Аналитика и комментарии

07 декабря 2012

Инсайдеры: не пойман - не вор

Проблема защиты от инсайдеров в банковских организациях очень серьезна и в настоящее время носит поистине глобальный характер. Это связано, конечно же, со спецификой информации, обрабатываемой в банках: финансовые сведения, клиентские данные представляют собой огромную ценность. Именно поэтому вопрос о противодействии инсайдерству в кредитных организациях требует особого внимания.

Компания Symantec совместно с сообществом «Профессионалы.ру» провела анонимный опрос на территории Российской Федерации, по результатам которого сформировалась картина того, как сотрудники отечественных компаний обращаются с коммерческой тайной. Около 70% респондентов располагают деловой информацией, 68% используют социальные сети в процессе работы, а 56% готовы вынести за периметр организации, в которой они работают, не просто корпоративную информацию, а данные с атрибутами ограниченного доступа. В процессе исследования аналитики выявили четыре типа сотрудников-инсайдеров. 24% могут подвергнуть компрометации корпоративную вычислительную сеть, не подозревая об этом. 22% игнорируют базовые требования безопасности, осознавая степень угрозы. 7% вошли в группу тех, кто преследует собственные корыстные цели. При этом 47% опрошенных служащих достаточно аккуратно обращаются с коммерческой тайной.

Начальник управления информационной безопасности банка «Ренессанс Кредит» Дмитрий Стуров считает, что можно выделить следующие типы инсайдеров. Первый включает в себя сотрудников, забирающих на новое место работы свою клиентскую базу, наработки, документы и другие данные. Второй тип - это служащие, передающие или пытающиеся «слить» данные компаниям-конкурентам и ожидающие в ответ некое вознаграждение. Третий тип - люди, использующие свое положение в компании для совершения мошеннических действий. При этом инсайдер может действовать как в одиночку, так и в составе группы лиц.

Вице-президент банка «Стройкредит» Сергей Кирилин выделяет три модели инсайдерства. «Рассеянные люди», которые либо теряют, либо оставляют пароли и другую важную информацию в свободном доступе. «Сплетники и болтуны» - служащие, которые делятся инсайдерскими данными, чтобы удовлетворить собственное эго, повысить свой «статус» в глазах коллег и т.п. И «злоумышленники» - сотрудники, которые обычно по предложению конкурирующих организации воруют и «сливают» ценную информацию.

КОМПЛЕКС МЕР БЕЗОПАСНОСТИ

Противодействие внутренней угрозе требует от банка применения целого комплекса мер - организационных, юридических, технических. Эксперты считают, что основную роль должны играть организационные меры, которые необходимо дополнять техническими.

По мнению Сергея Кирилина, когда говорят об организационной составляющей, то в первую очередь речь идет о формировании корпоративной культуры кредитной организации. «В глобальном смысле это работа над повышением лояльности каждого сотрудника к банку», - резюмирует специалист. Также важны технические нюансы, в числе которых умение персонала правильно работать с компьютерной техникой, учетными записями, соблюдая элементарные правила безопасности. «Далеко не все служащие обычно осознают, что ИБ - это важно, - подчеркивает Сергей Кирилин. - Различные санкции к отдельным сотрудникам могут приносить пользу, но полностью проблему они не решат. В идеале обеспечение безопасности должно стать частью корпоративной культуры. В этом случае организация сможет предотвращать противоправные действия, а не устранять их последствия».

Конечно, персонал зачастую негативно воспринимает любые попытки ограничить его возможности, в том числе путем внедрения средств защиты информации. Поэтому крайне важно, чтобы топ-менеджмент банков понимал остроту проблемы, риски, которые возникают в результате наличия в коллективе невольных или преднамеренных инсайдеров, а также необходимость обучения сотрудников правилам ИБ. Подобное обучение должно быть обязательной программой для банков, потому что, какими бы совершенными ни были технологии, главной причиной инсайда остается человеческий фактор, начиная с банальных ошибок и неаккуратности и заканчивая хищением информации с целью ее продажи.

АКЦЕНТ
Егор КОЖЕМЯКА, Группа компаний «Конфидент»

Решить проблему защиты информации от внутренних угроз и снизить риски утечки конфиденциальной информации можно только с помощью комбинации организационных и технических мер и решений. На первый план борьбы с утечками выходят меры по повышению осведомленности персонала в вопросах ИБ. В организации должны быть внедрены, разъяснены и доступны сотрудникам меры по обеспечению информационной безопасности всех процессов работы с конфиденциальной информацией - от создания и учета до уничтожения. В качестве инструментов для защиты от утечек могут выступать специализированные системы мониторинга активности пользователей и предотвращения утечек (DLP).

При выборе средств защиты информации (СЗИ) мы рекомендуем ориентироваться на следующие критерии:
■ наличие    современного    и    качественно    реализованного функционала;
■ совместимость   с   другими   технологиями   и   решениями поИБ;
■ соответствие требованиям законодательства (в частности, наличие сертификатов ФСТЭК и ФСБ России);
■ репутация и опыт производителя-вендора;
■ качество и доступность технической поддержки;
■ совокупная стоимость владения.

Собственная разработка компании «Конфидент» СЗИ от НСД «Dallas Lock» является лучшим по совокупности технико-экономических показателей программным решением для защиты информации от несанкционированного доступа, отвечает современным требованиям законодательства, обладает необходимым и уникальным функционалом.

На организации банковской сферы распространяется наибольшее число требований и регламентов в области обеспечения информационной безопасности по сравнению с другими сферами. Это и требования по защите банковской, коммерческой тайны, платежных систем, персональных данных, инфраструктуры платежных карт и др. Группа компаний «Конфидент» при предоставлении услуг в области ИБ банкам предлагает комплексный подход при построении системы обеспечения информационной безопасности. Использование экономически, функционально и технологически сбалансированных решений, наработанных методик и собственных разработок позволяет кредитным организациям не только решить все актуальные задачи в области защиты информации, но и выполнить весь перечень требований и рекомендаций законодательства и стандартов, исключить дублирование и избыточность функционала и дополнительной нагрузки на системы и сотрудников банка.

КАК ПОЙМАТЬ ЗА РУКУ?

Эксперты отмечают, что не так просто обнаружить факт «слива» информации. Как правило, все становится известным уже после того, как инцидент произошел. В случае если утечка осуществлялась техническим способом - копированием файлов, отправкой через электронную почту, - очень быстро можно вычислить факт и источник «слива» информации, отмечает Сергей Кирилин (Стройкре-дит). «Однако не стоит забывать, что сотрудник, с чьего компьютера были скопированы или отосланы файлы, может не иметь к этому отношения, так как по безалаберности он держал пароль на видном месте или иным способом позволил другому человеку воспользоваться своим компьютером или учетной записью, -говорит вице-президент банка «Строй-кредит». - Любой факт «слива» требует всестороннего подхода, но всегда лучше предупреждать подобные случаи и не забывать про человеческий фактор».

Дмитрий Стуров (Ренессанс Кредит) соглашается, что достаточно сложно поймать инсайдера за руку и, для того чтобы блокировать такие действия в режиме реального времени, нужны технические средства, внедрение которых является достаточно трудной задачей. «Иногда о потенциальных инсайдерах можно узнать от смежных подразделений, руководителей, которые на месте могут видеть изменения в поведении людей, - добавляет эксперт. - Мониторинг таких сотрудников может привести к тому, что их поймают за руку в момент совершения тех или иных действий».

Понятно, что легче всего ловить рыбу в мутной воде, то есть «сливать» или добывать информацию в тех организациях, где нет четких правил и порядка в бизнес-процессах, нет регламентации того, кто за что отвечает, и каждый имеет возможность делать практически все, что хочет. В таких компаниях инсайдеры чувствуют себя вольготно. 

КОНТРОЛИРУЕМАЯ ДОБРОПОРЯДОЧНОСТЬ
Светлана КОНЯВСКАЯ, к.ф.н., доцент МИФИ, преподаватель МФТИ, заместитель генерального директора ЗАО ОКБ «САПР»

Правильно говорится в этой и аналогичной статьях - надо формировать культуру. В то же время часть этой культуры (не которую надо формировать, а которая реально существует на пресупозитивном уровне сознания) - это идиомы «не пойман - не вор», «поймать за руку», то есть вообще-то, конечно, вор, вот поймать бы.

Отнюдь не призывая к неуместной благостности в оценке реально существующих производственных отношений (да и производственных сил) я бы хотела обратить внимание специалистов на то, что современные средства защиты позволяют построить работу таким образом, чтобы не ловить за руку, а не доводить до греха. Два коротких примера. В СЗИ с развитой подсистемой разграничения доступа (таких как Аккорд) атрибутов доступа в разы больше, чем в ОС, и среди них есть, например, «видимость»: можно настроить рабочую среду пользователя так, чтобы он не только не имел доступа к тому, что ему не нужно, но и не видел это, и поэтому не чувствовал себя ограничиваемым злым работодателем. Доступ к ресурсам можно настроить довольно тонко, выстроив технологические цепочки. Например, пользователь может открыть файл из папки А и писать туда, но сохранить изменения может только в папку В, файлы в которой для него невидимы и не доступны для чтения. Сохранив изменения файла, он сразу потеряет возможность не только его открыть, но и увидеть. Контролировать можно и буфер обмена (пресловутые «проблемы», что, дескать, пользователь может скопировать нужное из секретного в общедоступный файл или в тело e-mail), а еще ограничивать набор процессов, которые могут работать с объектами (и тогда решится проблема отправки файла вложением по почте или открытия блокнотом вместо Word).

Конечно, люди в штыки воспринимают попытки их ограничивать. Но ведь не воспринимают они в штыки то, что текст в Word стоит на месте, это не бегущая строка? Рабочая среда должна быть просто настроена, а не кричать о том, что в ней есть средства защиты. Тогда людям не будет обидно.

Текст: Оксана Дяченко
Поделиться:
 

Возврат к списку