Сложно ли банку победить инсайд?

На правах рекламы

Скачайте детальное сравнение «Продвинутая защита конечных станций» от экспертов «Инфосистемы Джет», чтобы выбрать подходящее решение для защиты вашего бизнеса от киберугроз.

Сложно ли банку победить инсайд?

Информация - жизненно важный ресурс в банковском деле. Она хранится и обрабатывается в вычислительных системах банков, а потоки данных перемещаются по внутренним и внешним коммуникациям: где контролируемо, а где совершенно бесконтрольно. А безопасность ее использования в банковских учреждениях порой оставляет желать лучшего, делают выводы эксперты.

Изучая информационную безопасность предприятий и эффективность мер её обеспечения, реализуемых в настоящее время в корпоративных информационных системах (КИС) банков, поневоле обращает на себя внимание опрос, проведенный в 2011 году фирмой Sailpoint Technologies, в аспекте, несколько отстоящем от  определений «защита компьютера от несанкционированного доступа» и «несанкционированный доступ к компьютерной информации» (НСД) – аналитики оценивали лояльность сотрудников компаний корпоративной этике в части работы с информацией ограниченного использования.

Исследование, проведенное на территории США, Великобритании и Австралии показало: из 3,5 тысяч опрошенных сотрудников (инсайдеров, по сути) достаточно большое количество могут и готовы украсть секретную информацию у своих компаний.

22% - в США, 29% - в Австралии и около половины респондентов - в Великобритании. 5% опрошенных в США, 4% в Австралии и 24% (!!!) в Великобритании продали бы информацию своей компании с целью личного обогащения.

Эти по меньшей мере впечатляющие сведения коррелируют с аналогичным исследованием, охватившим более 2 тысяч участников и проведенным в апреле 2011 года корпорацией Symantec совместно с сообществом Профессионалы.ру на территории Российской Федерации. В нем отразилась картина того, как сотрудники отечественных компаний обращаются с внутренней информацией.

Согласно этому опросу, около 70% работников «несут» деловую информацию, 68% используют социальные сети в процессе работы, а 56% готовы вынести не просто корпоративную, но информацию с атрибутами ограниченного доступа. В процессе исследования аналитики выявили четыре типа сотрудников-инсайдеров:

  • 24% могут подвергнуть компрометации корпоративную вычислительную сеть, не подозревая об этом;
  • 22% игнорируют базовые требования безопасности, при этом осознавая степень угрозы;
  • 7% вошли в группу тех, кто преследует собственные корыстные цели;
  • но 47% опрошенных служащих достаточно аккуратно обращаются с коммерческой тайной.

С точки зрения службы безопасности банка возможен вывод: никакие системы аутентификации, никакая защита данных от несанкционированного доступа и программные средства защиты информации неспособны удержать в узде распоясавшихся инсайдеров и просто сотрудников с низким уровнем осознания личной ответственности, компетентности, профессиональной подготовки. А выход в такой ситуации видится один: повышение уровня ограничений при работе в КИС, уменьшение области доступа, отключение всех «лишних» устройств, интерфейсов и шлюзов. Подобные выводы, вероятно, имеют право на жизнь: в настоящее время расследование преступлений, связанных с хищением информации, в России затруднено, не говоря уже об отсутствии судебных прецедентов по фактам инсайда. Сослаться на мнение авторитетных экспертов (инсайдеров в том числе) в этом вопросе тоже как-то не получается – российское банковское сообщество сдержанно комментирует инциденты в собственных информационных системах, предпочитая их скрывать или умалчивать.

Не отрицая очевидное, специалисты компании Индид (indeed-id.ru) считают - некоторая доля рисков в процессе эксплуатации КИС возникает не только вследствие несанкционированных действий с финансовой информацией, но и в работе сотрудников, совершающих непреднамеренные ошибки. Они также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.

В качестве примера «исполнения требований» при работе с информационными системами, CEO компании Индид Алексей Баранов привел даже не эпизод – обычай хранения паролей к учётным записям пользователей в одном из банковских учреждений, где компания проводила оценку состояния КИС перед развертыванием решения Indeed-Id Enterprise ESSO: для оперативного доступа к собственным паролям (от нескольких информационных систем, используемых в банке) большинство сотрудников использовали… липкий листочек бумаги в качестве средства хранения, а клавиатуру… в качестве «брандмауэра», приклеив к ней снизу записанные аутентификаторы. Понятно, что при таком подходе к уровню защиты от НСД руководству организации остаётся лишь уповать на лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов в КИС.

Очевидно, что помимо внедрения технических и программных средств существует необходимость реализации комплексных мер предупредительного характера, позволяющих информировать служащих о недопустимости тех или иных действий в отношении информации ограниченного использования. И здесь хороши все средства: законодательные инициативы, в составе которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последние совершаются порой даже не злонамеренно, а по принципу доступности информации и возможности её обработки в домашних или других условиях. В этих случаях вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от НСД.

Это в общем. Но говоря о банках, где часто применяется сразу несколько информационных систем различного назначения, стоит отметить еще одну характерную особенность: сотрудникам таких учреждений физически трудно, практически невозможно - удержать в памяти аутентификаторы своих аккаунтов, особенно после того, как сотрудники департамента ИТ включают режим периодической смены паролей с проверкой на уникальность и надёжность, подчеркивает Алексей Баранов. «И значит, сотрудники будут использовать упомянутые «подручные средства», чтобы облегчить себе жизнь. Подобный выход из создавшейся ситуации, как следствие - повлечет за собой вероятность использования аккаунтов других сотрудников, злоупотребление доверием со стороны коллег, а при наихудших сценариях – хищения и утечки информации под прикрытием чужих рабочих профилей, по сути, несанкционированный доступ к данным», - отметил он.

Значительную часть вопросов из сферы информационной безопасности (ИБ) в банковских учреждениях могут разрешить новейшие программные и аппаратные технологии и комплексы. Здесь могут быть использованы такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами - многофакторная аутентификация, система управления учётными записями, централизация доступа пользователей ко всем информационным системам, используемым в банке.

Осмысленность внедрения подобных технологий обусловливается также экономическим фактором, подчеркивают специалисты компании-разработчика и указывают на проведенный расчёт возврата инвестиций от внедрения программного комплекса Indeed-Id Enterprise ESSO (см. таблицу ниже):

 

Параметр Экономии Рублей в год Комментарии
Доступ пользователя к рабочему столу Windows 598 В соответствии с применением технологии строгой аутентификации Indeed-Id, что дает экономию времени размером 1.8 часов на каждого пользователя в год.
Доступ пользователя в IT-системы 2992 В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 8.8 часов в год на каждого пользователя
Периодическая смена пароля учетной записи Windows 17 В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.05 часов в год на каждого пользователя
Периодическая смена пароля учетных записей IT-систем 85 В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.25 часов в год на каждого пользователя
Блокировка рабочего стола Windows 149 В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.44 часа в год на каждого пользователя
Инцидент "Забытый пароль" учетной записи Windows 119 В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.34 часа в год на каждого пользователя
Инцидент "Забытый пароль" учетной записи IT-системы 119 В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.34 часа в год на каждого пользователя
Итого на одного пользователя в год 4,082  
Итого на всех пользователей в год 8164000 (2,000 пользователей)  

 

Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб и инцидентов, на которых, согласно расчётам компании, возможна экономия средств. В правой – результаты этой экономии в течение одного года.

Как следует из приведённой таблицы, при количестве пользователей КИС около 2 тыс. сотрудников и средней зарплате в компании 60 тыс.руб., цифра экономии средств на разрешение инцидентов и проведение периодических мероприятий ИТ-отдела, только по этому аспекту обеспечения информационной безопасности банка, в течение года может достичь и превысить 9 млн. руб. Вряд ли найдется в банковском бизнесе руководитель, решающий игнорировать источник потерь такого масштаба в долгосрочной перспективе. Тем более, если эта сумма соотносится с размером годового ИТ-бюджета банка на реализацию мер по защите корпоративной информации.

Технический консультант компании Symantec Олег Головенко отметил, комментируя исследование, проведенное компанией в 2011 году, что объёмы утечек данных в российских компаниях увеличиваются год от года. «Результаты проведенного нами исследования наглядно показывают, что из-за действий инсайдеров (умышленных или совершенно невинных) конфиденциальные данные компаний беспрепятственно покидают корпоративные сети и утекают во внешний мир», - подчеркнул он.

Технологии на рынке существуют, а руководителям банковских учреждений стоит сделать выбор: будут сотрудники банка клеить под панель рабочих столов стикеры с паролями или начнут применять безопасные технологии в работе с информацией. Принятые в этом направлении решения окажут значительное влияние на качество, безопасность и как следствие - успешность в банковском бизнесе. Выражение «деньги предпочитают тишину» имеет непосредственное отношение к происходящему сегодня в круговороте банковских информационных потоков и бурному развитию мобильного банкинга.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru