3.2. Угрозы информационной безопасности банка

Отраслевая специфика банка как посредника на финансовых рын-

ках и доверенного лица своей клиентуры определяет более обширный,

чем в других отраслях, перечень возможных угроз его информационной

безопасности. Их объектом могут выступать любые конфиденциаль-

ные сведения, рассмотренные в п. 1.3.1 настоящего УПП. Однако при-

оритетным объектом всегда являются сведения, составляющие банков-

скую тайну, что и определяет главное направление защиты конфиденци-

альной информации кредитно-финансовых организаций.

Субъектами угроз информационной безопасности банка могут

выступать:

- конкуренты как самого банка, так и его клиентов, пытающиеся

улучшить собственные рыночные позиции путем либо опережения, либо

компрометации своих противников;

- криминальные структуры, пытающиеся получить сведения о са-

мом банке или его клиентах для решения разнообразных задач (от под-

готовки примитивного ограбления, до определения размеров «нефор-

мальных пошлин» с рэкетируемых ими предприятий – клиентов банка);

- индивидуальные злоумышленники (в современных условиях – чаще

всего наемные хакеры), выполняющие либо заказ соответствующего на-

нимателя (например, конкурента), либо действующие в собственных це-

лях;

- собственные нелояльные сотрудники банка, пытающиеся полу-

чить конфиденциальные сведения для их последующей передачи (по

различным мотивам) сторонним структурам или шантажа своего рабо-

тодателя;

- государство в лице фискальных или правоохранительных орга-

нов, использующих специальные методы сбора информации для выпол-

нения установленных им контрольных или оперативных функций.

Угрозы информационной безопасности банка могут проявляться в

следующих формах:

- перехват конфиденциальной информации, в результате которого

у субъекта угрозы оказывается ее дубликат (особая опасность этой фор-

мы угрозы для пострадавшего банка заключается в том, что о самом

факте утечки он, чаще всего, узнает лишь после того, когда конечная

цель перехвата уже достигнута);

- хищение конфиденциальной информации, в результате которого

субъект угрозы одновременно решает две задачи – приобретает соответ-

ствующие сведения и лишает их пострадавший банк;

- повреждение или уничтожение информации, в результате кото-

рого субъектом угрозы достигается лишь задача нанесения ущерба ата-

куемому банку.

Методы реализации угроз информационной безопасности банка

дифференцируются в зависимости:

- от вида данных, являющихся объектом угрозы;

- от субъекта угрозы.

При использовании классификации по первому признаку можно

отметить, что основной угрозой является несанкционируемый доступ к

информации в электронном виде. В отличие от информации, сущест-

вующей на других носителях, здесь могут быть реализованы все формы

угроз (перехват, хищение, уничтожение). Другим отличием является то,

что для достижения поставленных целей субъект угрозы вынужден ис-

пользовать наиболее сложные с технологической точки зрения, следова-

тельно, дорогостоящие методы. Сторонние для банка структуры и инди-

видуальные злоумышленники используют специальные компьютерные

программы, позволяющие преодолеть существующие у любого банка

системы защиты баз данных, локальных сетей и иных компьютерных

коммуникаций (см. 1.3.3 настоящего УПП). Другим методом является

использование специальных сканеров, позволяющих со значительно

расстояния перехватывать («снимать») информацию с работающих ком-

пьютеров, факсов, модемов. Возможности субъектов угроз по достиже-

нию поставленных целей резко возрастают при использовании услуг со-

трудников самого банка, особенно из числа лиц, имеющих доступ к за-

щищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных но-

сителях субъекты используют такие методы, как копирование (фотогра-

фирование), прямое хищение, а при необходимости уничтожения сведе-

ний – включение систем самоуничтожения содержимого соответствую-

щих сейфов. Учитывая, что проникновение посторонних лиц в банк все-

гда достаточно затруднительно, сторонние для него субъекты угроз так-

же стремятся использовать в этих целях собственный персонал кредит-

но-финансовых организаций.

Наконец, для перехвата информации в устном виде используют

разнообразные технические устройства – скрытые магнитофоны, видео-

камеры, специальные дальнодействующие сканеры и направленные

микрофоны. Они позволяют со значительного расстояния прослушивать

устные и телефонные разговоры (включая аппараты сотовой связи), в

том числе – в изолированных, но не оборудованных дополнительными

средствами защиты помещениях. Основным ограничением выступают

здесь финансовые возможности субъекта угрозы и атакуемого банка в

части приобретения необходимых технических средств перехвата ин-

формации и защиты от него (по некоторым видам устройств цена может

достигать нескольких сотен тысяч долларов США).

Классификация по второму признаку позволяет выделить сле-

дующие наиболее распространенные методы. Наиболее широкую их но-

менклатуру потенциально могут использовать конкуренты как самого

банка, так и его клиентов. Чаще всего ими применяются:

- вербовка сотрудников территориальных налоговых органов и уч-

реждений Центрального банка, по долгу службы располагающих конфи-

денциальными для конкурентов, но не для государства сведениями (что

доступно любому конкурирующему банку и особенно распространено в

современных отечественных условиях);

- внедрение своих агентов в атакуемый банк, что доступно лишь

для наиболее крупных конкурирующих банков и корпораций, распола-

гающих мощными службами безопасности и специально подготовлен-

ными сотрудниками;

- вербовка сотрудников атакуемого банка с использованием мето-

дов подкупа и реже шантажа (см. раздел 1.4 настоящего УПП);

- использование услуг собственных (в составе специального под-

разделения службы безопасности) или наемных хакеров;

- использование разнообразных технических средств перехвата

конфиденциальной информации в разовом, регулярном или постоянном

режимах.

Криминальные структуры для обеспечения доступа к конфиденци-

альной информации обычно используют сотрудников атакуемого банка,

применяя для этого прямые угрозы, шантаж и, реже, подкуп. Наиболее

крупные преступные группировки могут использовать и более сложные

методы.

Индивидуальные злоумышленники (в современных условиях – чаще

всего наемные хакеры) применяют специальные компьютерные про-

граммы собственной или чужой разработки.

Нелояльные сотрудники банка могут действовать в собственных

целях (месть, корыстные интересы) или по поручению сторонних для

банка структур. Чаще всего, при реализации рассматриваемых угроз они

используют собственное служебное положение, обеспечивающее им

доступ к соответствующим конфиденциальным данным. В отдельных

случаях они могут выполнять роль резидентов нанявших их сторонних

для банка структур. В этом случае, сотрудники могут использовать са-

мые разнообразные методы агентурной работы, например, вербовка ин-

форматоров из числа своих коллег, выведывание нужных сведений, ус-

тановку технических средств перехвата информации, прямое хищение

или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государство в отли-

чие от конкурентов, чаще используют метод внедрения в контролируе-

мый ими банк собственных сотрудников. Уровень их подготовки обыч-

но очень высок, поскольку осуществляется силами специализированных

учебных структур государственных спецслужб. В отношении небольших

банков функции этих агентов обычно ограничиваются выполнением

конкретного задания (например, получение документальных подтвер-

ждений факта сокрытия доходов от налогообложения или сведений о

конкретном клиенте из числа представителей теневой экономики). В

крупнейшие банки агенты государственных органов могут внедряться на

длительный срок, выполняя функции резидентов.