`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

На повестке дня банков — информационная безопасность

+33
голоса

Комитет по вопросам банковской инфраструктуры и платежных систем Независимой ассоциации банков Украины провел конференцию, на которой рассматривались вопросы внедрения и дисциплины применения электронной цифровой подписи (ЭЦП), а также информационной безопасности банков.

Одним из необходимых условий создания электронного правительства является электронная идентификация (eID) физических и юридических лиц. Она позволит упростить работу многих финансовых и государственных учреждений и предприятий, а также частного бизнеса. При Государственном агентстве электронного правительства Украины было создано несколько рабочих групп, которые разрабатывают концептуальные программные документы по составляющим электронного правительства.

Руководитель одной из таких групп, а именно начальник отдела по вопросам предоставления услуг ЭЦП и сопровождения ИТС центрального удостоверяющего органа ГП «Информационный центр» Минюста Украины Юрий Козлов, представил Национальную стратегия в области электронной идентификации и проект «Белой книги» по электронному управлению.

На повестке дня банков — информационная безопасность

Юрий Козлов: «Национальная стратегия в области eID предусматривает построение такой инфраструктуры в государстве, когда граждане могут беспрепятственно получать доступ к информации и электронным доверительным услугам через Интернет из разных источников, с наименьшей вероятностью потери доступа к критически важным услугам и данным»

Миссия разрабатываемой стратегии заключается в построение такой инфраструктуры электронной идентификации в государстве, когда граждане могут беспрепятственно получать доступ к информации и электронным доверительным услугам через Интернет из разных источников, правительственных, частных, от других физических лиц, за пределами национальных границ с максимально сниженным риском хищения персональных данных или мошенничества, с наименьшей вероятностью потери доступа к критически важным услугам и данным, без необходимости управлять несколькими учетными записями и паролями. Закладываемые базовые принципы включают безопасность, гибкость, интероперабельность между различными программными и аппаратными платформами, конфиденциальность и защиту персональных данных, экономичность и простоту решений.

Основными целями, обозначенными выступающим, являются построение интероперабельной eID-инфраструктуры в национальном масштабе, создание доверительной среды и мотивации граждан к использованию электронных услуг, а также обеспечение непрерывного развития eID-инфраструктуры и электронных услуг. Ожидается, что эта инфраструктура позволит, в частности, безопасно проводить онлайн-транзакции, повысить эффективность взаимодействия граждан, бизнеса и органов власти в киберпространстве, стимулировать инновационное развитие общества.

На концептуальном уровне модель eID содержит следующие компоненты. Прежде всего, это провайдер электронных сервисов электронного правительства, который непосредственно взаимодействует с компонентом, отвечающим за идентификацию и предоставление доступа. Последний, в свою очередь, взаимодействует с различными ID-провайдерами, которые, возможно, будут включены в общую структуру eID, такими как провайдеры, предоставляющие услуги на базе логина/пароля, ID-провайдеры электронного банкинга, PKI и т.п.

Что касается архитектуры, то она должна включать уровень госуправления и надзора, уровень обеспечения интероперабельности, уровень администрирования и функциональный уровень.

В то же время, реализации планируемого препятствует ряд проблемных вопросов, требующих решения. К ним, в частности, относятся отсутствие единого общенационального идентификатора физических лиц, надежной и устойчивой системы электронного взаимодействия государственных информационных ресурсов, разрозненность и несогласованность разработок, несовершенство нормативно-правовой базы по вопросам определения гарантий аутентификации и механизма их обеспечения в конкретных системах.

О некоторых наблюдениях, которые были сделаны на основе опыта работы компании «ESET в Украине», рассказал руководитель службы технической поддержки Александр Илллюша. Прежде всего, это необходимость соответствия международным стандартам, далее, это проблемы BYOD/CYOD (Choose Your Own Device) и, наконец, виртуализация.

На повестке дня банков — информационная безопасность

Александр Иллюша: «Продукты ESETобеспечивают проактивное обнаружение вредоносных программ при минимальном потреблении системных ресурсов»

Следование международным стандартам влечет за собой ряд проблем. Это необходимость использования технических средств для защиты всех узлов ИТ-инфраструктуры, доступа к корпоративным ресурсам, конфиденциальным данным и для безопасности работы для удаленных сотрудников. Активизация бизнес-процессов заставляет задуматься о снижении нагрузки как на оборудование, так и на системных администраторов. Острым остается вопрос о снижении затрат на приобретение, внедрение, обслуживание и сопровождение.

В этой ситуации ESET рекомендует строить комплексную защиту инфраструктуры. Она должна охватывать антивирусную защиту всех основных узлов сетевой инфраструктуры, а также комплексную защиту клиентов за пределами корпоративной сети. С помощью продуктов компании можно обеспечить защиту файловых и почтовых серверов, виртуальных машин, интернет-шлюзов, рабочих станций и мобильных устройств. В частности, для защиты рабочих станций можно использовать единое решение ESET Endpoint Security, которое предоставляет такие функции, как антифишинг, контроль устройств, персональный брандмауэр, антиспам, веб-контроль и ряд других. При этом отпадает необходимость приобретать и содержать отдельные инструменты ИБ и модернизировать оборудование для обслуживания сложных систем.

Зачастую при использовании средств для защиты информации заказчики сталкиваются с замедлением работы оборудования и систем, к примеру, гипервизоров, отдельных серверов, рабочих станций. Технологические разработки ESET ThreatSense, Smart Optimization и ESET Live Grid обеспечивают высокое качество обнаружения ИБ-инцидентов при минимальном потреблении системных ресурсов.

Дополнительный уровень защиты доступа к корпоративным ресурсам достигается с помощью двухфакторной аутентификации ESET Secure Authentication. При этом one-time password (OTP) генерируется на мобильном устройстве удаленного сотрудника или отправляется SMS. Решение может использоваться для всех популярных сервисов удаленного доступа Microsoft.

В области шифрования данных ESET предлагает продукт DESlock+, с помощью которого можно выполнять шифрование дисков (в том числе и виртуальных), папок, файлов, архивов и буфера обмена. Для шифрования писем и присоединений используется плагин для Outlook.

Сложность современных ИС приводит к росту количества административных задач, сложности мониторинга состояния безопасности и расследования инцидентов. ESET Remote Administrator выполняет мониторинг состояния безопасности в режиме реального времени, предоставляет подробную информацию для анализа инцидентов и минимизирует количество административных задач. Установленные на клиентах агенты администрирования позволяют управлять компьютерами пользователей даже без доступа к центральному серверу.

В итоге, продукты ESET, по словам выступающего, обеспечивают проактивное обнаружение вредоносных программ при минимальном потреблении системных ресурсов.

Банки являются, пожалуй, одним из наиболее привлекательных объектов атак киберпреступников. Мнением о том, какие угрозы несет 2015 год информационной безопасности банков, поделился начальник отдела развития компании AMICA Сергей Мудренко. Свой доклад он начал с обзора тенденций, наблюдавшихся в 2014 г. Первое место было отдано атакам типа DDoS.

На повестке дня банков — информационная безопасность

Сергей Мудренко: «Примечательно, что компании, предоставляющие услуги DDoS, не только не скрываются от закона, но и рекламируют себя в Интернете, информируя об удачных атаках и публикуя отзывы заказчиков»

Сегодня атаки DDoS — это многоуровневая индустрия. Она состоит из заказчиков, людей, которые контролируют бот-сети и предоставляют их в аренду, организаторов атак, являющихся посредниками между заказчиками и владельцами бот-сетей, и людей, занимающихся финансовой стороной этого дела.

DDoS-атаки можно разделить на две категории. К первой относятся атаки на инфраструктуру. Их цель — перегрузить каналы связи и сетевые устройства. В 2014 г. был зафиксирован значительный рост мощности таких атак — более 400 Гб/с. «Хорошая новость» та, что они сравнительно легко определяются. Ко второй категории относятся атаки на приложения, которые обнаруживаются более сложно. Они направлены на слабые элементы сервисов. По оценке компании Gartner, их доля составляет 25% от всех DDoS-атак и будет продолжать расти. Такое предположение позволяют сделать некоторые цифры 2014 года. Однодневная атака на одну цель на черном рынке стоит в среднем 150 долл. Такая цена позволяет практически любому человеку, неудовлетворенному действиями компании или банка, заказать DDoS-атаку. Примечательно, что компании, предоставляющие такие услуги, не только не скрываются от закона, но и рекламируют себя в Интернете, информируя об удачных атаках и публикуя отзывы заказчиков. По сравнению с 2013 г., количество атак DDoS удвоилось. По данным Verisign, треть всех простоев ИС в мире связана с DDoS-атаками.

Для банковской сферы атаки DDoS могут вызвать недоступность таких сервисов, как межбанковские платежи, процессинг пластиковых карт, интернет-банкинг и системы клиент-банк. Это может привести, в частности, к упущенной выгоде или к ущербу репутации. Однако было замечено, что в 2013 г. DDoS-атаки часто выполняли функцию отвлекающего маневра, прикрывающего более серьезные действия.

Блокирование DDoS-атак может быть выполнено тремя способами. По мнению компании AMICA, наименее эффективным является установка программно-аппаратного комплекса непосредственно в сети заказчика. Это требует дорогого оборудования и найма квалифицированного персонала. К тому же этот способ не защищает от перегрузки канала. Второй способ — защита на уровне провайдера. У провайдера гораздо более широкий канал, который труднее перегрузить, однако, как правило, они не специализируются на защите от DDoS. Кроме этого, появляется привязка к определенному провайдеру. В компании считают, что самой эффективной защитой от DDoS является облачная фильтрация трафика. Такой сервис предоставляется, в частности, компанией Kaspersky Lab — это Kaspersky DDoS Prevention.

Вторая тенденция, отмеченная AMICA, это направленные атаки (APT). Основными их жертвами являются банки и платежные системы. Атаки производятся с целью вывода средств или хищения данных о клиентах банка. По прогнозам компании, в 2015 г. количество атак этого типа будет увеличиваться, а область расширяться. Для защиты от APT AMICA рекомендует продукты компании FireEye.

Однако что делать, если атака все же состоялась? Наилучшим решением, по мнению выступающего, будет обратиться для расследования инцидента к ведущим мировым компаниям, специализирующимся в данной области. Такие услуги, к примеру, предоставляют MacAfee и Kaspersky Labs.

За время работы конференции участники прослушали девять выступлений, в частности, на такие темы, как организационно-технические аспекты создания и функционирования Центра сертификации ключей (зам. генерального директора Института информационных технологий Виктор Оноприенко), обеспечение эффективности процесса управления доступом (ведущий инженер проектов ISSP Сергей Сопронюк), управление ПО как аспект ИБ (генеральный директор «Компарес Украина» Сергей Пуриш).

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT