Технические средства защиты информации должны идти в ногу с организационными мерами, мотивационной и даже воспитательной работой в банковском коллективе. Человеческий фактор – рассеянность, нарушение «неудобных» регламентов безопасности – если и не приведет к немедленной потере данных, то откроет инсайдерам путь к конфиденциальной информации.
«Облака» и периметры
Защита от внешних злоумышленников продолжает быть важной задачей специалистов по информационной безопасности банков. Но охрана периметра информационной системы кредитной организации в условиях, когда данные стали обладать свойствами сверхтекучести и сверхпроводимости благодаря новейшим телекоммуникационным технологиям, невероятно осложняется. Периметр становится размытым, проницаемым не по причине атак извне, а в связи с активным использованием сотрудниками банка электронной почты, Skype и других популярных видов электронных пейджеров, соцсетей, облачных технологий хранения информации, мобильных гаджетов.
Разумеется, это не только банковская проблема. В начале августа текущего года председатель Комитета Госдумы по безопасности и противодействию коррупции Ирина Яровая сообщила СМИ, что депутаты хотят ввести уголовную ответственность для чиновников за распространение информации для служебного пользования путем пересылки через негосударственные почтовые серверы и сервисы облачного хранения данных. По мнению И. Яровой, использование указанных технологий и услуг эквивалентно выкладыванию документов в открытый доступ. Фактически пересылка информации для служебного пользования по частным каналам приравнивается к раскрытию государственной тайны с соответствующим наказанием по Уголовному кодексу РФ.
Сложно оценить подобные инициативы с точки зрения эффективности, особенно в коммерческом применении. На первый взгляд они напоминают попытки высечь воду в воспитательных целях. Тотальный запрет новых средств связи и электронных технологий подобен самоизоляции при эпидемии гриппа: да, есть шанс избежать заражения, но путем полного выключения из общественной жизни, что современное финансово-кредитное учреждение себе позволить не может. Прогрессивные специалисты по информационной безопасности говорят о том, что защита конфиденциальных данных – это не проект, а регулярный творческий процесс сочетания организационных, юридических, технических мер, адекватных текущей ситуации и ближайшему прогнозируемому будущему.
Одним из наиболее действенных методов специалисты считают определение приоритетности уровней защиты той или иной информации и разграничения прав доступа к ней. Необходимо понять, какие данные являются для банка критичными и в каких информационных системах они обрабатываются. Вместе с этим требуется оценить, какие возможные потери, финансовые и нематериальные (например, репутационные, имиджевые), понесет банк в случае неправомерного доступа к данным, как такой доступ может быть реализован и какова вероятность осуществления того или иного способа неправомерного доступа. Только после решения задач на первом этапе становится ясно, что, где и от чего надо защищать.
К примеру, высший уровень конфиденциальности традиционно имеет бухгалтерская информация, платежки и пр. Это значит, что именно на защиту подобного массива данных банк тратит больше средств. Но велики ли будут потери, если произойдет утечка платежного поручения на 500–700 рублей? А вот то, на чем кредитно-финансовые организации теряют миллиарды рублей (торговля клиентской информацией), остается практически без внимания, сетуют специалисты по ИБ.
Права и регламенты
При таком аналитическом подходе к построению защиты от инсайдеров информационная безопасность из технологического проекта вырастает в инструмент экономической безопасности, который в ряду прочих нацелен на достижение бизнес-целей банка. Положим, в отношении фронт-офиса и операционистов можно установить более жесткие политики и методики: доступ к АБС возможен только после идентификации сотрудника и исключительно к определенному перечню информационных ресурсов. В современной практике принята идентификация пользователя при входе в систему по уникальной комбинации логина и пароля, путем использования карты доступа или флешки-токена. Некоторые банки считают оправданным применение достаточно дорогой технологии биометрической идентификации, обеспечивающей высокий уровень достоверности авторизации, как сотрудников, так и клиентов организации. Также производится протоколирование всех действий пользователя и применение электронной подписи в качестве аналога собственноручной для защиты содержимого электронного документа от фальсификации.
Разграничение же прав доступа пользователей к электронным документам, в том числе прав на просмотр, изменение и удаление электронных документов или их вложений, определяется как на уровне баз данных, так и на уровне конкретного документа. Например, в системе электронного документооборота одна группа пользователей обладает правами редактировать определенные документы, в то время как другая – только читать или согласовывать их. Такое разграничение прав доступа имеет практическую прикладную пользу, так как позволяет осуществлять мониторинг изменений и движения документов. В зависимости от происходящих в банке изменений списки управления доступом должны часто пересматриваться.
Одним из наиболее эффективных, но и дорогостоящих инструментов в части контроля за оборотом данных внутри периметра информационной системы банка являются системы защиты DLP (Data Leak Prevention). DLP-системы позволяют централизованно контролировать и блокировать USB-порты, анализировать входящий и исходящий интернет-трафики и контекст электронной почты, производить поиск по ключевым словам, а также регулировать доступ к Интернету. Подобные системы сообщают ответственному лицу об опасности, если возникают признаки инсайдерской деятельности.
В то же время специалистов по банковской ИБ поражает простота, с которой преодолеваются сложнейшие алгоритмы шифрования: просто передаются пароли, на столе оставляются флешки или ключи доступа. Поэтому наиболее распространены в банках внутренние нарушения, неисполнение действующих требований без умысла нанесения ущерба. Инсайдерская атака, или использование дополнительных полномочий и возможностей, предоставленных статусом сотрудника, встречается гораздо реже. Однако очевидно, что чем чаще в организации допускаются нарушения, тем легче спланировать и провести инсайдерскую атаку. Именно поэтому подразделения безопасности уделяют большое внимание профилактике и контролю за соблюдением сотрудниками установленных правил и процедур.
С пресловутым человеческим фактором, по мнению экспертов, можно справиться только путем объединения уже существующих в банках систем информационной и физической безопасности. В частности, нужно четко идентифицировать объект, применять биометрическую идентификацию. Необходимо иметь информационный след – что делает конкретный специалист на протяжении рабочего времени. Это достигается с помощью видеонаблюдения, систем контроля доступа, бюро пропусков. Необходимо также определить ряд регламентов, которые мы должны отслеживать с помощью систем информационной и физической безопасности. В некоторых банках начинают отслеживать деятельность ИТ- и даже ИБ-администраторов. Такой подход, к сожалению, небезоснователен: в ряде случаев именно привилегированные пользователи осуществляли кражу конфиденциальной информации.
Клиенты и боссы
Специалисты признаются, что перечисленные меры работают во фронт- и мидл-офисах. Но в бизнесовых, продающих подразделениях и в отношении руководства кредитной организации их применить сложно не столько в силу привилегий начальства или субординации, сколько из-за вреда, который стандартные механизмы защиты будут наносить эффективности бизнеса. Также велика вероятность того, что требования безопасности, тормозящие развитие, будут просто игнорироваться. В то же время мобильные устройства менеджеров в командировках и руководителей вписаны в корпоративную архитектуру информационной системы и представляют собой кладезь конфиденциальных, ценных данных. Получается, что ИБ-системы банка зачастую не контролируют информацию, которой обладают его сотрудники.
Утечки происходят все чаще и чаще. В связи с этим специалисты по ИБ призывают осознать, что наибольшую опасность для банковского бизнеса представляют не утечки любой информации, а неуправляемый оборот наиболее ценных данных за пределами отстроенного защищенного контура. Задача современных систем банковских ИБ должна ставиться так: выявить критически важную информацию и обеспечить контроль ее перемещения вне зависимости от того, где она находится физически, поскольку возможна как случайная утеря, так и преднамеренная кража внешнего носителя или ноутбука с целью получения доступа к конфиденциальным сведениям.
Когда мы говорим о бизнес-деятельности банка, то в круг вопросов обеспечения информационной безопасности надо включать и угрозы, связанные с клиентами. Нередко, осуществляя обмен информацией с клиентами в электронном виде, кредитные организации фиксируют на стороне клиента заражения вредоносным ПО. Естественно, это представляет потенциальную угрозу информационным системам банка, и одним лишь написанием регламентов данную проблему не решить – ее надо рассматривать в более широком смысле. Информационная безопасность финансовых институтов должна обеспечиваться отработкой неких сервисов безопасности, которые предоставляются как внутри банка, так и его клиентам. Потому что риски, которые несут в банк клиенты, не менее серьезны, чем риски, возникающие в результате злонамеренных действий кого-либо из сотрудников (инсайда) или порожденные человеческим фактором.
Начать дискуссию