Описание
Проблематика
Основной актив организаций финансового сектора – это собственно финансы. Они используются для решения различных задач, в частности для развития самих компаний. Значительная часть деятельности финансовых организаций приходится на работу с транзакциями, и в этой области широко применяются современные средства информатизации и автоматизации. Финансовый сектор по праву считается одной из самых автоматизированных отраслей экономики.
В современном мире деньги вполне можно считать просто одной из категорий информации. По сути, это сведения о финансовых ресурсах, которыми обладают юридические или физические лица. Если учесть, как удобно теперь управлять цифровыми деньгами, лежащими на банковском счете, как легко использовать их для оплаты покупок и переводить на другие счета, как безопасно хранить большие суммы в банках, то можно ожидать, что со временем объем наличности в обращении будет лишь сокращаться.
В финансовых организациях, особенно в банковской сфере, огромное внимание уделяется вопросам информационной безопасности. Не в последнюю очередь это связано с тем, что несанкционированный доступ к финансовым ресурсам позволяет почти сразу ими завладеть (чего нельзя сказать о других ресурсах, которые используются, например, в промышленном или государственном секторах).
Поэтому финансовый сектор, при всей его защищенности, оказывается одной из главных целей кибератак. Злоумышленники в основном атакуют финансовые сервисы, поскольку таким образом можно быстро извлечь выгоду.
Вызовы
Информационные системы финансовых организаций часто состоят из нескольких контуров безопасности. Особое место занимает контур, обеспечивающий проведение финансовых транзакций. К нему предъявляются высокие требования в области информационной безопасности. Но в этой сфере можно выделить ряд крупных угроз, распространенных во всем финансовом секторе.
- Финансовое мошенничество. У людей, которые непосредственно работают с финансовыми системами и ресурсами, может возникнуть сильный соблазн воспользоваться имеющимися возможностями – нарушить закон и улучшить свое финансовое положение. Это касается не только экономистов и операторов, но и технических специалистов, которые обслуживают средства автоматизации.
- Социальная инженерия. Для совершения кибератак на финансовые организации все чаще используются методы социальной инженерии. С их помощью преступники, например, побуждают пользователей передавать им учетные данные или осуществлять нелегитимные денежные переводы.
- Кража персональных данных. В базах данных финансовых организаций хранится большой объем персональных данных клиентов – физических и юридических лиц. Если эти данные украдут, то их могут использовать для атаки уже непосредственно на их владельцев.
Решение
Атаки с целью проникновения в ИТ-инфраструктуру предприятия нацелены прежде всего на систему управления доступом, в частности на подсистему идентификации, аутентификации и разграничения доступа.
Решения, разработанные компанией Индид, позволяют выполнить, среди прочего, следующие задачи, стоящие перед организациями финансового сектора:
- создание единой системы управления аутентификацией, которая предполагает обязательное применение средств усиленной аутентификации (используется продукт Indeed Access Manager);
- контроль действий привилегированных пользователей, включая экономистов, операторов финансовых сервисов и системных администраторов, для выявления мошеннических действий и устранения последствий в случае сбоя (используется продукт Indeed Privileged Access Manager);
- управление требованиями и контроль за использованием паролей от различных целевых систем (используются продукты Indeed Access Manager и Indeed Privileged Access Manager);
- минимизация воздействия на серверные и критичные компоненты финансовых систем с изолированной программной средой для выполнения требований разработчиков финансовых платформ (используются продукты Indeed Access Manager и Indeed Privileged Access Manager).
Решения компании Индид надежно защищают бизнес от различных угроз в сфере информационной безопасности. Для этого применяется широкий спектр инструментов, обеспечивающих защиту доступа и управление им. Кроме того, эти решения позволяют повысить эффективность работы специалистов по информационной безопасности и сэкономить их время.