Поделиться
Банковские телекоммуникации: как обеспечить надежность?
Один из несбывшихся прогнозов середины 90-х годов гласил, что к 2010 году банки "растворятся" в телекоме. И действительно, сегодня ИКТ играют серьезную роль в жизнедеятельности банков. Однако, по мнению некоторых игроков финансового рынка, именно этот фактор снижает степень защищенности конфиденциальной информации. Как решить эту проблему?Сергей Березин: В защите финансовой информации должен соблюдаться принцип экономической целесообразности.
На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC GroupCNews: Как Вы полагаете, действительно ли активное внедрение ИКТ в финансовый сектор ведет к нарушению конфиденциальности данных, с которыми работает банковская отрасль?
Сергей Березин: При внедрении банками новых ИТ-сервисов, без сомнения, растет статистическая вероятность утечки конфиденциальности данных. Строго говоря, этот факт сам по себе никак не зависит от конкретного банка, поскольку определяется на фундаментальном уровне – теорией надежности и математической статистикой. Известный пример: механизм, в котором есть три детали, менее надежен по сравнению с тем, где деталей всего две. Поэтому, чем больше внедряется новых сервисов, связанных с новыми ИТ-системами, с дистанционным обслуживанием клиентов, тем выше статистическая вероятность, что произойдет событие, связанное с нарушением конфиденциальности данных.
Безусловную перспективу имеет внедрение средств виртуализации рабочих столов (десктопов) на клиентских ПК сотрудников филиальной сети банка.
Другое дело – насколько тщательно в конкретном банке соблюдаются технологии внедрения новых сервисов. В идеале должно быть несколько циклов тестирования, когда новое решение вначале эксплуатируется в пробном режиме на тестовом сервере, а лишь потом переносится на так называемый продуктовый сервер и становится доступным для клиентской базы. Однако на сегодняшнем высококонкурентном финансовом рынке действует принцип первой ночи - "сливки маржинальности" с новых продуктов и сервисов может снять тот банк, кто первым запустит новый интересный продукт. Поэтому банки торопятся с выпуском продуктов, что может сказываться на уязвимости конфиденциальных данных, в том числе и персональных данных клиентов.
Свою лепту вносят и поставщики решений, ведь многие банки пользуются однотипными АБС (автоматизированными банковскими системами), и, если в решении поставщика будет найдена какая-либо уязвимость безопасности данных, это затронет сразу все банки, пользующиеся данной АБС или иным покупным программным продуктом.
CNews: Какие технологии необходимо использовать в банке для того, чтобы информация была защищенной, а передача данных надежной, а также для того, чтобы требования регулятора по обеспечению этих факторов были выполнены?
Сергей Березин: Безусловную перспективу имеет внедрение средств виртуализации рабочих столов (декстопов) на клиентских ПК сотрудников филиальной сети банка. Дело в том, что в банках очень хорошо реализуется идея типового рабочего места сотрудников того или иного уровня с заранее утвержденным набором программного обеспечения. Поэтому сама собой напрашивается идея, чтобы эти программы исполнялись на серверах ЦОД банка, а сотрудники работали с ними средствами удаленного доступа, или как теперь это модно называется, с помощью программных средств виртуализации десктопов. В режиме удаленного доступа на серверы по каналу связи передаются только движения мышки и нажатия клавиш на компьютерах сотрудников банка, а сами данные не покидают серверы, что принципиально важно с точки зрения защиты информации.
Основными поставщиками средств виртуализации десктопов являются компании Citrix и Microsoft. При этом Citrix предлагает программное обеспечение с расширенными возможностями, а Microsoft –с базовыми. Целый ряд крупных банков в России уже используют ПО Citrix для организации доступа к АБС и данным на рабочих местах в своих филиальных сетях. Очень полезно внедрение ПО Citrix при слиянии банков с разными информационными системами. Вместо того чтобы с большими трудностями устанавливать единые программы на компьютеры сотрудников объединенной филиальной сети, достаточно на рабочих ПК установить только Windows и программу-клиент Citrix, которая сама подключится к серверу банка и запустит только те программы, которые разрешены для данного сотрудника. В результате все сотрудники объединенной филиальной сети смогут оперативно, буквально в течение пары дней, начать работать с новыми программами.
Вторым аспектом является постановка в банке хорошей службы информационной безопасности: сюда включены как организационно-регламентные мероприятия с сотрудниками (человеческий фактор), так и программно-аппаратная система защиты информации. Сегодня эталоном качества систем защиты информации можно назвать продукты линейки IBM ISS. Ее особенностью являются интеллектуальные алгоритмы, которые работают на упреждение и опережение, и выявляют уязвимости в защите информации еще до того момента, когда ими успеют воспользоваться злоумышленники.
CNews: Какие решения для обеспечения защищенной передачи данных предлагает компания BCC?
Сергей Березин: В защите финансовой информации, несомненно, должен соблюдаться принцип экономической целесообразности. Иначе говоря, ценность финансовой информации, включая репутационные риски банка, не должна быть меньше, чем средства, потраченные на ее защиту. Поэтому для ВСС как системного интегратора так важно вместе с банком-заказчиком оценить задачу и подобрать такие средства обеспечения защиты и передачи данных, которые соответствуют поставленной задаче и имеющемуся бюджету.
Крупным и средним банкам ВСС может предложить продукты Citrix и IBM на правах партнера высшего уровня по оптимальным ценам, для небольших кредитных организаций у нас есть более бюджетные решения. Так же, как и любой человек, будучи клиентом банка, ожидает к себе индивидуальный подход, так и для каждого банка важно соблюдение подобного принципа, когда уже он выступает в качестве заказчика во взаимоотношениях с системным интегратором.
Короткая ссылка
