Для ограничения доступа к информации и для протоколирования фактов доступа финансово-кредитные организации успешно используют стандартные сервисы безопасности. Однако практика показывает, что ограничиваться только ими в борьбе с инсайдерами нельзя. Необходимо внедрять и использовать дополнительные средства.
Противодействие внутренней угрозе требует от банка применения целого комплекса мер - организационных, юридических, технических. Недаром при построении любой системы безопасности разработчики отталкиваются от принципа комплексного подхода. Никакая отдельно взятая мера не будет эффективной. Эксперты Первого Республиканского Банка утверждают, что, если в банке будут использоваться только технические меры безопасности, даже самые современные, без организационно-правовых инструментов их эффективность будет ничтожной. Выявленному техническими средствами инсайдеру нельзя будет вменить правонарушение, привлечь к ответственности, заставить возместить ущерб. «Чаще всего первая реакция большинства сотрудников на применяемые меры безопасности негативная, но, получив обоснование, почему банк применяет те или иные меры безопасности, сотрудники больше не задают вопросов», - подчеркивают специалисты.
Эксперты отмечают, что за последние годы законодательство РФ в области информационной безопасности сильно преобразилось: были приняты законодательные акты, затрагивающие новые сферы, ужесточились требования к функционированию отдельных систем, к обработке некоторых видов информации, появились новые виды конфиденциальной информации. «Все это повлекло за собой активизацию работы банков по пересмотру применяемых ИТ-технологий и функционирующих систем информационной безопасности, а также по их модернизации и приведению в соответствие действующему законодательству», - подчеркивают специалисты Первого Республиканского Банка.
Сложилась ситуация, когда, с одной стороны, развитие законодательной базы в сфере информационной безопасности обусловлено стратегическими целями государства, и это замечательно. А с другой стороны, к сожалению, на сегодняшний день можно констатировать отсутствие должного контроля за исполнением существующего законодательства.
Популярные схемы кражи информации просты и доступны
Инсайдеры в банках бывают двух типов. К первому относятся специально подготовленные люди, которые устраиваются на работу с конкретной целью похитить данные. Ко второму - обычные добросовестные сотрудники, которые по ошибке отправляют важные документы не на тот адрес. «Большая часть утечек на банковском рынке приходится именно на ошибки, непредумышленные действия», - подчеркивает Сергей Кирилин (Стройкредит).
Кроме того, утечка данных может происходить извне, через шпионское программное обеспечение, установленное на корпоративных компьютерах.
Информация утекает в основном по двум видам каналов - внешнему и внутреннему. К первому относятся диски CD и DVD, USB-носители, корпоративные ноутбуки. Всегда можно найти благовидный предлог, под которым из офиса можно вынести эти предметы. Внутренние каналы - это электронная почта, Skype, социальные сети. «Самые большие проблемы при мониторинге трафика вызывает Skype из-за шифрования алгоритма передачи сообщений, - считает Сергей Кирилин. - Слишком очевидные кражи портфелей с документами или жестких дисков вышли из моды, так как эти действия проще подвести под административное или уголовное нарушение».
По мнению специалистов Первого Республиканского Банка, самым незащищенным и неконтролируемым каналом утечки информации является Интернет. При этом наиболее распространенные кражи происходят в электронных платежных системах вследствие компрометации ключей электронной цифровой подписи или электронного средства платежа.
Сергей Кирилин утверждает, что электронная почта и USB-носители являются распространенными способами копирования данных с целью их кражи. Популярными подобные схемы стали благодаря своей простоте и доступности.
«Есть стандартная схема, по которой работает инсайдер, - объясняет вице-президент банка «Стройкредит». - Он заранее подготавливает массив информации на своем рабочем компьютере, затем архивирует его. После этого архив высылается по электронной почте с рабочего адреса на личный. Похожая схема применяется в случае кражи данных с помощью USB-носителей: вся информация подготавливается, помещается на носитель и выносится за пределы организации».
Невнимательные сотрудники и недоброжелатели будут существовать всегда
Все понимают, что, к сожалению, полностью искоренить инсайдерство - невыполнимая задача, поскольку всегда будут существовать бестолковые и рассеянные сотрудники, которые совершают ошибки по незнанию, а также различного рода недоброжелатели.
Разработать уникальный рецепт против инсайдеров невозможно, так как меняются методы хищения информации, а также сегменты банковской деятельности, в которых появляются инсайдеры. «Именно поэтому необходимо постоянно анализировать, контролировать, выявлять аномалии и в зависимости от ситуации принимать решения о реагировании на выявленные инциденты», - подчеркивают специалисты Первого Республиканского Банка.
И все же риск утечек информации можно свести к минимуму с помощью различных решений, которые сегодня предлагаются на рынке. Пожалуй, самым серьезным инструментом в данном случае являются системы защиты DLP (data leak prevention), которые позволяют централизованно контролировать и блокировать USB-порты, анализировать входящий/исходящий интернет-трафик и контекст электронной почты, производить поиск по ключевым словам, а также регулировать доступ к Интернету. Подобные системы сообщают ответственному лицу об опасности, если возникают признаки инсайдерской деятельности.
«Стоит отметить, что запуск и использование таких решений - очень затратное дело в плане как финансовых, так и людских ресурсов», - отмечает Сергей Кирилин. Чтобы использование систем для комплексной защиты от инсайдеров было эффективным, необходимо четко понимать, какая информация важна для банка, где она находится и как она защищается.
Выбирая подходящее решение для защиты, очень важно понимать, какой потенциальный ущерб может нанести банку инсайдерская активность и во что обойдется реализация защиты от подобных действий. Вице-президент банка «Стройкредит» уверен, что если цена безопасности намного превышает предполагаемую стоимость ущерба, то никакого смысла в запуске такой системы нет. Страховка ущерба или принятие рисков возможного ущерба будет верным решением.
Конечно, совсем без системы защиты от инсайдеров не обойтись. Сергей Кирилин считает, что для небольших организаций могут быть использованы более доступные инструменты защиты. «Подобные решения, конечно, не будут такими же эффективными, как комплексные, поскольку имеют функциональные ограничения, - поясняет специалист. - Но в то же время они позволяют реализовать базовые меры по защите от инсайдеров, расходуя при этом существенно меньше ресурсов. Например, есть вариант ввести контроль или ограничение на объем пересылаемой информации по электронной почте или при копировании на USB-носители». Подобные меры минимизируют риски утечки больших объемов данных. Можно также полностью ограничить доступ сотрудников банка к USB-портам или к сети Интернет. Пожалуй, в данном случае стоит руководствоваться принципом минимального доступа сотрудников к информации.
«Главным рецептом противодействия инсайдерству я считаю работу с сотрудниками банка, их обучение и контроль за их деятельностью, - резюмирует Сергей Кирилин (Стройкредит). - Таким образом можно добиться минимизации непредумышленных утечек информации и вовремя вычислить подозрительную активность некоторых сотрудников».
Мнение эксперта
Всеволод ИВАНОВ, исполнительный директор компании InfoWatch
Эффективная защита от инсайдеров, конечно же, подразумевает комплекс мер. Во-первых, необходима выверенная и правильная политика безопасности, регламентирующая права доступа к информации и правила работы с ней для различных категорий сотрудников. Во-вторых, требуется введение режима банковской тайны, предусматривающего определенную меру ответственности за разглашение конфиденциальных данных. Наконец, нужны системы шифрования информации, средства наблюдения и ограничения физического доступа. Но главную роль я бы отвел ИТ-решениям нового поколения по защите от внутренних угроз. Это продукты, позволяющие детектировать и локализовать угрозы до возникновения ИБ-инцидентов, традиционные DLP-системы, предотвращающие утечку данных при попытке инсайда, а также решения для ретроспективного расследования инцидентов.
Главная сложность противостояния инсайдерам заключается в недостатке взаимодействия между бизнес- и ИБ-подразделениями. Я работал в трех банках, крупных и средних, и по своему опыту могу сказать, что налицо серьезные различия в понимании этими подразделениями важности той или иной информации для бизнеса. Например, служба ИБ всегда считает, что бухгалтерская информация, платежки, «свифтовки» - это высший уровень конфиденциальности. А кому они нужны и что теряет банк, если произойдет утечка платежного поручения на 650 рублей? Копейки, но на то, чтобы предотвратить их потерю, тратятся миллионы рублей. А вот то, на чем кредитно-финансовые организации теряют миллиарды рублей (торговля клиентской информацией в массовом порядке огромным количеством сотрудников фронтальных подразделений), остается практически без внимания.
Заказчиками решений для борьбы с инсайдерами должны быть бизнес- и HR-подразделения, а службе безопасности и ИБ-специалистам необходимо работать с ними в связке. Это должен быть комплексный проект, тогда можно будет дать адекватный ответ инсайдерам.
Полностью же проблема исчезнет только с изменением внутреннего сознания общества. Пока сотрудник считает вправе пользоваться корпоративной информацией в личных целях, не считает это воровством и преступлением, проблема неизлечима, и можно говорить лишь о снижении финансовых и репутационных потерь. У нас есть клиенты на Ближнем Востоке, там немыслимо даже представить, чтобы сотрудник мог похитить информацию у компании. Этого нет вообще, даже единичных случаев. Это вопрос культуры: там воровство веками считалось тяжким преступлением, за которое отрубали руку на месте. Поэтому ближневосточные компании используют DLP-системы преимущественно для предотвращения случайных, ненамеренных утечек. Культура нашего общества, где под лозунгом «общее - значит ничье» годами расхищалось и продолжает расхищаться все, что плохо прибито, резко отличается от ближневосточной.
Начать дискуссию