Утечки информации и борьба с ними

В последнее время наметился всплеск новостей об утечках информации и средствах борьбы с ними. Более того, аналитики отмечают 30%-ный рост рынка таких решений в России. Почему это происходит?

Причин тому можно отметить две. Первая — реальный рост как реальных утечек, так и новостей о них, спровоцированных Ассанжем и проектом WikiLeaks, Меннингом, Сноуденом и другими предателями американских спецслужб (или патриотами своей страны, как считают противники США). Вторая причина связана с насыщением рынка информационной безопасности традиционными средствами защиты (антивирусы, межсетевые экраны, средства предотвращения вторжений, средства криптографической защиты и т.п.). И пользователи, и продавцы уже не знают, что бы такого нового можно было использовать, что и приводит к поиску новых ниш и решений. А системы контроля утечек (DLP) как раз и представляют такую новинку, которая к тому же ложится на хорошо удобренную СМИ почву об утечках конфиденциальной информации.

Все течет, все утекает…

Насколько реальна опасность утечки информации в банке? Как отделить реальность от вымысла? Каково число утечек информации в России? Каков объем потерь от таких утечек? Вопросы непраздные, но универсального или проверенного ответа на них нет. На последние — потому, что мало кто хочет выносить сор из избы и старается скрывать факты утечек до последнего. На первые — потому, что каждая компания уникальна в области выстроенных процессов, используемых подходов по защите информации, опыта специалистов по ИБ и т.п. Поэтому можно только составить перечень банковской информации, которая может быть интересна злоумышленникам:

• Информация о новых банковских продуктах (новые кредитные продукты, новые тарифы, новые программы повышения лояльности клиентов, новые акции).
• Информация о рынке (анализ финансового состояния и другой информации по целевой аудитории, анализ ключевых показателей в регионе, в котором представлен банк).
• Информация о планах развития (планы слияний и поглощений, планы получения иностранных инвестиций, планы сотрудничества с игроками рынка, планы выхода на новые рынки, планы внедрения новых технологий).
• Информация об управлении банком (стратегия управления рисками, финансовое состояние, условия взаимодействия с поставщиками, уровни скидок).
• Информация о клиентах (состояние и движение по счету, персональные данные, кредитные истории).
• Информация о сотрудниках (ценные кадры, уровень текучки кадров, персональные данные руководства, частота и места командировок).
• Информация о системе безопасности.

Как видно, информации, которая может быть интересна потенциальным или реальным злоумышленникам, очень много. Сказать, что именно может быть интересно, не проведя предварительного анализа, нельзя. В один момент времени и одного нарушителя может интересовать база клиентов private banking или клиентов с положительной кредитной историей. В другой момент времени конкурентов может заинтересовать информация о частоте и месте командировок руководящего состава, которую можно сравнить с наличием допофисов или филиалов в местах командировок. Такое сравнение может помочь сделать вывод о планируемом поглощении или открытии нового филиала или офиса. Преступников может интересовать информация о системе безопасности, что позволит обойти ее и украсть денежные средства со счетов клиентов или в процессе их инкассации. Сценариев утечек очень много, и в одной статье описать их все достаточно сложно.

Кто виноват в утечках?

При таком разнообразии типов и целей утечек виновных в них лиц тоже немало. Это могут быть как действующие сотрудники, имеющие по роду своей деятельности доступ к конфиденциальной информации, так и сотрудники бывшие, доступ которых к внутренним ресурсам по разным причинам не был заблокирован. Это могут быть хакеры, а могут быть аудиторы, пришедшие в рамках ежегодных проверок в организацию и решившие заработать на своих привилегиях по доступу к важной информации. Это могут быть партнеры, раскрывшие случайно или целенаправленно доверенные им сведения, а могут быть и вовсе представители многочисленной когорты регуляторов (налоговая, Банк России, Роскомнадзор, СЭС, пожарники, полиция и т.п.), считающие себя безнаказанными. Круг потенциальных нарушителей в любой организации очень широк, а уж в банке тем более. Поэтому так важно после этапа идентификации важной и требующей защиты информации определить круг лиц, имеющих к ней доступ. Только решив эти две задачи, можно приступать к внедрению мер контроля доступа к ценной информации и нейтрализации ее утечек.

Как происходит утечка?

В начале 2014 года компания Cisco опубликовала свой ежегодный отчет об угрозах информационной безопасности, ставший результатом анализа 400 тыс. ежедневно анализируемых вредоносных программ, 16 млрд ежедневно анализируемых Web-запросов, 200 тыс. ежедневно сканируемых IP-адресов, 28 млн ежедневно оцениваемых сетевых соединений и 33 млн файлов, ежедневно проверяемых на мобильных и стационарных устройствах. Имея такую широкую область для анализа, специалисты Cisco делают неутешительные выводы. Вот только два из них:

Если угрозы комплексные, векторы атак разные, а утечки могут произойти по различным каналам, то и система противодействия им должна состоять не из одного продукта, пусть и самого разрекламированного и недешевого

1) Атаки становятся гораздо сложнее, незаметнее и опаснее. Неслучайно появляется термин «целенаправленные» или «скрытые» атаки (APT). Они могут создаваться под конкретную организацию и в течение длительного времени оставаться незамеченными. По статистике, между моментом проникновения и моментом утечки информации проходят в среднем минуты, реже часы. А между моментом утечки и моментом ее обнаружения обычно проходят недели и месяцы. Это реальная угроза, отличающаяся от того, что было еще два-три года назад, когда различные атаки и утечки могли обнаруживаться почти сразу после начала их воздействия на организацию-жертву.

2) Число одновременно используемых способов проникновения во внутренние сети организаций и каналов утечки информации возрастает — от обычной электронной почты или зараженной флешки до приложения, скачанного из интернет-магазина, и передачи ценной информации через несанкционированно установленный 3G/4G-модем или точки беспроводного доступа.

Что делать?

Если угрозы комплексные, векторы атак разные, а утечки могут произойти по различным каналам, то и система противодействия им должна состоять не из одного продукта, пусть и самого разрекламированного и недешевого. Более того, техническая составляющая при борьбе с утечками важна, но не является превалирующей. К сожалению, надо признать, что сегодня нет универсального средства борьбы с утечками, контролирующего все каналы. 95% простых, скорее даже случайных, утечек они предотвратят. Но вот оставшиеся 5% самой ценной информации могут остаться незамеченными и незаблокированными. Поэтому я бы выделил следующие защитные меры по мере их приоритетности:

Организационные

• Определение реально важной информации, утечка которой повлечет за собой нанесение ущерба банку (финансового, репутационного или юридического).
• Определение мест хранения и обработки этой информации, а также каналов ее циркуляции. Консолидация этих мест сильно облегчает их контроль и позволяет экономить средства на защиту.
• Определение списка лиц, имеющих доступ к такой информации, с возможностью его сокращения.
• Проведение обучения и регулярных тренингов для персонала по вопросам защиты данных.

Юридические

• Включение в должностные обязанности каждого сотрудника раздела, посвященного защите данных, а также ответственности за его нарушение.
• Ознакомление каждого сотрудника под роспись с ответственностью за разглашение ценной информации (это стоит делать регулярно).
• Подготовка юридического обоснования для внедрения средств мониторинга действий персонала, используемых ими технических средств или каналов коммуникаций (если такая мера будет реализована).

Технические

• Внедрение принципа минимума привилегий в используемых операционных системах и приложениях — это половина успеха и минимум финансовых затрат (по сравнению с другими техническими мерами).
• Внедрение средств мониторинга аномальной активности, сигнализирующих о любых отклонениях в «поведении» пользователей, приложений, устройств.
• Внедрение средств фильтрации коммуникационных каналов, ограничивающих любые попытки обхода установленных средств защиты периметра, даже размытого.
• Внедрение средств борьбы с утечками (DLP) и контроля действий персонала (включая и чужой), заточенных под поиск целенаправленных или случайных утечек по оставшимся легитимным каналам взаимодействия.

Это неполный перечень основных мер, которые должны быть реализованы для создания эффективности системы нейтрализации утечек информации за пределы банка, включая и его мобильных сотрудников.

К чему готовиться?

В заключение хотелось бы отметить, что к вопросам борьбы с утечками рано или поздно придет любой российский банк, и продиктовано это не только осознанной необходимостью борьбы с хищениями ценной информации, но и требованиями будущего законодательства. Уже сегодня рассматривается внесение поправок в закон «О персональных данных», устанавливающий обязанность (и ответственность за нарушение) уведомлять регулирующие органы об утечках персональных данных клиентов или сотрудников банка. Помимо этого Банк России к концу года планирует выпуск нового нормативного документа, устанавливающего требования к средствам контроля утечек информации и средствам мониторинга социальных сетей, публикующих негативную информацию о кредитной организации, в том числе и на основе утечек. Поэтому хотим мы того или нет, но бороться с утечками придется.