20 декабря 2015г.
Одной из основных особенностей современных корпораций является стремительное развитие компьютерных и телекоммуникационных средств. Развитие средств коммуникации, сокращение времени обработки информации, развитие сетевых технологий позволили корпорациям провести комплексную автоматизацию всей своей деятельности, разработать механизмы удаленного обслуживания клиентов и предложить новый ассортимент услуг. Информационные системы стали оказывать существенное влияние на прибыльность корпораций, их конкурентоспособность и привлекательность для клиентов.
Управление корпоративными счетами через Интернет является наиболее динамичным и представительным направлением финансовых интернет-решений, в силу наиболее широкого спектра финансовых операций, представленных в системах интернет-банкинга. Подобные системы могут быть основой систем дистанционной работы на рынке ценных бумаг и удаленного страхования, т.к. они обеспечивают проведение расчетов и контроль над ними со стороны всех участников финансовых отношений.
Интернет-банкинг становится все более модной услугой. Лидеры финансового рынка если еще не имеют в собственных активах развитой системы электронного банкинга, то намерены заняться ее созданием в ближайшей перспективе. В погоне за модой, корпорации часто не принимают в расчет, что интернет-банкинг – не просто передовая технология, для внедрения которой достаточно подключить еще один модуль к существующей информационной системе, а целая система взаимодействия с клиентами в режиме on-line. И чтобы эта система была эффективной и приносила прибыль, нужно вложить немало сил и средств в ее наладку.
Именно на «модных» направлениях осуществления коммерческой деятельности средствами информационных технологий и сосредотачивается большая часть усилий служб разнообразной, в том числе и информационной безопасности. Выделяются впечатляющие по размерам бюджеты на закупку ультра технологичного программного и аппаратного обеспечения, позволяющего вести контроль за исходящими потоками данных, содержащих коммерческую информацию.
В частности, в этом и кроется огромная брешь во внешне неуязвимом заборе корпорации. В первую очередь стоит определиться, какого рода информация имеется в корпоративной сети, для чего она используется, кем, и с какими целями. На данный момент, на территории Российской Федерации наблюдается катастрофическая ситуация в реализации этого основного пункта безопасности корпоративных сетей. На сегодняшний день в информационной среде имеет место разорванность ряда необходимых информационных цепей.
Например, до сих пор нет единого государственного стандарта по обработке данных в корпоративных сетях. Попытки утвердить, например, единый удостоверяющий ключевой центр – ни к чему, де-факто не привели. Соответственно, весь потенциал использования ЭЦП на межкорпоративном уровне – утрачен. На данный момент, мы имеем ситуацию, когда при межкорпоративном взаимодействии возникает разрыв, открывающий широчайшие возможности для представителей криминалитета по осуществлению своей деятельности. Отсутствие защищенных межкорпоративных потоков ведет, даже в случае чисто технических сбоев к раскрытию информации. Известно немало случаев утечки данных из незашифрованной электронной почты, к примеру. Так же, отсутствие единого УКЦ не позволяет организациям вводить более эффективные меры контроля над финансовыми рисками, а так же проводить эффективный мониторинг финансовой устойчивости своих партнеров. Тормозит поиск новых партнеров, как следствие, препятствует расширению рынка, созданию новых рабочих мест, увеличению ВВП и улучшению качества жизни граждан.
Уделяя огромное количество внимания передовым продуктам в области информатизации и ее защиты, многие корпорации забывают и о собственных разорванных цепочках информационного взаимодействия, приводящих к необоснованно большим затратам на поддержание функционирования собственной инфраструктуры и к возникновению мало того, что – рисков для себя, таких как утеря контроля за собственной информационной системой, так и возможность непредумышленного нарушения федерального законодательства, ведущему не только к различного рода штрафам, но и потери репутации на рынке, как следствие, отсутствие продаж, сокращение рабочих мест и масса прочих негативных последствий.
Самым первым шагом к ухудшению «здоровья» корпоративной сети является недостаточное внимание такому обязательному требованию, как то, что любой корпоративный ресурс должен иметь юридически обоснованную привязку вида «ресурс-человек». На данный момент, в подавляющем количестве корпоративных сетей, такой привязки, именно юридически обснованной – не наблюдается, что приводит, зачастую к падению финансовых показателей в случае возникновения каких-либо конфликтных или форс-мажорных обстоятельств, вероятность которых, для любого ресурса корпоративной сети близка к единице в течение периода ближайших 10 лет.
В некоторых корпоративных сетях, особенно в ряде государственных структур, такого рода привязка имеется, но уровень информатизации данного рода привязки пока оставляет желать лучшего. Использование собственноручной подписи при эксплуатации корпоративных ресурсов, особенно при наличии у корпорации иерархической системы подчинения, двух, трех, а то и более уровней приводит мало того, что к увеличению затрат на поддержание информационной системы, но и, как ни странно, открывает новые бреши для проникновения негативных для корпоративной сети факторов, одним из которых является, безусловно, инсайд.
Следует четко осознавать, что корпоративная сеть никогда не будет полностью защищенной системой. Ни при каких обстоятельствах, ни при каких финансовых вложениях и использовании любых технических решений – на сто процентов защитить корпоративную сеть не удастся. Можно сколько угодно запрещать использование мобильных носителей информации, ставить нелинейные локаторы в целях недопущения использования любой электроники. Сотрудник корпорации может просто запомнить необходимые ему данные и вынести ее за контролируемую зону. Именно отсутствие информационного взаимодействия (разрыв внутрикорпоративной информационной цепочки, как упоминалось выше) и может привести к одному из мощнейших по своей деструктивной силе фактору – инсайду.
Таким образом, в первую очередь, на текущий момент, деятельность служб и ведомств информационной безопасности должна быть направлена не на «модные» тенденции, а на латание изначальных, глубоко запущенных дыр в законодательной базе, в области информационного взаимодействия, разработке жизненно- необходимой документации по регламентированию использования корпоративной сети со всей ее инфраструктурой и прикладными сервисами.
По причине того, что ранее введенные системы такого рода потребовали колоссальных затрат как со стороны корпоративных структур, так и со стороны налогоплательщиков, а результата до сих пор нет, необходимо тщательно присмотреться к концепции информационной безопасности, и проявить политическую и финансовую волю при пересмотре даже основополагающих моментов. Данные шаги весьма нелегки, но реальность состоит в том, что вся жизненно-необходимая информация теперь находится в корпоративных сетях и требует решительной, не иллюзорной, а реально работающей, причем на всех уровнях – защиты.
Список литературы
1. Мызников В.В., Мызникова ТН. Финансовая безопасность в системе финансового контроля региона.
Труды Международной научно-практической конференции 17-21 мая 2012 г. – С. 147-157.
2. Мызников В.В., Мызникова Т.Н. Эволюция вредоносного программного обеспечения в банковском секторе. Historical projection and modern interpretation of the substance and form of human activity, creativity and aesthetics issues (London, October 11-16 2012).p.116, p.71-74.
3. Мызников В.В. Банковские интернет-технологии и сопряженные с ними проблемы. РГТЭУ, Челябинск, 26 апреля 2013 г. Студенческая научно-практическая конференция.
