Хищение важной для банков информации по-прежнему остается проблемой не только для пострадавших организаций, но и для рынка в целом
Тема поддержания и совершенствования информационной безопасности в российских финансово-кредитных организациях не нова. Лидерами по количеству неправомерных действий, направленных на хищение и ликвидацию важной для банков информации, оказываются, как свидетельствует статистика, не внешние враги, а инсайдеры. За последние годы в законодательной жизни России произошли довольно значимые положительные изменения, призванные урегулировать правоотношения в сфере инсайда и, в частности, дать ему четкое определение.
В качестве конкретных примеров информации, способной стать объектом манипуляций инсайдеров, эксперты приводят следующие: контакты перспективных клиентов, информация о счетах и операциях по ним, данные о заработке топ-менеджеров и скоринговой системе, сведения о планирующейся смене руководства, новой тактике развития, внедрении передовой технологии. Руководитель сектора информационной безопасности службы безопасности банка «Хлынов» Андрей Попов подтвердил правомерность данного списка и добавил: «На сегодняшний день в нашей стране, в банковской сфере в частности, пожалуй, наиболее актуальна защита клиентских баз. Именно их инсайдеры стараются вывести за пределы банка. На втором месте внутренние документы, регулирующие банковские процессы, параметры банковских продуктов, ноу-хау и т.д.»
Представляют немалый интерес для инсайдеров и базы остатков по счетам. Они могут быть использованы, например, для дальнейшей перепродажи, махинаций с банковскими картами, счетами клиентов. Если такая база становится добычей преступника, то страдает в первую очередь паблисити банка: вкладчик приходит к выводу, что доверил свои средства не вполне надежной организации.
Утечка информации по пластиковым картам, организованная путем хищения PIN-кодов, данных магнитных полос, логинов и паролей к системам ДБО, также может нанести финансовый урон любой кредитной организации.
Говоря о типичном портрете инсайдера, важно отметить, что таковым может оказаться как человек, пришедший в банк со злым умыслом, так и вполне добросовестный сотрудник.
К первому типу правонарушителей относятся люди, которые устраиваются на работу в банк, заранее зная, что они совершат неблаговидный поступок. Подобные случаи, когда одна организация на уровне руководства принимает решение заполучить секретную информацию о другой, отправляя наниматься в соперничающую с ней фирму «засланного казачка», происходят крайне редко. Более распространен случай, когда один специалист оказывает помощь бывшему коллеге из дружеских побуждений.
Ко второму типу относятся люди, сливающие данные неосознанно либо по причине непонимания их важности, либо просто из-за нежелания соблюдать стандарты безопасности. Ситуация осложняется еще и тем, что зачастую очень трудно отделить инсайдерскую информацию от обычной, не представляющей ценности для сторонних респондентов. Самый распространенный случай утечки: сотрудник, решивший уволиться из банка, забирает с собой нужную информацию. Нередко такой человек принимается на работу в конкурирующую фирму, что еще больше усугубляет положение организации, откуда данные таким образом утекли.
Нет ничего удивительного в том, что поводом к инсайду чаще всего становится корысть. Кроме того, имеют место случаи, когда информацию похищают в отместку руководству за нанесенную обиду, например за увольнение или из неприязни. Однако большая часть утечек ценных данных происходит по неосторожности. Это может внушать как оптимизм, так и пессимизм: первое, потому что не подрывается вера в людей в целом, второе, потому что устранить или хотя бы минимизировать воздействие человеческого фактора очень сложно. И здесь важно занять проактивную позицию - не устранять последствия инсайда, а пытаться грамотно предугадать, когда и при каких условиях может произойти утечка данных.
Многие банки придерживаются мнения о том, что технологии технологиями, но среди сотрудников обязательно должна проводиться и старая добрая разъяснительная работа. Правила, предписания, тренинги и семинары подчас выступают не менее эффективным оружием, чем новейшее авторское ПО. Самые сложные информационные препоны создаются зачастую по-детски просто: сотрудник не забрал с рабочего стола диск, забыл ключ. Чтобы избежать подобных огрехов, необходимо морально воздействовать на персонал. Иногда подобная мера выходит боком банку: из боязни лишиться финансовых преференций нарушивший правило сотрудник не рассказывает о содеянном.
Как происходит утрата существенной информации? По мере стремительного развития информационных технологий отвечать на этот вопрос становится не проще, а сложнее. Достаточно распространенным способом по-прежнему остается архивирование информации на рабочем компьютере и ее дальнейшая пересылка на домашний адрес электронной почты. «Виртуальный груз» нередко перемещается на USB-носитель и выносится за пределы банка. Также злоумышленник может забрать из организации портативную технику с хранящейся в ней информацией: рабочий ноутбук, нетбук или планшет. Для неправомерного перемещения данных по принципу «не отходя от кассы» используются мессенджеры, форумы, блоги, социальные сети, Skype, а также внешняя электронная почта. Нередки случаи утечки информации через файлообменные сети и облачные хранилища в Интернете. Напротив, не так часты ситуации, когда происходит прослушивание телефонов, или взламывание компьютеров, или написание софта для сбора информации.
Шпионское ПО - один из самых серьезных и вместе с тем недооцененных по степени опасности способов сливания информации. Оно устанавливается на корпоративных компьютерах и незаметно выводит важную информацию за пределы банка, сканируя ее. Увы, в подобной ситуации антивирусные программы и другие барьеры на пути опасности не в силах противостоять атаке. В настоящее время существуют решения, способные выявлять ботов и блокировать их деятельность.
Андрей Попов (банк «Хлынов») рассказал о некоторых способах защиты информации от посягательств инсайдеров: «Мы используем несколько технологических решений: сканирование уязвимостей, многофакторную аутентификацию, защиту каналов связи (шифрование), журналирование электронной почты, разграничение полномочий при предоставлении доступа к информации, внедрение DLP-системы». Действительно, комплексные системы DLP (data leak prevention), позволяющие блокировать USB-порты, анализировать на наличие ключевых слов почтовые сообщения, ограничивать доступ в Интернет, в довольно широком ассортименте представлены на выбор банков. Эти же ИТ-продукты бесперебойно сигнализируют о попытках слить информацию.
Считается, что степень подверженности инсайдерским атакам зависит от известности финансово-кредитной организации, наличия у нее тех или иных передовых способов ведения профессиональной деятельности и, конечно, от того, просочились ли в банк люди, желающие либо воспрепятствовать его нормальной работе, либо поживиться существенной информацией для последующего более выгодного устройства в конкурирующую структуру. И здесь, как подчеркивают эксперты, немаловажную роль могла бы сыграть корпоративная солидарность (приверженность этическим стандартам), которая препятствовала бы принятию на работу сотрудника, незаконно завладевшего базой данных или важной информацией на прежнем месте работы.
Говоря об особенностях именно российского инсайда в банках, можно отметить то обстоятельство, что ему до сих пор не придается столь же серьезного значения, как на Западе: в отношении инсайдеров, как правило, редко возбуждаются уголовные дела - банки стараются «не выносить сор из избы». Да и правоохранительные органы, по словам банкиров, редко проявляют стремление разбираться в столь сложных делах, как хищение данных. «Многие кредитные организации недооценивают риски утечки информации и не считают защиту от инсайда приоритетной задачей. Но последствия могут быть весьма существенными и не всегда явными: финансовые потери от перехвата базы конкурентами и, как следствие, отток клиентов гораздо сложнее оценить, чем потери от срыва какой-либо конкретной биржевой сделки. Об этом не стоит забывать», - предостерегает Андрей Попов (банк «Хлынов»).
МНЕНИЕ ЭКСПЕРТА
Александр СИНЕЛЬНИКОВ, руководитель направления DLP АМТ-ГРУП
Недобросовестные сотрудники (инсайдеры) часто используют в корыстных целях знания, привилегии и, соответственно, ресурсы, в том числе информационные, доступом к которым обладают в силу выполнения служебных обязанностей. Различные способы внутреннего мошенничества могут заключаться в махинациях с финансовыми документами, присвоении средств, раскрытии конфиденциальной информации об организации и клиентах, что влечет за собой прямые и косвенные финансовые потери.
Противодействие инсайдерам может быть оптимально организовано в первую очередь при наличии правильно настроенной системы предотвращения утечек (data loss prevention - DLP) и понимания того, какая именно информация наиболее критична, где она находится и в каких бизнес-процессах участвует. Это позволит начать борьбу с утечками данных, проводить ретроспективный анализ для выявления инсайдеров, инвентаризацию конфиденциальной информации и мест ее ненадлежащего хранения.
Применительно к банковской сфере эффективными являются специализированные системы для борьбы с внутренним мошенничеством. Эти системы позволяют автоматизировать выявление подозрительных действий сотрудников и клиентов, в том числе связанных с финансовыми транзакциями. Системы данного класса позволяют получить контроль за привилегированными пользователями, имеющими возможность уничтожить следы своих действий в информационных системах, а также за действиями сотрудников аутсорсинговых компаний, причастных к настройке, эксплуатации и сопровождению информационных систем. Каждый просмотренный пользователем экран и каждое нажатие клавиши регистрируются и анализируются в режиме реального времени, после чего становятся доступными для повторного воспроизведения конкретных сеансов работы сотрудников.
На наш взгляд, наиболее эффективным для борьбы с инсайдерами является применение комплекса технических средств, дополненных процедурами выявления новых схем мошеннических действий инсайдеров для предотвращения их в дальнейшем.
Начать дискуссию