Многие руководители не принимают превентивных мер в области защиты информации, пока утечки данных не нанесут ощутимый вред организации. Такую позицию можно объяснить стремлением экономить или нежеланием разбираться в проблемах. Большое количество российских компаний до сих пор не имеет отдельного специалиста по информационной безопасности, поручая этот функционал другим сотрудникам как дополнительную нагрузку. Но эта тенденция постепенно ослабевает, особенно в банковском секторе, где актуальность вопроса защиты данных всегда была очень высокой.
Доля злонамеренных утечек в банках составила 100%
Обеспечение информационной безопасности банков - чрезвычайно актуальная проблема, важность которой постоянно растет, о чем свидетельствует неумолимая статистика. Например, в апреле текущего года аналитический центр компании InfoWatch представил отчет об утечках информации в российских компаниях и госучреждениях, опубликованных в СМИ в 2012 году. По сравнению с 2011 годом количество инцидентов возросло примерно в пять раз, в результате чего Россия заняла третье место в рейтинге стран с наиболее неблагополучной ситуацией по потере данных.
Более 500 тысяч человек в России признаны пострадавшими от утечек. Потери компаний трудно оценить в силу того, что число публичных инцидентов составляет не более 1-2% от их реального количества, а размеры финансовых убытков российские компании традиционно стараются не раскрывать. Аналитики InfoWatch подчеркивают, что при подсчете потерь в результате случившегося инцидента необходимо учитывать упущенную прибыль, затраты на ликвидацию последствий, судебные разбирательства, компенсационные выплаты и т.д. Все это позволяет оценить порядок цифр лишь на глаз. Например, в банковской сфере организация недополучит до 20% новых клиентов из-за ухудшения имиджа банка после оглашения факта утечки. В итоге ущерб может исчисляться сотнями миллионов рублей в первый год после инцидента.
В исследовании отмечается, что 77% случаев утечки в российских компаниях относятся к разряду злонамеренных, тогда как во всем мире их доля колеблется возле соотношения 50/50. При этом крайне высокий процент от общего количества инцидентов в коммерческих организациях приходится на банковский сектор - 34%. Доля злонамеренных утечек в банках составила 100%, то есть согласно выводам аналитиков хищение информации в этом секторе всегда совершалось с целью наживы. Кстати, до четверти всех банковских утечек в мире приходится на российские кредитные учреждения.
Персональные данные утекают легче всего
В отчете InfoWatch отмечается: в России лидирующий тип утекающей информации - это персональные данные (65%), что соответствует мировым тенденциям.
Аналитики находят две основные причины сложившейся ситуации. Во-первых, утечки персональных данных вызывают в последнее время живой интерес общества и СМИ. Во-вторых, это наиболее массовый способ заработка злоумышленников, имеющих доступ к защищенной информации, так как эти данные обладают высокой ликвидностью, их можно быстро и успешно сбыть на «черном» рынке.
Согласно исследованию InfoWatch на утечки коммерческой тайны пришлось чуть более четверти всех случаев (26%), в то время как по миру доля таких инцидентов не превышает 6%.
Разница в цифрах еще раз подчеркивает явный недостаток внимания российских компаний к защите собственных секретов, хотя именно разглашение коммерческой тайны причиняет им наибольший материальный ущерб.
Исследование показывает, что организационные меры сегодня являются слабым местом информационной безопасности. На это указывает уверенное лидерство бумажной документации как самого популярного канала хищений. Через нее утекает почти треть информации (28,4%), причем рост количества таких инцидентов характерен для всего мира.
Общая картина утечек в России соответствует тенденциям, которые наблюдались в глобальных отчетах InfoWatch 3-5 лет назад. Тем не менее аналитики отмечают, что Россия имеет в целом неплохие перспективы в плане обеспечения информационной безопасности при условии грамотной адаптации концепции BYOD бизнес-сообществом и регулирующими органами, а также детальной проработки организационных методов защиты данных.
Неслучайно речь идет о концепции BYOD, которая набирает в нашей стране популярность. Уже почти четверть компаний перешли на формат работы по принципу BYOD (Bring Your Own Device - принеси на работу свое устройство). В России, как и во многих других странах, руководители относятся к этому подходу достаточно позитивно, считают его отличным способом экономии, и если еще не перешли на него, то готовы применять его в будущем. Так что массовое использование личных устройств в работе практически неизбежно. Основная проблема BYOD -угроза безопасности компании. Смешение корпоративной и личной информации не дает возможности установить охранный периметр, а опасность заражения гаджета вирусом повышает риски утечек данных. Поэтому существует необходимость говорить о грамотной адаптации концепции BYOD в России.
«Облака» и соцсети -актуальные проблемы ИБ
Одним из основных вопросов в области ИБ является защита облачных хранилищ данных. Проблема здесь находится не только в технической, но и в юридической плоскости. Кто будет отвечать за утечку информации из «облака»? Складывается следующая ситуация: провайдеры не берут на себя ответственность за сохранность данных, а существующие технологии вместе с человеческим фактором позволяют добыть информацию практически из любой облачной системы.
Другая острая проблема специалистов по безопасности - это социальные сети. Если раньше сотрудники многих организаций были полностью изолированы от соцсетей, то теперь в большинстве компаний стали появляться группы пользователей, которым просто необходимо в силу выполнения профессиональных обязанностей использовать дополнительные каналы коммуникации. Речь в первую очередь идет о sales-менеджерах, маркетологах, HR-службах и руководителях. В банках, где опасаются утечек информации через соцсети, целесообразным является применение DLP-технологий.
Обеспечение прав доступа
Чрезвычайно важной проблемой в обеспечении ИБ в финансово-кредитной организации является управление правами доступа к той или иной системе. Банк имеет высокий уровень автоматизации и использует в работе сразу несколько информационных систем: ERP, CRM, СЭД, электронную почту и другие. Доступом к ним нужно управлять. В крупном учреждении неизбежно большое количество кадровых изменений. В такой ситуации необходим тщательный контроль за информационной безопасностью, в частности за обеспечением прав доступа.
Конечно, в организациях существует регламент, четко описывающий права предоставления доступа, однако зачастую отсутствуют системы, которые непосредственно занимались бы управлением доступом. Не следует забывать, что процедура по согласованию доступа может занимать много времени.
Кроме того, отсутствие технических средств, позволяющих контролировать соответствие согласованного доступа реально предоставленному, приводит к тому, что сотрудникам службы ИБ, администраторам приходится делать проверки визуально. А люди просто физически не могут выполнять такую работу в постоянном режиме. В промежутках, когда проверки не осуществляются, любой злоумышленник может получить доступ, замести следы, и никто не узнает о том, что некая информация была похищена.
По мнению специалистов, в данном случае наиболее эффективными являются превентивные меры: корректное распределение прав пользователей, мониторинг событий доступа, регулярные аудиты и пересмотр прав.
Следует отметить, что контроль доступа необходимо осуществлять не только изнутри банка, то есть со стороны сотрудников организации, но и со стороны клиентов банка, что значительно усложняет проблему.
Оптимальным с точки зрения обеспечения безопасности извне является сочетание нескольких инструментов контроля доступа. В частности, клиент может использовать постоянный логин и пароль, но при этом подтверждать свой доступ к базе данных, например, путем ввода одноразового пароля, высылаемого на зарегистрированный в системе мобильный телефон.
При совершении платежей по банковским картам необходимым является обеспечение их соответствия актуальным протоколам безопасности, реализуемым платежными системами. При использовании Интернета это технология 3-D Secure, а при базовых транзакциях встроенный в карту чип.
Безусловно, внедрение и сопровождение указанного функционала повышает стоимость процесса обслуживания, зато в максимальной степени обеспечивает защиту финансовых интересов как самого банка, так и его клиентов.
Мнение эксперта
Сергей КОТОВ, эксперт по информационной безопасности компании «Аладдин Р.Д.»
При выборе решений по информбезопасности стоит обратить внимание на то, как давно существует на рынке разработка и сам вендор, какую репутацию они имеют, в каком режиме осуществляется поддержка предлагаемого решения. Также очень важно, присутствует ли вендор в регионе внедрения, поскольку внедрение серьезных решений чаще всего требует активного участия разработчика.
При условии что хищения со счетов клиентов вышли в 2012 году на первое место, а online-платежи приобретают все большую популярность, я особое внимание обратил бы на DLP-решения и средства аутентификации. Виртуализация, «облака», удаленный доступ требуют надежной начальной загрузки и серьезных средств аутентификации при получении/передаче сообщений и обновлений ПО.
Существенную проблему для банков составляет контроль среды функционирования приложений на стороне пользователя. Такие инструменты уже появляются и будут активно развиваться. Здесь вряд ли удастся обойтись без повсеместного внедрения электронной подписи и соответствующих средств поддержки. Компания «Аладдин Р.Д.» может предложить рынку все необходимые решения, в том числе для практически любых мобильных устройств.
Начать дискуссию