Разделы

Цифровизация ИТ в банках

Пять мифов о банковском инсайде

Сколько копий сломано в дебатах о том, представляют ли инсайдеры реальную угрозу бизнесу или нет. Банковская сфера, находясь на передовой современных технологий, всегда одной из первой апробировала новинки мира ИТ и сферы информационной безопасности в частности. Однако объемы потерь от инсайдерства продолжают неумолимо расти.

Двухфакторная аутентификация, биометрические системы и многое другое – все это нашло отклик там, где практичные люди предпочитают держать свои сбережения. Но так уж устроен наш славянский менталитет, что "пока гром не грянет"… А по сему развеем основные мифы, которые до сих пор нет-нет да и встречаются в банковском секторе.

Миф первый: большинство внутренних утечек информации происходит преднамеренно.

Анализируя статистику различных вендоров за последние несколько лет, можно увидеть, что из года в год количество случайных утечек растет. На сегодняшний день их доля в среднем варьируется в районе 45%, сравнявшись с долей умышленных "сливов". Причин несколько. Это и увеличение количества каналов, по которым теперь передается информация, и рост объемов электронной документации. И конечно же, нельзя обойти стороной человеческий фактор. Исследователи на этот счет солидарны: сегодня самое слабое звено в системе безопасности компании – ее собственные сотрудники. Случалось ли вам отправить сообщение в аське "не в то окно"? А опечататься при написании электронного ящика? Насколько серьезной подобная проблема может быть для крупной корпорации?

Последний вопрос заинтересовал двух исследователей из Godai Group, которые решились на радикальный эксперимент. Они зарегистрировали 30 доменов "с опечатками" (к примеру, не goldbank.com, а golsbank.com – буквы "d" и "s" находятся рядом на клавиатуре, поэтому легко "промахнуться") и развернули на них почтовые сервера. Итог удивил даже самих экспертов – за 6 месяцев на "поддельных" доменах скопилось 20 ГБ писем (120 тыс. штук), отправленных компаниям из списка Fortune 500. Примерно 1% из этих писем содержали конфиденциальную информацию: логины и пароли сотрудников, информацию по сделкам, внутренним расследованиям и т.д.

Это лишь один из примеров утечки по неосторожности. Часто сотрудники подвергают риску важную для их компании информацию просто ради собственного удобства. Как пример, многие выгружают ценные корпоративные данные на облачные сервисы для удобства работы из дома, а некоторые берут работу на дом.

В конечном итоге, многие сотрудники, нанося вред компании, делают это непреднамеренно. Скорее всего, персонал организации не хотел делать что-либо незаконное, он просто не знает, что таким образом наносит урон своему работодателю.

Миф второй: Инсайдерами могут быть только сотрудники организации.

Проверенный факт, что сотрудники компании не являются единственным источником внутренней угрозы утечки информации. Промышленный шпионаж никто не отменял. И хотя этот вид деятельности незаконен, некоторых это не останавливает. К тому же некоторые сведения можно добыть вполне законным путем. Пригласив на собеседование сотрудника конкурентов и задавая специальные наводящие вопросы, можно выяснить технические особенности. К примеру "работали ли вы с системой Х", "расскажите, по какому направлению вы получили последний сертификат" и т.д.

Кроме того, организации, как правило, могут работать с длинной цепочкой компаний извне. В большинстве случаев они обмениваются информацией, используя облачные сервисы организации. В результате возникает путаница, кто и куда должен иметь доступ.

Инцидент, например, может возникнуть, если у организации нет возможности как-либо отслеживать поведение своего сотрудника при работе с аутсорсерами или в ходе работы в облачных приложениях. Таким образом, просто невозможно узнать, сохраняет ли организация свою конфиденциальную информацию или нет. Любая организация должна обезопасить себя от такой ситуации.

Миф третий: защита от инсайдеров в виртуализированной облачной среде ничем не отличается от мер защиты систем в среде физической.

С одной стороны, виртуализация, возможно, облегчила жизнь системных администраторов в сфере поддержки ИТ-инфраструктуры, но с другой стороны, инсайдерам стало проще похитить информацию.

Эксперты по безопасности уверены, что модель безопасности в виртуальной среде должна быть полностью переосмыслена. Традиционная модель – это защита, организованная извне вовнутрь, когда вокруг инфраструктуры выстраивается периметр, и по мере углубления к центру инфраструктуры уровни защиты повышаются. В виртуальной среде серверы, которые являются ядром ИТ-инфраструктуры, становятся более мобильными, в результате возникает высокомобильная среда приложения, безопасность которого необходимо обеспечивать. В виртуальной среде мы не всегда точно знаем, где именно находятся наши данные, на каком физическом сервере. При этом приложения и данные могут динамично перемещаться с сервера на сервер, уходить в облако и возвращаться обратно.

Инсайдерам проще атаковать виртуализированную среду, чем физическую, так как, получив доступ к ее инфраструктуре, они гарантируют себе доступ ко всем системам.

Важно внимательно контролировать распределение прав доступа сотрудников при работе в виртуализированной среде. В большинстве случаев администраторы такого рода систем наделяются полномочиями, достаточными для кражи конфиденциальной информации, изменения конфигурации или удаления нужной информации.

Миф четвертый: Информацию можно защитить при помощи простейших систем защиты информации.

Думается, всем известна поговорка про то, где бывает бесплатный сыр. Отчасти она верна и для бесплатного софта, предназначенного для защиты информации. Во-первых, бесплатные решения чаще всего представляют собой небольшую программу, предназначенную для выполнения одной или нескольких функций. То есть о комплексном подходе не может быть и речи. В то же время неизвестно, сколько таких "заплаток" понадобиться найти и установить, чтобы обеспечить должный уровень защиты. Плюс нет гарантий, что программы не начнут конфликтовать между собой.

Отдельного упоминания стоит гарантия от недекларированных возможностей. Подобный сертификат можно получить, например, от ФСТЭК, пройдя длительную процедуру проверок. По сути этот сертификат подтверждает, что автор программы не оставил в коде "бэкдоров" и прочих лазеек для несанкционированного доступа. Стоит ли говорить, что у бесплатных решений вряд ли найдется такой документ? Ситуация с "freeware soft" отлично видна на примере приложений для платформы Android. При установке какого-нибудь "дармового" будильника приложение почему-то требует и доступ к SD-карте, и полный доступ к интернету, и чуть ли не root.

Недостаточная степень защищенности или вредоносное ПО помогают злоумышленникам проникать в информационные системы организации. Они пользуются любыми лазейками в FTP, корпоративной электронной почте, файлах или протоколах. Достаточно одной щелки в системе защиты, для того чтобы хорошо организованная команда преступников вскрыла информационную систему.

Существует несколько технологических способов надежно защитить информацию от инсайдеров. Например шифрование, превращающее информацию в бесполезный набор символов для инсайдера, или использование надежных систем управления контроля доступа, применяющих технологии строгой многофакторной аутентификации.

Миф пятый: Контроль служащих всегда снижает риски утечки информации.

Контроль работников организации вряд ли может считаться панацеей от угрозы инсайдеров. Более того, если факт мониторинга скрывался и вдруг стал известен "общественности", эффект наверняка будет негативным. Как минимум, понизится лояльность работников к компании. Кроме того, предупрежден, значит, вооружен. И если инсайдер знает, с какой системой имеет дело, он наверняка найдет ее слабые стороны и придумает, как обойти.

Также важно помнить, что хотя организации и практикуют различные системы для осуществления контроля за своими сотрудниками, однако при некорректной настройке они бесполезны. К примеру, недавний инцидент с сотрудником "Вымпелкома" показал, что несмотря на установленную в компании "Билайн" систему для предотвращения утечек информации, инсайдер "сливал" архивы с sms-перепиской высокопоставленных московских чиновников в течение нескольких лет.

Для полной уверенности в развенчании этого мифа приведем еще один пример-рассуждение. Большинство организаций имеют неправильную систему сохранения log-файлов, вследствие чего они не могут выявить произошедший инцидент. А когда это происходит, они не могут выявить нарушителя, так как могут быть настроены на отслеживание статистики короткого промежутка времени.

Компании должны быть бдительны, когда дело касается защиты критически важной, секретной информации от действий инсайдеров. Критично не только придерживаться вышеуказанных рекомендаций, но и внедрять современные превентивные технологии для снижения риска инсайда.

Дмитрий Авдосьев