Актуальные проблемы защиты данных и контроля доступа к информационным системам банка.
Защита данных и контроль доступа к информационным системам в банке -это постоянный процесс, а не конечный продукт. Поэтому выстраивать систему безопасности нужно посредством использования современного и проверенного аппаратного и программного обеспечения, написания политики ИБ. С технической точки зрения это можно сделать за счет внедрения DLP, SIEM-решений, выделения бизнес-ролей доступа пользователей, путем наведения порядка в правах пользователей, внедрения IDM-решения, внедрения единой аутентификации во всех системах - Single Sign On.
Инсайдеры и непрофессоналы - главная угроза безопасности
Среди наиболее актуальных проблем защиты данных и контроля доступа к информационным системам банка пресловутый человеческий фактор по-прежнему играет роль «первой скрипки». По мнению специалистов служб безопасности банков, никакая защита данных от несанкционированного доступа, никакие системы аутентификации и программные средства защиты информации не способны контролировать инсайдеров и сотрудников с низким уровнем осознания личной ответственности, компетентности, профессиональной подготовки.
Такой точки зрения придерживается директор департамента экономической и информационной защиты бизнеса Росгосстрах Банка Артем Гонта. Выход, по мнению эксперта, один: повышение уровня ограничений при работе в ИС, уменьшение области доступа, отключение всех «лишних» устройств, интерфейсов и шлюзов. «Некоторая доля рисков в процессе эксплуатации информационных систем возникает не только вследствие несанкционированных действий с финансовой информацией, но и при работе сотрудников, совершающих непреднамеренные ошибки. Они также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации», -констатирует специалист.
Начальник управления информационной безопасности банка «Ренессанс Кредит» Дмитрий Стуров выделяет два наиболее актуальных вопроса контроля доступа. Во-первых, это распределение прав доступа. Проблема здесь заключается в том, что зачастую пользователи получают определенный набор прав, который является избыточным для выполнения их служебных обязанностей. «Сотрудники переходят из одного подразделения в другое, им предоставляются новые права, при этом старые не изымаются. Данная проблема усугубляется еще и тем, что в каждой системе пользователя заводят под отдельной учетной записью, что значительно усложняет процесс управления доступом», - объясняет эксперт. Второй момент, который отмечает Дмитрий Стуров, - использование простых паролей, их небрежное хранение, передача коллегам для «взаимопомощи» и т.п.
«В отношении защиты данных достаточно злободневным является вопрос удаленного доступа и удаленной работы сотрудников, - подчеркивает начальник управления информационной безопасности банка «Ренессанс Кредит». - В данном случае понятие периметра сети компании практически размывается. В сеть попадают домашние компьютеры пользователей, контролировать состояние которых весьма сложно и дорого».
В ситуации, когда информационные системы банка становятся все более сложными, «обрастают» разнообразным функционалом, а роль пользователей постоянно увеличивается, наиболее важной проблемой, по мнению директора департамента информационных технологий СДМ-Банка Олега Илюхина, является поддержание структуры прав доступа в актуальном состоянии. Вторая, не менее важная проблема -это выстраивание технологического процесса таким образом, чтобы исключить доступ пользователей, работающих в банковских приложениях, во внешнюю среду, главным образом в Интернет.
«Мобилизацию» не остановить
Серьезной угрозой для защиты банковских данных на сегодняшний день является взрывной рост использования мобильных устройств для удаленного доступа к информационным системам банка.
«Современные мобильные телефоны и планшеты на базе операционных систем Android и iOS позволяют удаленно работать с банковской почтой, системами интернет-банкинга, рабочими календарями и планировщиками дел, а также с самым широким спектром банковских документов - от приказов и распоряжений до таблиц с финансовыми данными», - рассказывает начальник управления информационной безопасности ОТП Банка Сергей Чернокозинский. «И этот процесс не остановить, - подчеркивает эксперт. - Мобильность - это требование современного бизнеса».
«К сожалению, как это часто бывает при стремительном развитии, безопасность в устройствах на базе Android и iOS немного запаздывает - сначала предлагается функционал в виде приложений для устройств, а уже в обновленных версиях приложений появляется их защита. Иными словами, не всегда принципы безопасности учитываются при первоначальной разработке приложений. Это приводит к тому, что зачастую удаленный доступ к информационным системам банка недостаточно защищен или защита отсутствует в принципе», - говорит эксперт.
В отличие от традиционных операционных систем на базе ОС Windows или Unix, мобильные операционные системы пока не имеют сравнимых по уровню защиты механизмов разграничения доступа, управления правами, систем аутентификации и т.п. «С другой стороны, - развивает свою мысль Сергей Чернокозинский, - те механизмы защиты, которые все же присутствуют, обычно отключаются пользователями, чтобы облегчить работу с мобильным устройством. Сейчас наблюдается такая ситуация: во многих случаях достаточно просто украсть мобильное устройство, чтобы без паролей и систем идентификации и аутентификации получить доступ к ценной банковской информации. Нередко мобильное устройство, используемое для удаленного доступа к банковской информации, не является собственностью банка, а значит, банк не всегда вправе требовать от сотрудника контроля его мобильного устройства для соответствия требованиям безопасности. Поэтому в настоящее время использование удаленного доступа при помощи мобильных устройств является достаточно сложной задачей для банка в плане обеспечения информационной безопасности и несет в себе существенные риски неправомерного доступа к важным банковским документам».
Этой же точки зрения придерживается Дмитрий Стуров (банк «Ренессанс Кредит»): «Действительно, многие сотрудники используют для работы мобильные устройства (ноутбуки, планшеты, смартфоны), и средства защиты информации на них не так сильно развиты, как системы на персональных компьютерах».
Схемы защиты
По мнению Олега Илюхина (СДМ-Банк), внедрение любой системы защиты происходит по следующей схеме: постановка задачи (что хотим контролировать) -выбор технического решения - изменение технологии (что изменится для пользователей в процессе внедрения) - процедура контроля (как контролировать инциденты в новой системе защиты). Очевидно, что и для задачи защиты данных процесс будет выстроен аналогично.
Сергей Чернокозинский (ОТП Банк) считает, что на первом этапе надо очертить круг проблем. «Сначала необходимо понять, какие данные являются для банка критичными и в каких информационных системах они обрабатываются. Вместе с этим требуется оценить, какие возможные потери (денежные, репутационные) понесет банк в случае неправомерного доступа к данным, как такой доступ может быть реализован и какова вероятность осуществления того или иного способа неправомерного доступа. Только после решения задач на первом этапе становится ясно, что, где и от чего надо защищать», - поясняет специалист.
«На втором этапе надо понять, как защищать, - продолжает свою мысль эксперт. - Здесь универсальных рецептов нет - конкретные средства защиты выбираются индивидуально исходя из функционала, сложности обслуживания, стоимости владения и других параметров. - При этом не надо забывать, что необходим комплексный подход, включающий реализацию организационных и технических мер защиты, а также помнить простой принцип -стоимость реализованных мер защиты не должна превышать стоимость потерь от несанкционированного доступа к информации».
Безопасность - не самоцель
Важным моментом является то, что при проведении такого рода работ банк часто обращается за помощью к внешним консультантам. Специалисты банков задаются вопросом, какими критериями следует руководствоваться при выборе надежного партнера, которому можно было бы доверить одну из самых критичных областей бизнеса.
Артем Гонта (Росгосстрах Банк) дает несколько советов в этой связи. Во-первых, компания-консультант должна иметь хорошую репутацию на рынке. Во-вторых, нужно убедиться в обширном опыте работы в сфере ИБ как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы ИБ. «Кроме того, наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов является определенной гарантией опыта компании-консультанта, а также дает право на расширенную поддержку и консультации с разработчиками решений, - подчеркивает эксперт. - И, главное, необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме».
Исходя из собственного опыта, директор департамента экономической и информационной защиты бизнеса Росгосстрах Банка делает следующий вывод: наиболее востребованными сегодня являются услуги по построению системы управления ИБ (СУИБ), соответствующей стандарту ЦБ РФ СТО БР ИББС-i.o-20o6, а иногда и «с прицелом» на дальнейшую сертификацию по ISO 27001. «В результате выделяются процессы обеспечения ИБ, описывается их связь с ИТ-процессами, строится ролевая модель, - объясняет Артем Гонта. - Это обеспечивает «прозрачность» СУИБ, основанной на оценке рисков, позволяет эффективно отслеживать изменения, вносимые в систему ИБ, дает преимущество в страховании информационных рисков, а также позволяет эффективно управлять системой в критичных ситуациях, снижать и оптимизировать стоимость поддержки системы ИБ».
Дмитрий Стуров (банк «Ренессанс Кредит») считает, что наибольшие проблемы возникают при встраивании СУИБ в общую систему управления банком, то есть при включении процессов ИБ в общие процессы банка.
По мнению Сергея Чернокозинского (ОТП Банк), в первую очередь, необходимо понимать, что безопасность - не самоцель для банка. «Безопасность является вспомогательным процессом или сервисом, который позволяет банку достигать поставленных целей, - признает специалист. - Поэтому общая трудность при построении систем управления ИБ - это пренебрежение безопасностью со стороны сотрудников банка или отношение к ней как к процессу, который только «вставляет палки в колеса и мешает жить». Эти проблемы, по мнению эксперта, можно достаточно эффективно решать путем информирования сотрудников о важности безопасности, приведения примеров из практики, путем повышения уровня осведомленности, введения личной ответственности, а также при помощи административного ресурса.
Олег Илюхин (СДМ-Банк) среди основных трудностей построения систем управления ИБ в банках выделяет следующие. Во-первых, отсутствие или недостаточный контакт с руководством, которое управляет выделением бюджета на ИБ. «Как правило, подразделение ИБ затрудняется сформулировать «на языке бизнеса» необходимость тех или иных проектов», - подчеркивает эксперт. Во-вторых, очевидное сопротивление пользователей новым ограничениям ИБ, которые зачастую мешают им работать. Наконец, проблемы возникают в рамках диалога ИБ с ИТ-службой: последняя обычно воспринимает ИБ как «злодеев», которые накладывают ограничения на их работу.
Стандарты ИБ как критерии защиты
В процессе защиты данных важную, а может быть, и определяющую роль играет соблюдение стандартов ИБ. Они позволяют комплексно подойти к защите информации, не упустить из вида множество важных моментов и нюансов, а также структурировать и формализовать процесс защиты данных. Стандарты ИБ описывают общие вопросы управления информационной безопасностью, в том числе подходы к применению средств защиты данных. В некоторых из них, например в PCI DSS, перечисляются механизмы защиты информации, которые должны быть внедрены в банке.
«Стандарты определяют, в первую очередь, критерии защиты: что защищать, а что не защищать, что считать потерей данных, а что допустимым инцидентом, -говорит Олег Илюхин (СДМ-Банк). -Только после определения этой «системы координат» можно внедрять систему защиты данных».
Артем Гонта (Росгосстрах Банк) рассказывает, что в соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает ряд мер: определение целей обеспечения ИБ компьютерных систем, создание эффективной системы управления ИБ, применение инструментария обеспечения ИБ и оценки ее текущего состояния. Кроме того, необходимо выполнить расчет совокупности детализированных качественных и количественных показателей для оценки соответствия ИБ заявленным целям.
МНЕНИЕ ЭКСПЕРТА
Александр ЗАРОВСКИЙ, вице-президент по международным продажам InfoWatch
Давайте скажем честно: даже в таком зарегламентированном деле, как информационная безопасность банков, есть место двойным стандартам - что позволено высшему менеджеру, не позволено рядовому сотруднику. Причины банальны. У бизнеса свои законы, и если что-то мешает его развитию, это «что-то» просто игнорируется.
В случае с операционистом все просто: есть жесткие правила, политики безопасности, обязательные к исполнению. Например, доступ к АБС возможен только после идентификации сотрудника и исключительно к определенному перечню информ-ресурсов. Но что делать с менеджером, который работает удаленно, «в полях», добывая в бесконечных командировках новых клиентов? Что делать с руководителями, чьи ноутбуки и айфоны давно вписаны в корпоративную архитектуру и представляют собой кладезь конфиденциальной, высокочувствительной информации? Ограничить таких сотрудников - значит, нанести ущерб эффективности бизнеса.
Ни в какие стандарты, разработанные для защиты информации компании путем возведения защитного барьера - периметра, - поведение высшего руководства никогда не впишется. Банки, особенно ориентированные на работу с юрлицами, выросли из парадигмы периметра, эти штанишки им уже тесны. В итоге ИБ-системы банка зачастую не контролируют информацию, которой обладают его сотрудники. Скажем, поехал менеджер на встречу с клиентом, имея на внешнем носителе все необходимые ему сведения -данные о заказчике, регламенты оценки надежности клиента, планы развития своей компании и пр. Естественно, подключение устройств осуществляется по VPN через сервисы банка. Конечно, ни банк, ни сам менеджер не заинтересованы в том, чтобы эта информация ушла на сторону. Но правда в том, что утечки происходят все чаще и чаще. Вырисовывается интересное положение систем информационной безопасности вообще и DLP-систем в частности. Если уж мы решили, что чувствительная информация (будь то данные о клиенте или бизнес-информация самого банка) -это важнейший нематериальный актив, мы неизбежно должны рассматривать системы ИБ как инструмент экономической безопасности. Необходимо понять, что наибольшую опасность для банковского бизнеса представляют не утечки «абы какой» информации, а «стихийный», неуправляемый оборот чувствительных данных за пределами отстроенного защищенного контура. И задача для современных систем банковских ИБ должна ставиться так: выявить наиболее чувствительную информацию и обеспечить контроль перемещения этой информации вне зависимости от того, где она находится физически.
Начать дискуссию