Аналитика и комментарии

02 апреля 2021
 

Лев Матвеев, «СёрчИнформ»: Банки по-прежнему недостаточно защищены от инсайдерских рисков

Из-за пандемии число банковских мошенничеств выросло на десятки процентов. Злоумышленники меняют тактику, направляя атаки на клиентов и инсайдеров – и это работает. Насколько оснащённость банков защитными решениями отвечает этим рискам? Рассказывает Лев Матвеев, член правления РУССОФТ и председатель совета директоров компании «СёрчИнформ».

NBJ: Ежегодное исследование вашей компании показало, что оснащённость ИБ-средствами организаций кредитно-финансовой сферы лучше, чем в других отраслях, но остается недостаточной. Расскажите подробнее, в чём это проявляется?

Л.Матвеев: Общий уровень защиты от киберрисков в банковской сфере выше, чем в любой другой. Но есть перекос – от внешних атак банки защищены лучше, чем от инсайдерских. Поэтому взломы для хакеров становятся всё более дорогим удовольствием. А инциденты по вине сотрудников или с их помощью – более вероятными. Герман Греф заявлял, что в 2019 году Сбербанк не фиксировал ни одного случая воровства денег извне, кроме ситуаций, когда в это были включены собственно сотрудники банка. В других банках тоже понимают опасность, 80% опрошенных нами ИБ-специалистов говорят, что инсайдерские инциденты опаснее, чем хакерские.

Проблема в том, что регулятор не даёт директив, как защищаться от инсайдерских угроз, он даёт только рекомендации. Как результат – из нашего же опроса видим, что системы защиты от утечек данных и контроля сотрудников (DLP) стоят только в 53% банков. Более того, часто в банках практикуется, что эти программы работают только на части компьютеров. Такую защиту легко обойти.

То есть к рекомендациям регулятора прислушиваются только в самых «сознательных» банках. Остальные рассчитывают на русское «авось». Поэтому и видим ситуацию, когда информацию о клиентах одного банка нет проблем найти, а других – сложно.

NBJ: Какие ИБ-средства, по вашему мнению, позволяют обеспечить комплексный подход к защите информации?

Л.Матвеев: Буду говорить только о защите от внутренних угроз и инсайдерских рисков. Для обеспечения комплексной безопасности необходимы всего два элемента: качественное защитное ПО и профессиональная служба безопасности. Просто поставить программы и забыть – нельзя, с ними нужно работать.

Знаете, я уже несколько месяцев веду на канале «Пробизнес» авторскую программу об информационной безопасности. Там мы с ведущими специалистами по ИБ говорим о проблемах безопасности в b2b и их решении. Так вот, все ИБ-директора говорят, что DLP для них сегодня – это базовая программа для защиты информации от инсайдерских рисков. Из-за того, что система предотвращает самые дорогостоящие для банка инциденты, она может окупиться за считанные месяцы. Особенно, если с ней тщательно работать.

Так что минимально DLP-системы достаточно для обеспечения безопасности. Но банкам нужно поднимать её на новый уровень. Полноценный контроль инсайдерских рисков для них сегодня – защита информации на трёх основных уровнях: баз данных, файловой системы, каналов передачи информации.

Задачу аудита и контроля файловой системы решает DCAP-система, обращения к базам данных – DAM. Когда системы работают вместе, они умножают возможности каждой, получается синергетический эффект. Если ты не представляешь, какие данные есть в компании, ты не можешь точно знать, как их защищать. Делаешь аудит – уточняешь политики безопасности. Это работает и в обратную сторону. Зная, какие инциденты обнаруживает DLP, делаешь выводы, как лучше выстроить порядок в БД и файл-серверах.

Но есть проблема интеграции решений от разных вендоров, поэтому заказчики стремятся выбрать ПО от одного разработчика. Мы на эту потребность ориентируемся, разрабатывая свои ИБ-продукты.

NBJ: У «СёрчИнформ» есть все вышеперечисленные классы решений?

Л.Матвеев: Да, вся линейка наших продуктов ориентирована на защиту от инсайдерских рисков. Наша DLP «СёрчИнформ КИБ» контролирует передачу документов и файлов, а также все действия сотрудников за компьютерами. FileAuditor – DCAP-система для защиты файлов и папок. Программа находит все компьютеры, где хранятся конфиденциальные документы, проводит аудит прав доступа, блокирует нежелательные действия, может поставить на критичный документ «метку» и заблокировать его пересылку в любом произвольном приложении.

«СёрчИнформ DataBase Monitor» защищает базы данных – фиксирует все подозрительные действия и предупредит ИБ-специалиста, он успеет предотвратить преступление.

FileAuditor и DataBase Monitor защищают те данные, которые никуда вовне не передаются. Но один доступ к ним может привести к плохим последствиям. Представьте ситуацию, что специалист с легальным доступом переложит документ с банковской тайной из своей папки в общий доступ. С этого момента информацию может узнать широкий круг лиц. Никто не знает, как они распорядятся знаниями, и не окажется ли через час эта информация в Сети или в СМИ.

Или другой пример: сотрудник изменит в карточке клиента номер его телефона, чтобы незаметно списать деньги с его счета. Клиент рано или поздно обнаружит ущерб, только разбираться с последствиями придётся банку, ведь сотрудник может уже уволиться.

Наши продукты нужны, чтобы пресекать такие инциденты на самом раннем этапе, не дожидаясь последствий.

Такой полной линейки продуктов нет у других отечественных вендоров. Например, клиенты очень ждали наш FileAuditor, потому что до его появления не было выбора российских продуктов. А зарубежные DCAP-системы громоздкие и очень дорогие. По соотношению цена/функционал они часто совершенно не устраивают отечественных заказчиков.

NBJ: Расскажите подробнее про блокировки в «файловом аудиторе». Читали отзывы специалистов – говорят, что это уникальный для отечественного рынка функционал…

Л.Матвеев: Сейчас мы можем автоматически блокировать нежелательные действия с документами в зависимости от их содержимого, а также блокировать передачу файлов в любом произвольном приложении. Этого нет у наших конкурентов. Если на файле стоит метка, что он содержит персональные данные клиентов, в «файловом аудиторе» можно настроить запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать и изменять. Например, можно разрешить работу с документом под меткой «бухгалтерский» только главбуху и только на его ПК. Тогда все остальные пользователи не смогут его открыть, даже если получат доступ к файлу по чьему-то недосмотру. Метки незаметны для пользователей и наследуются при копировании, переименовании, смене расширения и др.

Если рассматривать интеграцию двух наших систем – DLP и DCAP – то получается уникальное сочетание. Наша DLP-система тоже умеет читать метки FileAuditor’a, их наличие позволяет мгновенно блокировать утечку данных. Это отличает её от обычной блокировки «в разрыв», которая реализована сейчас в большинстве других DLP. Благодаря меткам не нужно каждый раз перепроверять содержимое файла, тратить на это время и вычислительные мощности. Кроме того, сторонние DLP могут блокировать передачу файлов только по «поддерживаемым каналам», т.е. при появлении нового мессенджера или нестандартного канала, вендору нужно дорабатывать систему. Мы не зависим от этого, потому что работаем принципиально по-другому.

NBJ: В последнее время отмечается взрывной рост активности телефонных мошенников – зная персональные данные жертв, они активно используют социальную инженерию. Как с этим бороться?

Л.Матвеев: Проблема требует комплексного решения и участия нескольких сторон: банков и платёжных сервисов, телеком-операторов, регуляторов, правоохранительных органов. Например, банки вместе с телеком-компаниями создают свои антифрод-платформы для борьбы с подменными номерами, принимают жалобы от клиентов – хорошо, что всё это существует.

Но это как рубить хвост по частям. Пока мошенникам будут доступны персональные данные жертв, сколько денег у них на счетах, в каком банке, атаки будут успешными. Пока же так: утекает база – на следующий день начинаются звонки от «службы безопасности».

Поэтому не устаю поднимать вопрос необходимости комплексной защиты данных компаний. Чем больше банков придёт к пониманию, что ситуацию нужно менять, тем эффективнее будет борьба с мошенничествами в целом.

NBJ: В заключение интервью, дадите прогноз – куда будет двигаться сфера ИБ в 2021-ом?

Л.Матвеев: В 2021 году инфобез будет догонять «проседание» в 2020-ом по всем фронтам. В прошлом году мы не добрали роста, в этом – наверстаем.

Несмотря на последствия кризиса, спроса на защиту меньше не станет. Верхняя планка рынка ИБ точно продолжит подниматься: крупный технологичный бизнес уже ищет нетипичные инструменты, чтобы обеспечить безопасность не только внешнего периметра, но и внутренних процессов. Стали активнее интересоваться системами категоризации и контроля данных «в покое», мониторинга баз данных. Выбирают решения, которые позволяют обеспечить комплексную защиту, собрать воедино сведения об угрозах из разных точек инфраструктуры – каналов передачи информации, оборудования и ПО, файловых хранилищ и БД.

Для вендоров ИБ – это тоже проверка на прочность, 2021-й покажет, кто сможет ответить на новый запрос. В пандемию многие в отрасли просели, недополучили прибыль. Но я уверен: имея сильный продукт, в этом году отыграть рост можно.

Беседовала: Оксана Дяченко

Чтобы узнать подробнее про инструменты защиты от «СёрчИнформ», скачайте «Белую книгу» про комплексную защиту на сайте компании.

Материал также опубликован в печатной версии мартовского номера Национального банковского журнала (№198, 2021)

Поделиться: