Пользование защищенной электронной почты в системах обмена финансовой информацией.

В настоящее время практически все организации используют в своей работе для обмена финансовой информацией программные средства. Зная о возможности утечки информации по телефонным каналам, многие ответственные лица доверяют конфиденциальную информацию почтовым программам и службам Интернета. С помощью электронной почты пересылаются отчеты и директивы, ведется обсуждение конфиденциальных вопросов. Вместе с тем электронное письмо, отправленное в незащищенном виде, может не достигнуть адресата, быть прочитано третьими лицами, искажено или полностью изменено недоброжелателями. При этом ответственность за утечку или подмену данных не будет нести ни организация, предоставляющая услуги по использованию электронной почты, ни Интернет-провайдер, ни технический специалист, если в его трудовом договоре подобная ответственность не предусмотрена. В итоге, если в организации нет сотрудника, занимающегося решением вопросов безопасности, вся ответственность за возможные убытки ложится на материально и административно-ответственных лиц. Обеспечить конфиденциальность переписки может только специалист, однако проверка надежности защиты коммерческой информации важна в первую очередь для финансового и генерального директоров, главного бухгалтера.В каждой организации, заботящейся о защите коммерческой информации, руководители фирмы и специалисты службы безопасности определяют, какова вероятность угрозы утечки информации и какая именно информация является конфиденциальной. Обычно это бухгалтерские базы, информация о контрагентах, клиентах, взаиморасчетах, финансовых потоках организации. Часть этих данных никогда не покидает специальных хранилищ или надежно защищается специальными программными средствами. Другая же часть, состоящая из ежедневных и ежемесячных оперативных отчетов, оперативных сводок, информации о прохождении платежей, предварительных соглашениях и договорах и т.д., зачастую мигрирует в сетях обмена данных, основанных на каналах Интернета. Самым популярным средством обмена данными является электронная почта. Однако ее использование представляет определенную угрозу конфиденциальности пересылаемой информации. В чем же заключается опасность применения электронной почты? Практически во всех почтовых программах электронное письмо по умолчанию содержит пересылаемую информацию в открытом для чтения виде. Доставка электронной почты осуществляется по каналам передачи данных организаций, которые не несут ответственности за достоверность или утечку содержимого электронных писем. В ситуации, когда нет гарантии безопасности и все пересылаемые данные по умолчанию открыты, при использовании электронной почты могут возникнуть проблемы, касающиеся их искажения, потери и утечки.Наиболее часто данные искажаются при использовании электронной почты для обмена оперативной информацией. Электронное письмо, перехваченное специальной программой, может быть исправлено. Подложная информация, например подтверждение отгрузки или оплаты, может стать основанием для перемещения товара и, следовательно, для перевода денег на счет.Одним из способов исключения подлога является использование электронной цифровой подписи (ЭЦП). Электронная цифровая подпись – это реквизит электронного документа, предназначенный для его защиты от подделки. Она позволяет идентифицировать владельца подписи, а также установить отсутствие искажения информации в электронном документе. ЭЦП уникальна для каждого письма, и подделать ее невозможно. Механизм проставления ЭЦП достаточно прост и реализован практически во всех популярных органайзерах и почтовых клиентах - Microsoft Outlook, The Bat! Pro и т.п. Пренебрежение использованием ЭЦП в деловой переписке и при отсылке важных документов может быть расценено как халатность. В соответствии с законодательством Российской Федерации при соблюдении правовых условий использования ЭЦП она признается равнозначной собственноручной подписи в документе на бумажном носителе. ЭЦП создается с помощью закрытого ключа шифрования. Утечка этого ключа ведет к возможности создания подложных документов, имеющих юридическую силу. Для хранения закрытого ключа обычно используют дискеты, компакт-диски. Однако это крайне ненадежные способы хранения. Наиболее надежным хранилищем ключей являются защищенные РIN-кодом смарт-карты или их аналоги - электронные ключи eToken производства компании Aladdin.Еще одним методом обеспечения закрытого обмена данными по электронной почте является шифрование текста письма и вложенных сообщений без использования ЭЦП. При пересылке конфиденциальной информации отправитель зашифровывает сообщение с помощью открытого ключа. Получатель посредством закрытого ключа письмо открывает. Без закрытого ключа доступ к информации надежно закрыт. Возможность использования модуля шифрования реализована во многих почтовых программах. В наиболее надежных почтовых клиентах предусмотрена аппаратная поддержка хранения ключей шифрования. Закрытые ключи в таких системах тоже хранятся на защищенных РIN-кодом смарт-картах или ключах eToken.Однако даже при обмене зашифрованными сообщениями остается угроза атаки компьютерным вирусом. Компьютерные вирусы - это программы, которые обладают свойством создавать и распространять собственные копии. Помимо этого некоторые вирусы выполняют функцию перехвата управления компьютером. Вирусы могут быть также предназначены для сохранения и передачи злоумышленникам используемых паролей. Программа-вирус может использоваться для уничтожения или передачи информации (в том числе и конфиденциальной) с компьютера по каналам Интернета. Чтобы защитить электронную переписку, необходимо применять специальные программы и антивирусные модули к почтовым клиентам, способные обнаружить и пресечь вредоносную деятельность вирусов. Практически каждый день появляются новые формы вирусов, использующие бреши в системе безопасности, поэтому только установить антивирусную программу на компьютер недостаточно. Антивирусные программы необходимо регулярно обновлять. С учетом широкой практики использования нелицензионного программного обеспечения следует отметить, что нелицензионные программы-антивирусы могут лишь создать иллюзию антивирусной защиты.Наиболее результативными и вредоносными атаками вирусов или злоумышленников на закрытую информацию всегда являлись атаки, использующие бреши в защите операционной системы. В связи с этим производители операционных систем постоянно ведут работу над исправлением ошибок, регулярно предоставляют в общий доступ средства для диагностики и ликвидации выявленных недостатков. Еще одной обязательной процедурой в построении и поддержании защищенной информационной структуры является своевременное исправление и обновление встроенных служб безопасности операционных систем. Не менее важным вопросом при организации системы обмена финансовой информацией считается хранение почтовых баз, содержащих корпоративную и личную переписку сотрудников. Почтовые базы могут располагаться на корпоративных серверах, персональных компьютерах и ноутбуках. Чтобы ограничить доступ к электронной почте и предупредить утечку информации, необходимо использовать специальное программное обеспечение. Это может быть как программа - почтовый клиент со встроенной возможностью хранения почтовый базы в зашифрованном виде, так и универсальное средство шифрования, позволяющее размещать на своем защищенном ресурсе почтовой базы. Примером таких средств могут послужить продукты производства компании Aladdin: The Bat! Pro - защищенный почтовый клиент и Secret Disk New Generation - универсальное средство защиты конфиденциальной информации.