Аналитика и комментарии

02 сентября 2018

Самое большое зло ИБ – это инсайдеры

Несмотря на многообразие внешних угроз информационной безопасности банков в виде хакеров, организующих DDoS-атаки, или вирусов, которые в огромном количестве имеются во всемирной паутине, на первом месте по числу инцидентов, связанных с утечкой и уничтожением ценной информации, находятся внутренние угрозы, или инсайд. Каждая финансово-кредитная организация использует набор механизмов и мер по защите от утечек информации и действий инсайдеров. Без соответствующих мероприятий информация будет «сливаться», что неизбежно приведет к серьезным проблемам в работе банка. Выбор решений и способов защиты является индивидуальным для каждой организации. Хотя при этом существует и универсальный набор соответствующих способов защиты и организационных мер.

Согласно информации Сбербанка, потери экономики России от киберпреступности в 2018 году могут существенно вырасти по сравнению с прошлыми периодами – до 1 трлн рублей. Об этом сообщил заместитель председателя правления Сбербанка Станислав Кузнецов.

По его словам, такая цифра вполне реальная, но она может быть изменена в меньшую сторону, если будет сделан рывок в вопросах информационной защиты личности и бизнеса. При этом число преступлений мошеннического характера с использованием методов социальной инженерии в России не снижается.

В целях усиления киберзащиты банковской системы Минюст обязал банки проводить пентесты и аудит кибербезопасности. Так, финансово-кредитные организации будут должны соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного оборудования. Министерство юстиции Российской Федерации подписало соответствующий документ летом текущего года. Само собой, соответствие этим требованиям ляжет финансовым грузом не только на плечи банков, но и их клиентов. 

Поправки в Положение ЦБ 382-П наконец приобрели завершенный вид и были зарегистрированы Минюстом. 26 июня Центральный банк направил финансово-кредитным организациямэтот документ. Теперь им придется использовать программное обеспечение, сертифицированное Федеральной службой по техническому и экспортному контролю (ФСТЭК).

Эксперты полагают, что в некоторых случаях банки не уделяют сертификации должного внимания, что приводит к последующему обнаружению уязвимостей в программах. Анализ защищенности могут себе позволить лишь те финансово-кредитные организации, в штате которых есть высококвалифицированные специалисты в области информационной безопасности. Сейчас согласно документу пентесты будут проводиться ежегодно, а раз в два года банкам придется осуществлять внешний аудит кибербезопасности. Банковское сообщество, конечно, обеспокоено тем, что в такой ситуации неизменно вырастут расходы участников рынка. Однако в Центробанке считают, что этот рост в любом случае не будет чрезмерным, а расходы, которые придется заложить в бюджеты, будут вполне посильными. 

Кроме того, регулятор указывает на то, что скупой платит дважды: потери банков в случае, если они будут пренебрегать практикой проведения пентестов и аудита, наверняка окажутся куда большими и с финансовой, и репутационной, и с регуляторной точки зрения, поскольку недалек тот день, когда киберриски будут учитываться в капиталах финансово-кредитных организаций. 

Большинство инсайдеров – экс-сотрудники

Проведение пентестов и внешнего аудита, безусловно, является важным и необходимым звеном построения системы защиты от киберугроз, этого никто из экспертов всерьез не отрицает. Но, к сожалению, никакая защита данных от несанкционированного доступа и программные средства защиты информации не способны свести к нулю возможность совершения злонамеренных действий инсайдерами или просто сотрудниками с низким уровнем осознания личной ответственности, компетентности, с недостаточной профессиональной подготовкой. 

Согласно исследованию компании «СёрчИнформ», в 2017 году каждая четвертая кредитно-финансовая организация в России столкнулась с утечкой данных. Причем в 61% случаев конфиденциальную информацию пытались украсть рядовые сотрудники самих организаций.

Известно также, что к группе риска относятся экс-сотрудники, вне зависимости от должности: одни, увольняясь, крадут информацию из обиды и желания отомстить, другие – чтоб «задобрить» нового работодателя. 63% компаний ловили бывших сотрудников на краже информации.

Аналитический центр компании InfoWatch представил итоги глобального исследования публичных инцидентов в области безопасности корпоративной информации, связанных с деструктивными действиями увольняющегося или увольняемого сотрудника. В 2017 году более половины инцидентов были связаны с неправомерным копированием корпоративной информации и передачей ее третьим лицам, в том числе конкурентам компании. «Сотрудник, который принял решение об уходе, часто пытается использовать информацию компании в своих интересах, – отметил аналитик Группы компаний InfoWatch Сергей Хайрук. – Это всегда имеет негативные последствия в виде материального ущерба и репутационных потерь. Прямой ущерб компаниям-работодателям в результате деструктивных действий увольняющихся или увольняемых сотрудников зафиксирован в более чем 50% проанализированных инцидентов». 

Авторы исследования подчеркивают, что особую опасность при подготовке к увольнению представляют действия нелояльных сотрудников из числа привилегированных пользователей. Топ-менеджеры, руководители отделов и системные администраторы имеют доступ к широкому спектру корпоративных данных, к которым относятся, например, коммерческая тайна и производственные ноу-хау. Они хорошо знают бизнес-процессы предприятия и могут применить эти знания, нанося максимальный вред бывшему работодателю, отметил Сергей Хайрук. В прошлом году привилегированные пользователи стали причиной 19% нарушений, связанных с компрометацией корпоративных данных, более 80% случаев произошло по вине рядовых сотрудников.

Согласно исследованию InfoWatch, чаще всего при краже корпоративной информации персоналом движет мотив личной выгоды или работа на конкурентов, в то время как руководители в большинстве случаев идут на нарушения из чувства мести или руководствуются другими некорыстными мотивами. Более четверти действий, повлекших ущерб для работодателя, совершались сотрудниками менее чем за неделю до увольнения. На этот временной интервал пришлось 28,6% случаев. Еще около 20% нарушений происходило за несколько недель до ухода. В большинстве случаев, 52,4% инцидентов, деструктивные действия в отношении работодателя сотрудник совершал более чем за месяц до запланированного увольнения. Примерно в каждом втором случае увольняющийся сотрудник забирал с собой или просматривал базы данных с персональной информацией коллег, клиентов или партнеров. Треть изученных инцидентов была связана с кражей из компании коммерческих секретов и ноу-хау, говорится в исследовании InfoWatch.

Инсайдеры – злонамеренные и поневоле 

Следует отметить, что существуют различные классификации инсайдеров. Так, можно выделить просто рассеянных людей, которые либо теряют, либо оставляют пароли и другую важную информацию там, где этого нельзя делать. Следующая категория – сплетники, болтуны и хвастуны – люди, которые делятся инсайдерской информацией, чтобы повысить свой статус в глазах коллег, показать свои значимость и вес, и конкурирующая сторона может сыграть на эго таких инсайдеров. Есть сотрудники, 
которые забирают на новое место работы свою клиентскую базу, наработки, документы и другие данные. Существуют и откровенные злоумышленники – это работники, которые обычно по предложению конкурирующих организаций воруют и «сливают» ценную информацию за соответствующее вознаграждение. Понятно, что инсайдер может действовать как в одиночку, так и в составе группы лиц.

Комплексные меры безопасности

Противодействие внутренней угрозе требует от банка применения целого комплекса мер – организационных, юридических, технических. По мнению экспертов, основную роль должны играть организационные меры, которые необходимо дополнять техническими. 

Как правило, когда речь идет об организационной составляющей, то в первую очередь имеется в виду формирование корпоративной культуры финансово-кредитной организации. Если говорить в глобальном смысле, то это работа над повышением лояльности каждого сотрудника к банку. 

Также важны технические нюансы, в числе которых умение персонала правильно работать с компьютерной техникой, учетными записями, соблюдая элементарные правила безопасности. Далеко не все сотрудники обычно осознают, что информационная безопасность – это важно. Различные санкции к отдельным сотрудникам могут приносить эффект, но полностью проблему они, конечно, не решают. В идеале обеспечение безопасности должно стать частью корпоративной культуры. В этом случае организация сможет предотвращать противоправные действия, а не устранять их последствия. 

Конечно, персонал зачастую негативно воспринимает любые попытки ограничить его возможности, в том числе и путем внедрения средств защиты информации. Поэтому крайне важно, чтобы топ-менеджмент банков понимал актуальность проблемы, риски, которые она несет, а также необходимость обучения сотрудников правилам ИБ.

Ведь какими бы ни были совершенными технологии, все-таки главной причиной инсайда остается человеческий фактор, начиная с банальных ошибок и неаккуратности и заканчивая злонамеренным хищением информации с целью ее продажи.
Учитывая как раз человеческий фактор, эксперты говорят о необходимости повышения уровня ограничений при работе в информационных системах, а также о необходимости уменьшения области доступа, отключения всех «лишних» устройств, интерфейсов и шлюзов. 

Когда четыре глаза лучше, чем два

Очевидно, что, помимо внедрения технических и программных средств, существует необходимость реализации комплексных мер предупредительного характера, позволяющих информировать служащих о недопустимости тех или иных действий в отношении информации ограниченного использования. Эксперты говорят, что в данном случае все средства хороши: нормы законодательства, предусматривающие административное или уголовное преследование, корпоративные действия в виде материального поощрения или наказания. Также следует предупреждать совершение сотрудником специфических операций, которые, кстати, могут осуществляться даже не злонамеренно, а из-за доступности информации и возможности ее обработки, например, в домашних условиях. 

В таких случаях значительную часть вопросов из сферы информационной безопасности в банковских организациях могут разрешить новейшие программные и аппаратные технологии и комплексы. Здесь могут быть использованы такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами – многофакторной аутентификацией, системой управления учетными записями, централизацией доступа пользователей ко всем информационным системам, используемым в банке.

«В целом в России ситуация с инсайдом в банковской сфере схожа с мировой практикой, – высказывает свою точку зрения на проблему директор департамента информационной безопасности МКБ Вячеслав Касимов. – Лучшим способом предотвратить утечки будет создать комплекс организационно-технических мер, который будет автоматически выявлять и нивелировать риски. Также важно ограничивать объемы данных, доступных к выгрузке из систем организаций, и применять к потенциально критичным действиям принцип «четырех глаз», когда в процессе согласования участвуют несколько сотрудников, выполняющих различные роли. Универсального рецепта по предотвращению фрода нет: какие-то риски регулируются действующей законодательной базой, какие-то нет. В этом вопросе важно постоянно держать руку на пульсе, повышать грамотность и лояльность сотрудников, а также максимально оперативно реагировать на возникающие узкие места». 

Внешние и внутренние каналы утечек 

Считается, что существует два основных канала утечек информации – внешние и внутренние. К внешним относятся физические носители, с помощью которых транспортируют информацию в цифровом виде: CD и DVD, флешки, корпоративные ноутбуки и т.д. Любой из этих предметов можно вынести из офиса под благовидным предлогом.

Внутренние каналы утечки данных – это электронная почта, форумы, блоги, социальные сети, мессенджеры, файлообменные сети и облачные хранилища сети интернет. Серьезные проблемы при мониторинге программ для обмена информацией вызывает Skype из-за шифрованного алгоритма передачи сообщений. 

Материальные носители, например папки с документами или жесткие диски, практически ни у кого не вызывают сегодня интереса, поскольку такие кражи легче обнаружить и попытки вынести их за пределы организации проще подвести под административное или уголовное нарушение.     

Поделиться:
 

Возврат к списку