Безпека банківських інформаційних систем

Сьогодні неможливо уявити функціонування банківських установ без використання сучасних інформаційних технологій та, зокрема глобальних комп’ютерних мереж, у тому числі й Internet. Це пояснюється тим, що он-лайнові банківські послуги дозволяють сьогодні проводити фінансові операції (торгівля акціями, отримання кредитів, страхування і т.п.) без посередників, що призводить до зниження комісійних і прискорення обігу фінансових активів. На користь використання сучасних інформаційних технологій для проведення банківських операцій, що здійснюються як з юридичними, так і з фізичними особами, свідчить досліджен-ня, проведене консультаційною фірмою Booz, Allen and Hamilton. За його результатами оплата послуг через Internet обходиться клієнту в $ 0,01, з використанням автоматів — у $ 0,27, надання послуг по телефону — $ 0,54, а у касового вікна — у $ 1,07. Фінансові інститути прагнуть знизити величезні витрати по утриманню своїх філій і відділень, а також витрати по обов'язкових платіжних перерахуваннях, одночасно вони намагаються підвищити і прибу-ток окремих кредитних установ. Якщо у 1997 році тільки 5 % фінансових установ надавали доступ через Internet, то в 1998 - їх було 18 %, а в 1999 – 65 %. У Європі 70 % банків надають послуги в онлайн режимі. За оцінками компанії Garther обсяги комерційних трансакцій в Євро-пі зростуть за найближчі чотири роки з $ 53 млрд. до $ 1 200 млрд. Величезне різноманіття електронних банківських продуктів і послуг стосується, в першу чергу, такої важливої сфери, як національний і міжнародний платіжний оборот. Система електронних розрахунків зводить до мінімуму банківські операції (розрахунки, платіжні доручення, інформаційне забезпечення) по обслуговуванню клієнтів у касах. Поряд з цим все ширше використовуються банкомати, за допомогою яких клієнтам видається не лише готівка, але й надається можливість покласти кошти на рахунок, зробити операції по ощадній книжці клієнта і т.д., тобто система розрахунків готівкою змінюється системою безготівкових розрахунків і платежів.

У даний час мережа Internet уже є інформаційною системою для оперативного здійснення банківських операцій. Разом з тим відкритість цієї мережі для платежів і використання її як каналу збуту викликає у користувачів різного роду сумніви щодо безпеки. Щоденно в світі $ 2000 млрд. перераховуються з використанням електронних систем зв’язку. За даними Бюро технологічної оцінки США 0,05-0,1 % усіх переказів відносяться до відмивання “брудних” коштів. Річні збитки від шахрайських дій з пластиковими картками складають менше половини одного відсотка від загального грошового обігу - приблизно $ 1,3 мільярда. Хоча збитки становлять і невеликий відсоток від загального обсягу, але сама сума є вражаючою. Постійне збільшення цієї цифри свідчить про існування кримінальної підпільної індустрії, пов'язаної з незаконним використанням пластикових карток. У дослідженні, опублікованому американською фірмою ClearCommerce, Україна називається вогнищем кібершахрайства - тут відбувається більшість шахрайських операцій із кредитними картками. Висновки дослідження свідчать, що 20% усіх замовлень, що надходять з України, є шахрайськими - "замовники" використовують украдену інформацію c кредитних карток (http://www.liga.kiev.ua/news/show 07.05.2002, 11:24).

Отже, одночасно з розширенням мережі користувачів банківських установ та спрощенням процедури доступу до них збільшується кількість загроз як до комп’ютерних систем, так і до фінансової організації у цілому. Поширення так званої комп’ютерної злочинності у банківсько-кредитній сфері пояснюється дуже просто - адже саме у даній сфері знаходяться величезні фінансові кошти, які у першу чергу цікавлять злочинців.

Відразу слід зазначити, що правоохоронним органам стають відомі далеко не всі випадки викрадення грошей шляхом використання банківських комп’ютерних систем. Це можна пояснити декількома обставинами. Серед них і небажання керівництва організацій надавати відповідну інформацію через побоювання “компрометації” фінансових установ та можливості виявлення додаткових правопорушень при проведенні слідчих дій. Наприклад, в одному з комерційних банків Москви провідний бухгалтер відділу валютних операцій провела на рахунки своїх знайомих $ 123 тис. Співробітники банку довгий час не сповіщали правоохоронні органи в надії “розібратися своїми силами”, але в решті решт були змушені це зробити коли ситуація вийшла з під контролю [1].

На жаль, значну частину серед суб’єктів несанкціонованого доступу до комп’ютерних банківських систем складає персонал, який добре ознайомлений з технологією обробки інформації. Пояснюється це також тим, що з погляду психологічних особливостей персонал — явище складне, кожен із співробітників завжди індивідуальний, важко передбачуваний і мотивації його поведінки часто суперечливі. До числа правопорушників іноді потрапляють і особи, які самі повинні відповідати за інформаційну безпеку в установі. Так старший інженер-програміст Б. Сімферопольського відділення банку «Україна» на протязі 1996-1999 років учинив розкрадання коштів на значну суму. На нього покладався обов’язок за обліком виготовлених, виданих, зіпсованих і таких, що належали знищенню магнітних карток. Тож він цілком володів інформацією про принцип роботи автоматизованої системи, системи безпеки, мав широке коло повноважень щодо супроводження і обслуговування. Крім того він був співробітником фінансової безпеки банку, адже володів інформацією про рух коштів фізичних і юридичних осіб.

До речі, у відділенні банку по закінченню кожного операційного дня зводився баланс, неодноразово проходили ревізії, але розкрадання не виявлялось. Розслідуючи кримінальну справу спеціалісти особливу увагу приділили пошуку у пам’яті комп’ютера даних, що свідчать про використання рахунків вкладників. Як пізніше розповів сам правопорушник, він хотів, ви-користовуючи інфляцію гривні, повернути викрадені гроші пізніше. Але з 1998 року інфляція була незначною і відшкодувати викрадені суми йому виявилося не по «кишені». Під тиском незаперечних доказів, Б. визнав свою вину та був засуджений