушень і пов’язаного з цим ризику. Узяти, наприклад, крадіжку цінних паперів на пред’явника на багато мільйонів фунтів стерлінгів у кур’єра з Лон-донського Сіті в 1990 р., яку назвали «найбільшим пограбуванням» в історії. У 1990 р. Bank of England і великі комерційні банки впровадили автоматизовану облікову систему і депозитарії для подібних транзакцій. При використанні цих засобів усувається необхідність фізичної доставки цінних паперів покупцеві. Ця система називається Control Money Markets Office (CMMO).

При використанні карток з магнітною смужкою від їхнього власника потрібне підтвердження свого права володіти карткою шляхом введення персонального іден-тифікуючого номера (PIN) або електронного підпису. Останнє досягнення в цій га-лузі — це метод, за допомогою якого перевіряють не тільки наявність підпису, а й відстежують параметри її нанесення. Власник картки демонструє свій підпис за допо-могою ручки, приєднаної до комп’ютера, який реєструє швидкість і натиск, з якими виконується підпис. Ця процедура повторюється кілька разів, щоб набути усередне-ного значення відповідних параметрів і виключити їх випадкові коливання. Цей метод застосовують для боротьби з тими шахраями, які здатні майстерно підроблювати підписи (але, природно, не можуть в точності відтворити швидкості виконання і натиску оригіналу).

Зловживання, пов’язані з автоматизованими касовими апаратами

У міру того як усе більше зростає використання автоматизованих касових апара-тів (АТМ), збільшується й кількість пов’язаних з ними зловживань. Банки і будівель-ні суспільства, що володіють розгалуженими мережами АТМ, неохоче повідомляють подробиці такого обману і шахрайства, щоб не спонукати потенційних злочинців до здійснення аналогічних діянь.

Проте можна навести відомий приклад шахрайства АТМ, відключеним від го-ловної комп’ютерної системи банку. З ряду причин навіть ті АТМ, які звичайно без-посередньо приєднані до головного комп’ютера, іноді переводять в автономний режим роботи. Тим самим з’являється потенційна можливість обману — отримання по картці готівки з рахунку двічі протягом одного сеансу роботи з АТМ. Це може стати

Розділ 5. Банківська безпека

можливим, якщо видана готівка і допустимий максимум видачі грошей не знаходять свого віддзеркалення на магнітній смужці відповідної пластикової картки до того часу, поки вона не буде вийнята з апарата (з відповіддю перед цим на запитання: «Эо уои \¥І§п г.0 таке апог.Ьег ггашасйоп — Уез/Мо» — чи «Не бажаете ви провести іншу транзакцію — Так/Ні»). Якщо зловмисник відповість «У姻 («Так»), то покладена до видачі сума буде видана знову, і так продовжуватиметься до тих пір, поки картка фізично не буде вийнята з касового апарата.

Хоча межа наявної виплати може бути перевищена, банківський рахунок від-повідного клієнта продовжуватиме дебетуватися. Таким чином, якщо до хакера по-трапить вкрадена картка і він зможе правильно вказати РВД, то банк зазнае великих втрат.

Банки та інші компанії, що поширюють кредитні картки, з року в рік продовжу-ють нести значні втрати через зловживання, пов’язані з краденими картками, які часто виявляються значно серйознішими, ніж просто обман комп’ютера.

Хоча нововведения, які несуть із собою інформаційні технологи, дуже вигідні для банків, ними «з успіхом» користуються і зловмисники. Ціна могутнього персонального комп’ютера, оснащеного комунікаційними засобами (наприклад, модемами) і навіть пристроями прочитування інформації з карток з магнітною смужкою, ціл-ком по кишені середньому користувачеві, не говорячи вже про досвідчених хакерах. Вже зафіксований цілий ряд випадків «злому» комерційних комп’ютерних мереж, таких як неодноразово вже згадувана тут мережа Ргезіеі і мережа ун1верситет1в.}от1; Асасіетіс №глуогк (ГАМЕТ). У 1990 р. був прийнятий законодавчий акт, яким хакерство було поставлено поза законом (Сотригег Мізше Асг. — Закон про зловживання, пов’язані з комп’ютерами).

Правонарушения у сфері електронного переказу грошовых коштів

Професійний зловмисник, «зламуючи» систему електронного переказу грошо-вих коштів, може переслідувати різні цілі:

• проведения нелегально'! транзакції (наприклад, «відмивання» грошей, пов’язаних з торгівлею наркотиками);

• зміна адреси реального одержувача перекладу, наприклад: самі банківські служ-бовці скидають дробові залишки переказів, що поступають клієнтам, із зараху-ванням їх на секретні особові рахунки; сторонні особи, «зламуючи» складні про-грами, добиваються шляхом ряду маніпуляцій з переказами грошей того, що вони кінець кінцем виявляються на офшорних рахунках в інших країнах; системи електронного переказу грошових коштів використовують для переміщення грошей з одного фінансового центру в інший з розготівковуванням їх потім за тисячі миль від джерела в іншому законодавчому середовищі (в результаті, коли хтось вияв-ляе, що мала місце «помилка», від відповідних грошей не залишається і сліду). Вище при розгляді проблем захисту даних і прав клієнтів був згаданий Кодекс

банківської діяльності. Серйозними проблемами, навколо яких останніми роками було багато дебатів, були «примарні вилучення засобів» і відповідальність за втрату транзакцій по пластикових картках. Багато чого в цьому плані чекали від банківсько-го кодексу. I дійсно, в ньому подано рекомендації обмежити відповідальність власни-ка картки п’ятдесяти фунтами стерлінгів за транзакцію, якщо тільки з його сторони не спостерігалося порушень закону або халатності в обігу з своею карткою.

Казначейство банку

Захист карток

Щодо захисту пластикових карток Кодекс банківської діяльності рекомендує таке.

«Організації, що випускають пластикові картки, окремо від останніх встановлю-ють персональні ідентифікуючі номери (PIN) і повідомляють їх тільки клієнтам, які офіційно стають власниками карток.

Видавці карток повідомляють клієнтам про відповідальність за картки і PIN у зв’язку з потенційною загрозою обману і шахрайства. Видавці карток звертають ува-гу клієнтів на такі моменти:

• клієнт не має права передавати кому-небудь свою картку або повідомляти свій PIN;

• клієнти повинні робити все можливе для забезпечення надійного зберігання картки і збереження в секреті PIN;

• клієнту ніколи не слід записувати PIN на картці або на чомусь іншому, що збері-гається разом з карткою;

• взагалі ніколи не слід записувати де-небудь PIN, не замаскувавши (зашифрував-ши) належним чином цей запис.

Втрачені картки

Організації, що випускають пластикові картки, інформують своїх клієнтів про те, що ті повинні якнайскоріше повідомляти про такі події: втрата або крадіжка картки; розголошування PIN; щось не в порядку з рахунком.

Видавці карток спочатку повідомляють клієнтам, а потім регулярно нагадують їм у витягах з рахунків або інакше про те місце і номер телефону, куди слід повідомляти про втрату або крадіжку картки в будь-який час дня і ночі. Видавці карток стежать за тим, щоб відповідні телефонні номери включалися в телефонні довідники компанії British Telecom.

Видавці карток вживають належних заходів по телефонному дзвінку, але можуть вимагати від клієнтів письмового підтвердження всього того, що мовиться по телефону.

Видавці карток (за запитом) інформують клієнтів про отримання повідомлення, що стосується втрати або крадіжки картки.

Видавці карток після отримання повідомлення про втрату, крадіжку або можливе зловживання карткою або про те, що PIN її власника став відомий сторонній особі, вживають заходів до припинення подальшого автоматизованого обслуговування та-кої картки».

Існують три аспекти, що стосуються забезпечення захисту і безпеки даних в орга-нізації. Дані повинні бути захищені, як уже наголошувалося, від таких дій: крадіжки, несанкціонованого використання або модифікації, втрати або спотворення в резуль-таті технічних збоїв чи помилок людини.

Від крадіжки і несанкціонованого використання дані захищають, застосовуючи звичайно одні й ті самі механізми. Загальним для всіх подібних механізмів є:

• обмеження фізичного доступу до комп’ютерного устаткування;

• обмеження доступу до комп’ютерних файлів. Рекомендується передбачати декілька рівнів захисту даних, оскільки жоден з ме-тодів захисту не є універсальним і вичерпним.

Найбільш ефективні засоби ізоляції системи та інформації, що зберігається в ній, пов’язані з фізичним виключенням несанкціонованого їх використання. Доби-302

Розділ 5. Банківська безпека

тися цього можна шляхом організації строго контрольованого входу в приміщення, де встановлені термінали і/або персональні комп’ютери, використання додаткових замків з регулярно змінними кодовими комбінаціями.

Робота з критичними даними повинна контролюватися постійно. Слід реєстру-вати тих співробітників, які одержують до них доступ (з вказівкою також часу отри-мання доступу і причини). Такий захист даних через її строгість слід застосовувати тільки тоді, коли йдеться про найбільш конфіденційні дані. Чим менший ступінь се-кретності інформації, тим менш строгим може бути і її захист.

Найбільш поширений рівень захисту комп’ютерних файлів — це обмеження кола допущених до роботи з ними осіб і введення системи парольного доступу.

Контроль доступу

Контроль доступу слугує усуненню або обмеженню вірогідності несанкціоно-ваного використання або зміни даних і програм. У програмне забезпечення можуть бути вбудовані такі засоби контролю доступу:

• паролі;

• персональна ідентифікація користувачів;

• шифрування і аутентифікація, тобто підтвердження права на доступ (розгляда-лися в розділі, присвяченому комп’ютерним мережам).

Пароль — це «набір символів, який може бути виділений користувачеві, термі-налу або іншому компоненту системи, для роботи через який з останньою спочатку потрібен санкціонований вхід у відповідний режим».

Паролями можна захищати файли з даними, програми і деякі компоненти про-грам. Британське комп’ютерне суспільство визначає пароль як «послідовність симво-лів, яка повинна бути представлена комп’ютерній системі перед тим, як та вирішить доступ до себе або свого компонента (наприклад, до конкретного файлу).

Один пароль (або ключове слово) може бути потрібен для читання файлу, другий для запису нових даних, а третій — для виконання обох цих операцій. Користувачеві терміналу може бути заборонено використання певних файлів і програм (наприклад, у банківській системі до деяких робочих процедур вирішується доступ тільки строго об-меженого кола співробітників). Так, до комп’ютерної системи банку British Alcan (за да-ними з журналу Accounting Age за вересень 1986 р.) доступ бухгалтерів відділень обме-жений, тоді як бухгалтеру головного офісу дозволено виконання цілого ряду додаткових операцій, таких як зміна порядку обліку при підготовці групових консолідованих звітів.

Обмеження доступу до системи за допомогою паролів — досить ефективний метод, який широко використовується для метод захисту, але розповсюдження персо-нальних комп’ютерів і розподілених систем, що все збільшується, робить фізичну ізоляцію фактично неможливою. Чим більше потрібно поширювати інформаційні системи, тим простіший повинен бути і доступ до них. Таким чином, вимоги до захис-ту інформації повинні бути адекватно збалансовані з експлуатаційними вимогами: строга ізоляція системи може істотно знизити її споживчу цінність.

Практично в усіх великих комп’ютерах, що працюють у розрахованому на багато користувачів режимі, і системах розподіленого оброблення даних застосовують па-рольний захист. Щоб увійти до системи, користувач повинен ввести певний символь-ний рядок, наприклад, «пароль». Якщо введений пароль відповідає, що зберігається в системі, то остання санкціонує доступ користувача. Інакше система залишається