Банки

Бойцы невидимого фронта

Информационная безопасность — постоянная головная боль банков. Хакеры, организующие DDoS-атаки, вирусы и другие блуждающие по Интернету угрозы могут причинить немало неприятностей кредитной организации. Однако на первом месте по числу инцидентов, связанных с утечкой и уничтожением ценной информации, находятся инсайдеры.

Информационная безопасность — постоянная головная боль банков. Хакеры, организующие DDoS-атаки, вирусы и другие блуждающие по Интернету угрозы могут причинить немало неприятностей кредитной организации. Однако на первом месте по числу инцидентов, связанных с утечкой и уничтожением ценной информации, находятся инсайдеры. Практически каждый банк в той или иной степени использует механизмы по защите от утечек информации и действий инсайдеров. Без соответствующих мер информация будет «утекать», что рано или поздно скажется на функционировании и благополучии банка. Какое решение для защиты выбрать, каждый банк решает для себя, исходя из своих потребностей и возможностей.

Понятие инсайда

Прежде всего, следует определиться, что такое инсайд. Существуют несколько общепринятых определений инсайда в зависимости от сферы применения и его разновидностей. Есть и законодательно закрепленное определение. В Законе от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» говорится, что «под инсайдерской информацией понимается точная и конкретная информация, которая не была распространена или предоставлена (в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну), распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов, иностранной валюты и (или) товаров…».

Понятие инсайда в сфере информационной безопасности - это, скорее, действия персонала, который использует свое должностное положение в личных целях, обычно наносящих урон организации, отмечает начальник управления информационной безопасности ОТП Банка Сергей Чернокизинский. При этом эксперт отмечает, что вступивший 27 января 2011 года в силу закон об инсайде много внимания уделяет именно манипулированию рынком и имеет более масштабный охват, чем инсайд в банковской деятельности.

По словам председателя правления ФлексБанка Марины Мишурис, вопросы инсайда регулируются положениями о коммерческой и банковской тайнах. С другой стороны, эксперт рассказала, что «банки, как правило, стараются решать вопросы утечек информации силами собственных служб безопасности и не доводить дело до суда, поскольку это требует больших затрат, в том числе для сбора доказательной базы, и ведет к огласке нежелательной для репутации банка информации». Так что получается, что законодательство здесь во многом «спящее».

Марина Мишурис считает, что относительно новый Закон «О персональных данных» стараниями регуляторов в большой степени превращен из инструмента защиты данных в инструмент создания административной нагрузки на организации -операторов персональных данных. Имеется в виду, что приоритет имеет не реальная защищенность данных, а наличие необходимых внутренних документов, лицензий и сертификатов, даже если они никак не влияют на уровень защищенности кредитной организации.

Помочь по старой дружбе

Степень опасности инсайда в конкретном банке зависит от многих факторов, считает Сергей Чернокизинский (ОТП Банк): например, от того, насколько известен банк, использует ли он какие-либо инновационные методы ведения банковской деятельности, есть ли у кредитной организации внешние враги или недоброжелатели, насколько банк интересен злоумышленникам и т.д. В определенных условиях, считает эксперт, риски, которые несет инсайд для банка, могут быть очень высоки. «Не могу не процитировать Стандарт Банка России по информационной безопасности, который отражает эту идею: «Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал».

Учредитель и генеральный директор i-Accelerator, преподаватель Открытого университета «Сколково» и Государственного университета управления Виталий Виноградов уверен, что «инсайд может быть критично опасен: ценные бумаги являются объектами различных сделок на фондовом рынке (купля-продажа, залог и т.п.), и инсайдерская информация создает хорошую почву для злоупотреблений, последствия которых могут быть весьма масштабны».

По мнению же директора департамента нефинансовых рисков Абсолют Банка Андрея Бажина, не стоит преувеличивать риски инсайда. «Как таковой промышленный шпионаж - достаточно редкое явление, когда один банк пробует целенаправленно получить ценную информацию о другом банке (на уровне руководства принимается решение и финансируется соответствующая активность). А вот личный инсайд - более частое явление, когда один сотрудник помогает другому по старой дружбе», -рассказывает специалист.

«Чувствительные места» банков

Если все-таки промышленный шпионаж имеет место быть, то он, конечно, представляет для банков серьезную угрозу, поскольку кредитные организации обладают определенными ресурсами и активами, утечка которых может привести к утрате конкурентных преимуществ или напрямую к оттоку клиентов, снижению прибыльности и в конечном итоге к отзыву лицензии. На рынке всегда есть повышенный интерес к определенным данным, говорит Андрей Бажин (Абсолют Банк). В качестве примера эксперт привел информацию о счете и операциях по нему, контакты хороших клиентов, сведения о заработной плате топ-менеджеров, управленческую отчетность, данные о готовящейся смене руководства и новой стратегии, о подготовке к выпуску нового продукта и к внедрению новой технологии, об успешных переговорах, о слиянии компаний или предстоящей покупке контрольного пакета акций и т.д.

Среди наиболее чувствительных к промышленному шпионажу ресурсов Марина Мишурис (ФлексБанк) называет следующие. Во-первых, скоринговые системы, используемые при оценке кредитоспособности заемщиков как в рамках экспресс-кредитования, так и для принятия решения о кредитовании на более существенные суммы. «Обычно такие системы строятся на основании накопленной за время существования банка статистики. В случае ее утечки банк может потерять конкурентные преимущества, например, в части скорости принятия решений за счет данной ско-ринговой системы», - объясняет эксперт.

Во-вторых, собственные уникальные ИТ-разработки кредитной организации, например по системе интернет-банка.

В-третьих, база остатков по счетам представляет интерес либо для ее перепродажи, либо для попыток использования с целью, например, шантажа состоятельных клиентов или мошеннических операций с банковскими картами или счетами юридических и физических лиц. «В этом случае банк несет в первую очередь репутационные потери как не обеспечивающий надлежащую охрану клиентских данных», - подчеркивает Марина Мишурис (ФлексБанк).

Наконец, информация, полученная из клиентской базы, может быть использована для «переманивания» клиентов в другой банк за счет предложения им более привлекательных финансовых условий обслуживания. В основном это касается корпоративных клиентов - юридических лиц.

Особенности российского инсайда

По мнению Виталия Виноградова (i-Accelerator), в России есть политическая воля к внедрению закона 224-ФЗ в повседневную практику, что дает основания для оптимистичных взглядов, согласно которым Россия в вопросе защиты информации от инсайдеров вскоре будет мало чем отличаться от стран со сформировавшейся экономической и финансовой корпоративной культурой. «Во всяком случае, очевидные тенденции к ужесточению санкций за злоупотребление ею мы уже наблюдаем, - считает эксперт. -Время покажет, формально или нет будет использоваться этот закон, но пока что российский бизнес добросовестно подходит к исполнению и 224-ФЗ, и предписаний ФАС. Дополнительным примером для них являются действия западных компаний, которые внедряют внутренние положения по борьбе с инсайдом».

Эксперты по-разному оценивают ситуацию: некоторые считают, что каких-либо особенностей российского инсайда в банковской сфере не существует, и мы движемся «в русле мировых тенденций». Другие указывают на то, что некие специфические черты все же присутствуют. Так, на Западе достаточно жесткое законодательство - за нарушение коммерческой тайны можно легко сесть за решетку, отношение к конфиденциальности более серьезное, особенно в части именно инсайдерской информации (той, которая влияет на стоимость сделок на рынке ценных бумаг), считает Андрей Бажин (Абсолют Банк).

Показателен пример, когда в США суд приговорил к 11 годам тюрьмы финансиста Раджа Раджаратнама, обвинявшегося в торговле инсайдом, рассказывает эксперт Абсолют Банка. Это самый большой срок за подобное преступление в американской судебной практике. По данным обвинения, уроженец Шри-Ланки заработал около 75 млн долларов на сделках, совершенных с использованием информации от инсайдеров. В скандале были замешаны такие компании, как Goldman Sachs, Intel Corporation и IBM.

В России и западных странах довольно ощутима разница корпоративных культур. «Сотрудник западной компании понимает, что информация дает его организации конкурентное преимущество, и не готов делиться ею, так как видит связь между положением компании на рынке и своим положением», - объясняет Андрей Бажин. Это можно назвать «корпоративным патриотизмом». В такой ситуации, для того чтобы получить инсайдерскую информацию, действительно нужен промышленный шпионаж. В России можно обойтись гораздо меньшими затратами: достаточно хорошо знать психологию и иметь широкий круг общения.

Деньги и месть 

Первая и самая распространенная причина, побуждающая сотрудников «сливать» информацию, - материальная заинтересованность. Вторая часто встречающаяся причина инсайда - месть руководству, поводом для которой становится увольнение или личная неприязнь.

«Среди наиболее часто встречающихся инсайдеров я бы выделил сотрудников банка, которые по тем или иным причинам покидают банк и стараются забрать с собой как можно больше ценной информации, зачастую чтобы использовать ее на новом месте работы -обычно в банке-конкуренте», - говорит Сергей Чернокизинский (ОТП Банк). Такие инсайдеры стараются вывести за пределы банка или внутренние документы, или клиентскую базу, или какие-то иные наработки, которые в дальнейшем можно использовать с выгодой для себя. «При этом случаи продажи банковской информации (в том числе баз данных) достаточно редки по сравнению с другими способами получения выгоды от использования информации», - подчеркивает эксперт ОТП Банка.

По мнению Андрея Бажина (Абсолют Банк), в качестве типичного инсайдера может выступить, с одной стороны, «рубаха-парень», готовый помочь и по незнанию рассказывающий, о том, о чем его просят. С другой стороны, человек с корыстными мотивами, имеющий возможность достать информацию за деньги.

Мнение эксперта

Антон РАЗУМОВ, руководитель группы консультантов по безопасности Check Point Software Technologies

Инсайдерами в финансовых и других организациях могут оказаться как подготовленный специалист, устроившийся на работу, чтобы похитить данные, так и обычный лояльный сотрудник, отправивший документ на ошибочный адрес. К счастью, как показывают исследования, большинство случаев утечки данных (до 98%) приходятся именно на непредумышленные действия. Поэтому важно не только выявить нарушения корпоративной политики безопасности, но и помочь пользователям не совершать их, предупреждать о возможных последствиях, обучать.

Основная сложность борьбы с утечками данных состоит в том, что зачастую даже ответственным сотрудникам банка затруднительно провести четкую границу между открытыми и закрытыми данными. Часто возникают ситуации, когда один и тот же документ может и должен быть отправлен определенному лицу за пределы банка, в то время как отправка его другому адресату будет являться серьезной утечкой. Именно поэтому патентованная технология Check Point User Check сразу же нашла своих клиентов и обеспечила успех решению Data Loss Prevention Software Blade.

Есть еще один серьезный канал возможной утечки данных -шпионское ПО, установленное на корпоративных компьютерах, преимущественно ботнеты. При подобных атаках с компьютеров сотрудников постепенно «утекают» данные о клиентах, платежах и другая финансовая информация. В данном случае антивирусы и прочие решения для обеспечения ИБ могут оказаться практически бессильными. Необходима целенаправленная защита от ботов, которую обеспечивает решение Check Point Anti-bot Software Blade, не только идентифицируя зараженные компьютеры, но и блокируя взаимодействие бота с командным центром.

Таким образом, для предотвращения утечек данных необходимо их анализировать, блокировать передачу и копирование, а также взаимодействовать с пользователями и обеспечивать безопасность рабочих станций. При этом часть функций эффективнее реализовать на компьютерах сотрудников, а часть - на шлюзах безопасности. Данные задачи можно решить с помощью архитектуры Check Point Software Blade. Ее использование всего на одном шлюзе (а значит, с удобным централизованным управлением) позволит активировать множество механизмов безопасности, выбирая и комбинируя их исходя из актуальных бизнес-задач. IPS, URL Filtering&Application Control, Antivirus&Anti-Malware, Anti-Bot, Data Loss Prevention, Check Point Endpoint Security - все эти решения прекрасно дополняют друга и позволяют получить действительно всеобъемлющую защиту.

Каналы «утечки»

Информация обычно «утекает» по двум видам каналов - внешним и внутренним. К внешним каналам, как правило, относят физические носители, с помощью которых транспортируют информацию в цифровом виде: CD и DVD, «флешки», корпоративные ноутбуки. Любой из этих предметов можно вынести из офиса под благовидным предлогом.

Внутренние каналы утечки данных - это электронная почта, форумы, блоги, социальные сети, мессенджеры. Серьезные проблемы при мониторинге программ для обмена информацией вызывает Skype из-за шифрованного алгоритма передачи сообщений.

По мнению Сергея Чернокизинско-го (ОТП Банк), основными каналами утечки данных являются электронная почта, файлообменные сети и облачные хранилища сети Интернет, а также выгрузка данных на USB-носители. Случаи же хищения материальных носителей, например папок с документами или жестких дисков, практически не встречаются. Происходит это по двум причинам, объясняет эксперт: во-первых, такие кражи легче обнаружить, во-вторых, их проще подвести под административное или уголовное нарушение.

«Наиболее опасными являются случаи утечки информации, использование которой может явно привести к финансовым потерям или неправомерным операциям с денежными средствами, -отмечает эксперт. - Сюда можно отнести кражу информации по пластиковым картам (ПИН-коды, данные магнитных полос и т.д.), завладение данными по учетным записям в системах дистанционного банковского обслуживания (логины и пароли к системам ДБО) и т.п.».

Андрей Бажин (Абсолют Банк) среди каналов утечки информации выделяет, прежде всего, кражу ноутбуков и смартфонов, мобильных носителей. Реже встречаются проникновение в компьютеры, когда специально пишется софт для сбора информации, а также прослушивание телефонов.

Способы кражи

Наиболее популярными способами кражи информации являются использование электронной почты или копирование информации на USB-носители.

Популярность эти схемы приобрели благодаря своей простоте (копировать информацию на флешку в наше время не умеет только ленивый) и доступности (электронная почта есть почти у каждого сотрудника учреждения).

Типичная схема кражи информации тривиальна, рассказывает Сергей Чер-нокизинский (ОТП Банк): «Обычно инсайдер заранее подготавливает пакет информации на своем рабочем компьютере, архивирует ее (иногда с применением пароля), после чего высылает информацию по электронной почте со своего рабочего адреса на личный адрес почты. Примерно такая же схема используется и с копированием информации на USB-носители: вся информация подготавливается, помещается на носитель и выносится за пределы банка».

Методы защиты

Сейчас на рынке присутствует достаточно много решений по защите от инсайдеров. Как правило, это комплексные системы DLP (data leakage protection), которые позволяют централизованно блокировать USB-порты, анализировать почтовый трафик (в том числе проводить контекстный анализ почты и поиск по ключевым словам), ограничивать доступ к сети Интернет (по различным параметрам), а также генерировать сигналы опасности, если возникло подозрение на инсайдерскую деятельность.

Правда, развертывание и дальнейшая эксплуатация подобных решений -достаточно дорогое удовольствие в плане как финансовых, так и людских ресурсов, отмечает Сергей Чернокизинский (ОТП Банк): «Кроме того, для наиболее эффективного использования комплексных систем для защиты от инсайдеров необходимо четко и ясно представлять, какие информационные ресурсы важны для банка, где они находятся и как защищаются. А это само по себе большая и трудоемкая задача».

Также при выборе решения для защиты очень важно сопоставить, какой потенциальный ущерб может быть нанесен банку от действия инсайдеров и какова стоимость реализации защиты от их действий. Очевидно, что если стоимость защиты существенно превосходит стоимость ущерба, то смысла в развертывании таких систем нет, уверен Сергей Чернокизинский. Проще застраховать или принять риски возможного ущерба.

Поэтому если еще несколько лет назад интерес к теме комплексных DLP был высок, в том числе как к достаточно новой и модной теме, то сейчас, по наблюдениям эксперта ОТП Банка, волна интереса пошла на спад.

Тем не менее без систем защиты от инсайдеров не обойтись. Однако при этом можно использовать более дешевые решения по защите. Такие средства, конечно же, не в той же мере эффективны, как комплексные решения, и проигрывают по функционалу, но в то же время они позволяют реализовать основные меры по защите от инсайдеров за существенно меньшие деньги. «Например, можно ввести контроль или ограничение объема пересылаемой информации по электронной почте или при копировании на USB-носители. Это минимизирует риски утечки больших объемов информации, - рассказывает Сергей Чернокизинский. - Можно полностью ограничить сотрудников в доступе к USB-портам или Интернету, если данный доступ им не требуется для выполнения их служебных обязанностей. В целом следует руководствоваться принципом предоставления сотрудникам минимально достаточного уровня доступа для выполнения их работы».

По мнению Виталия Виноградова (i-Accelerator), лучшими методами защиты организации от утечек являются специальное контролирующее ПО, полный либо частичный запрет на выход в Интернет и специальные настройки электронной почты. «Нельзя недооценивать и опасность социальной инженерии, которая относительно нересурсоемка», - считает эксперт.

Начать дискуссию