Согласно данным статистики за 2014 год Россия традиционно занимает второе место по количеству прецедентов, связанных с утечкой внутренней информации. При этом экспертами отмечается, что в других странах утекает не меньше данных, но информация об этом реже попадает в СМИ. Вековая история борьбы со злоумышленниками позволила финансовым организациям не только правильно выстроить систему защиты для предотвращения инцидентов, но и минимизировать всевозможные риски. Тем не менее никто не может исключить влияние человеческого фактора.

Тема безопасности всегда была актуальной и на сегодняшний день она остается не менее значимой для компаний и финансовых организаций. Защитникам постоянно приходится искать новые решения для того, чтобы предотвратить хищения. Тем временем злоумышленники тоже не сидят, сложа руки, – они ищут и находят лазейки для того, чтобы сломать защиту и добраться до ценной для них информации. 

Согласно исследованиям, проведенным компанией InfoWatch, показатели утечки конфиденциальной информации за 2014 год выросли по сравнению с 2013 годом на 22% в мире и на 73% в России. Из приведенных компанией InfoWatch данных следует, что в 55% случаев виновниками инцидентов были настоящие или бывшие сотрудники компаний. Также определенная доля утечек приходится на внешних подрядчиков, что неудивительно, если учесть, что персонал таких компаний имеет легитимный доступ к охраняемой информации. В меньшей степени утечка внутренних данных происходит по вине руководителей или топ-менеджеров предприятий. 

Специалисты, опрошенные NBJ, говорят о множестве факторов, из-за которых происходит утечка внутренней информации. Основными из них эксперты называют следующие: неосторожность работы с конфиденциальными данными, пренебрежение к защите данных, а также недостаточно эффективно настроенные системы. По мнению начальника управления информационной безопасности АКБ «РосЕвроБанк» Дмитрия Орлова, хищения также могут происходить по злому умыслу.   

Начальник отдела информационной безопасности Банка «Оранжевый» Александр Назаров выделяет три основных фактора, из-за которых, по его мнению, происходят хищения данных. Одним из них является некомпетентность работников в вопросах культуры работы с конфиденциальной информацией и халатное отношение к вопросам защиты такой информации. «В качестве второго по важности фактора я бы выделил непонимание руководством ценности информации, в том числе критичной. Это в итоге приводит к недостаточной защите данных и, как следствие, к их утечке. Третий фактор – меркантильные цели, например воровство работником информации, с которой он работал, с целью передачи ее в другую компанию. Это может быть клиентская база, наработки по каким-то проектам и даже банально внутренние нормативные документы», – отмечает Александр Назаров (Банк Оранжевый). 

Эксперты не исключают и такого фактора, как отсутствие правильно настроенной системы, предотвращающей утечку данных. «Так, причиной часто является отсутствие проверки прав доступа пользователей к защищаемой информации, причем не только к каталогам на файловых серверах, но и к бизнес-приложениям», – указывает причины начальник управления информационной безопасности Банка Интеза Сергей Борисов.     

«По нашей статистике, нарушения режима защиты информации со стороны пользователей возникают чаще всего из-за наличия в организациях слишком жестких ограничений, вступающих в конфликт с требованиями бизнеса к удобству и комфорту», – рассказывает начальник управления режима информационной безопасности Газпромбанка Алексей Плешков. 

Помимо причин, в силу которых может утекать информация, важно разобраться и с другим вопросом: какими способами можно осуществлять ее хищение. Эксперты называют следующие пути: сенсорный контакт, утечки по техническим каналам, несанкционированное использование терминалов зарегистрированных пользователей, хищение корпоративных документов и различных носителей информации. При этом Алексей Плешков (Газпромбанк) считает все вышеперечисленные способы актуальными в настоящее время. Он отмечает, что методики, применяемые злоумышленниками для получения доступа к конфиденциальной информации, регулярно совершенствуются и адаптируются практически ко всем известным технологиям защиты. 

«Самым распространенным каналом утечки информации по-прежнему остается потеря информации по неосторожности со стороны лиц, официально допущенных к ней, пренебрегающих базовыми требованиями режима информационной безопасности. Также регулярно выявляется отправка – случайная или умышленная – конфиденциальной информации в интернет в открытом виде без использования средств криптографической защиты. К нашему сожалению, интенсивное развитие мобильных технологий и сопутствующих сервисов упрощает задачу инсайдерам и предоставляет им новые возможности копировать информацию с экранов рабочих станций на камеры с высоким разрешением, встроенные в мобильные телефоны и смартфоны», – комментирует ситуацию Алексей Плешков (Газпромбанк). 

«Как показывает практика, утечки совершаются и в результате халатности. Примером является недавний случай, когда в одном из крупнейших банков мешки с клиентскими документами выкинули в мусорный контейнер. Либо утечка информации происходит в результате хищения корпоративных документов непосредственно работниками, имеющими доступ к этой информации, либо третьими лицами, но опять же при участии работников компании. Причем это может быть как соучастие, так и непреднамеренные утечки в результате применения техник социальной инженерии», – отмечает Александр Назаров (Банк Оранжевый). 

Сергей Борисов (Банк Интеза) указывает на такие способы утечки данных, как электронная почта и использование внешних носителей информации, в том числе при краже привилегированными пользователями данных напрямую с серверов. «В последнее время в компаниях участились попытки кражи данных с использованием вредоносного кода – так называемые таргетированные 
атаки», – поясняет специалист. 

Посчитать ущерб, причиненный в результате утечки внутренних данных, довольно сложно, поскольку не всегда представляется возможным точно оценить негативные последствия той или иной утечки. Очевидно, что банк в этом случае почти наверняка понесет репутационные издержки: какие-то клиенты, узнав о случившемся, могут покинуть его, какие-то – просто не прийти на обслуживание. Даже когда прецеденты хищения данных не приводят к прямым финансовым потерям, эксперты призывают не расслабляться: эффект может быть отложенным. 

С учетом этого нет ничего удивительного в том, что финансовые учреждения разрабатывают специальные программы для защиты информации. Естественно и то, что каждый подобный прецедент и даже неудавшаяся попытка «увести» информацию становится предметом подробного расследования. По мнению экспертов, в таких случаях необходимо не только выявить круг лиц, причастных к утечке, и определить непосредственных виновников, но и узнать, кто стал невольным соучастником свершившегося или не свершившегося преступления. Потому что ситуации, когда сотрудники финансово-кредитных организаций, не ставившие перед собой никаких дурных целей, оказываются в числе виновных, случаются чаще, чем хотелось бы. И тут, как соглашаются друг с другом аналитики, принципиально важным моментом является проведение всесторонней разъяснительной работы и ужесточение контроля за действиями сотрудников.