USD 65.59 ЕВРО 75.18

Проблема инсайдера и как ее решать

Аналитика

Проблема инсайдера и как ее решать

Информация — жизненно важный ресурс в банковском деле. Она хранится и обрабатывается в вычислительных системах банков, а потоки данных перемещаются по внутренним и внешним коммуникациям: где контролируемо, а где совершенно бесконтрольно. А безопасность ее использования в банковских учреждениях порой оставляет желать лучшего, делают выводы эксперты.

Изучая информационную безопасность предприятий и эффективность мер её
обеспечения, реализуемых в настоящее время в корпоративных информационных
системах (КИС) банков, поневоле обращает на себя внимание опрос, проведенный в
2011 году фирмой Sailpoint
Technologies
, в аспекте, несколько отстоящем от  определений «защита
компьютера от несанкционированного доступа» и «несанкционированный доступ к
компьютерной информации» (НСД) – аналитики оценивали лояльность сотрудников
компаний корпоративной этике в части работы с информацией ограниченного
использования.

Исследование, проведенное на территории США, Великобритании и Австралии
показало: из 3,5 тысяч опрошенных сотрудников (инсайдеров, по сути) достаточно
большое количество могут и готовы украсть секретную информацию у своих
компаний.

22% — в США, 29% — в Австралии и около половины респондентов — в
Великобритании. 5% опрошенных в США, 4% в Австралии и 24% (!!!) в
Великобритании продали бы информацию своей компании с целью личного
обогащения.

Эти по меньшей мере впечатляющие сведения коррелируют с аналогичным
исследованием, охватившим более 2 тысяч участников и проведенным в апреле 2011
года корпорацией Symantec совместно с сообществом Профессионалы.ру на
территории Российской Федерации. В нем отразилась картина того, как сотрудники
отечественных компаний обращаются с внутренней информацией.

Согласно этому опросу, около 70% работников «несут» деловую информацию, 68%
используют социальные сети в процессе работы, а 56% готовы вынести не просто
корпоративную, но информацию с атрибутами ограниченного доступа. В процессе
исследования аналитики выявили четыре типа сотрудников-инсайдеров:

  •  24% могут подвергнуть компрометации корпоративную вычислительную
    сеть, не подозревая об этом;
  •  22% игнорируют базовые требования безопасности, при этом осознавая
    степень угрозы;
  •  7% вошли в группу тех, кто преследует собственные корыстные
    цели;
  •  но 47% опрошенных служащих достаточно аккуратно обращаются с
    коммерческой тайной.

С точки зрения службы безопасности банка возможен вывод: никакие системы
аутентификации, никакая защита данных от несанкционированного доступа и
программные средства защиты информации не способны удержать в узде
распоясавшихся инсайдеров и просто сотрудников с низким уровнем осознания
личной ответственности, компетентности, профессиональной подготовки. А выход в
такой ситуации видится один: повышение уровня ограничений при работе в КИС,
уменьшение области доступа, отключение всех «лишних» устройств, интерфейсов и
шлюзов. Подобные выводы, вероятно, имеют право на жизнь: в настоящее время
расследование преступлений, связанных с хищением информации, в России
затруднено, не говоря уже об отсутствии судебных прецедентов по фактам инсайда.
Сослаться на мнение авторитетных экспертов (инсайдеров в том числе) в этом
вопросе тоже как-то не получается – российское банковское сообщество сдержанно
комментирует инциденты в собственных информационных системах, предпочитая их
скрывать или умалчивать.

Не отрицая очевидное, специалисты компании «Индид» считают, некоторая доля
рисков в процессе эксплуатации КИС возникает не только вследствие
несанкционированных действий с финансовой информацией, но и в работе
сотрудников, совершающих непреднамеренные ошибки. Они также могут привести к
несанкционированному изменению информации и причинить ущерб финансово-кредитной
организации.

В качестве примера «исполнения требований» при работе с информационными
системами, CEO компании Индид Алексей Баранов привел даже не эпизод – обычай
хранения паролей к учётным записям пользователей в одном из банковских
учреждений, где компания проводила оценку состояния КИС перед развертыванием
своего решения: для оперативного доступа к собственным паролям  от
нескольких используемых в банке информационных систем большинство сотрудников
использовали… липкий листочек бумаги в качестве средства хранения, а
клавиатуру… в качестве «брандмауэра», приклеив к ней снизу записанные
аутентификаторы. Понятно, что при таком подходе к уровню защиты от НСД
руководству организации остаётся лишь уповать на лояльность сотрудников,
профессионализм службы защиты информации и сравнительно невысокую для России
стоимость нейтрализации последствий инцидентов в КИС.

Очевидно, что помимо внедрения технических и программных средств существует
необходимость реализации комплексных мер предупредительного характера,
позволяющих информировать служащих о недопустимости тех или иных действий в
отношении информации ограниченного использования. И здесь хороши все средства:
законодательные инициативы, в составе которых административное (уголовное)
преследование, корпоративные – в виде материального поощрения (наказания) и
недопущение совершения сотрудником специфических операций с участием средств
вычислительной техники. Последние совершаются порой даже не злонамеренно, а по
принципу доступности информации и возможности её обработки в домашних или
других условиях. В этих случаях вполне могут помочь различные программные и
аппаратные решения, в том числе средства защиты информации от НСД.

Это в общем. Но говоря о банках, где часто применяется сразу несколько
информационных систем различного назначения, стоит отметить еще одну
характерную особенность: сотрудникам таких учреждений физически трудно,
практически невозможно — удержать в памяти аутентификаторы своих аккаунтов,
особенно после того, как сотрудники департамента ИТ включают режим
периодической смены паролей с проверкой на уникальность и надёжность,
подчеркивает Алексей Баранов. «И значит, сотрудники будут использовать
упомянутые «подручные средства», чтобы облегчить себе жизнь. Подобный выход из
создавшейся ситуации, как следствие — повлечет за собой вероятность
использования аккаунтов других сотрудников, злоупотребление доверием со стороны
коллег, а при наихудших сценариях – хищения и утечки информации под прикрытием
чужих рабочих профилей, по сути, несанкционированный доступ к данным», —
отметил он.

Значительную часть вопросов из сферы информационной безопасности (ИБ) в
банковских учреждениях могут разрешить новейшие программные и аппаратные
технологии и комплексы. Здесь могут быть использованы такие решения, как
системы контроля и управления доступом (СКУД), биометрический контроль доступа
сотрудников к информационным ресурсам банка, усиление систем аутентификации
дополнительными элементами — многофакторная аутентификация, система управления
учётными записями, централизация доступа пользователей ко всем используемым в
банке информационным системам.

Ведь экономия средств на разрешение связанных с подобной небрежностью
инцидентов и проведение периодических мероприятий ИТ-отдела, только по этому
аспекту обеспечения информационной безопасности банка в течение года может
достичь и превысить 9 млн. руб. Вряд ли найдется в банковском бизнесе
руководитель, решающий игнорировать источник потерь такого масштаба в
долгосрочной перспективе. Тем более, если эта сумма соотносится с размером
годового ИТ-бюджета банка на реализацию мер по защите корпоративной
информации.

Технический консультант компании Symantec Олег Головенко отметил,
комментируя исследование, проведенное компанией в 2011 году, что объёмы утечек
данных в российских компаниях увеличиваются год от года. «Результаты
проведенного нами исследования наглядно показывают, что из-за действий
инсайдеров (умышленных или совершенно невинных) конфиденциальные данные
компаний беспрепятственно покидают корпоративные сети и утекают во внешний
мир», — подчеркнул он.

Технологии на рынке существуют, а руководителям банковских учреждений стоит
сделать выбор: будут сотрудники банка клеить под панель рабочих столов стикеры
с паролями или начнут применять безопасные технологии в работе с информацией.
Принятые в этом направлении решения окажут значительное влияние на качество,
безопасность и как следствие — успешность в банковском бизнесе. Выражение
«деньги предпочитают тишину» имеет непосредственное отношение к происходящему
сегодня в круговороте банковских информационных потоков и бурному развитию
мобильного банкинга.

* Результаты исследования опубликованы в апреле 2011 года

Подготовлено сотрудниками компании «Индид»