Инфобезопасность в финсекторе: считайте риски и создавайте защиту
Рынок ИБ активно развивается на фоне общего спада в отрасли ИТ. Главным образом – благодаря усилению государственного регулирования, в том числе и в финансовой отрасли. Кроме того, к увеличению бюджетов на ИБ ведет рост числа угроз. Проблемы отрасли обсуждались на конференции «Информационная безопасность в финансовом секторе: угрозы и противодействие», проведенной в Москве 9 апреля 2015 г. агентством CNews Conferences совместно с CNews Analytics.Существующее положение дел осложняется тем, что ряд финансовых организаций сейчас вынужден ориентироваться на российские разработки, которые в области средств защиты развиты слабо, а то, что есть, преимущественно создается для удовлетворения требований регулятора. Генеральный директор компании «Инфозащита» Евгений Чанышев в этой связи заметил, что комплексную систему ИБ только на отечественных решениях построить пока нельзя: «У нас нет сегодня систем сбора и реляции событий, нет конкурентоспособных решений для защиты баз данных, проигрывают западным решениям системы IPS, фаерволы. И, в отличие от комплексных иностранных решений, существует проблема интеграции. Но потенциал все-таки имеется, и общая ситуация даже лучше, чем в некоторых других областях ИТ».
Уязвимые узлы ДБО
Источник: «Информзащита», 2015
Безопасность ДБО можно укрепить, но это нетривиальная задача. Она сложна и в области борьбы с мошенничеством, поскольку в отличие от грабителей и хулиганов мошенник от начала и до конца старается выглядеть обычным и безопасным человеком. Ведущий менеджер по развитию бизнеса «Информзащиты» Алексей Бабенко считает, что можно приблизиться к идеальной антифрод системе, сделав мошенничество максимально сложным в каждом узле: «Есть несколько вариантов, каждый со своими недостатками и достоинствами. Первый подход – внедрить систему, «стену», но что мы отслеживаем, от кого защищаемся? Это отсекает только часть проблем. Второй подход – традиционный – ничего не делать, списать потери на риски бизнеса. И третий – разумный. Вместо одной большой «стены» внедрить средства контроля, проактивного мониторинга, которые помогут понять, от кого защищаемся».
Страховать не только прямой ущерб, но и расходы
Снизить ущерб от киберпреступлений поможет страхование. Причем в сфере информационной безопасности оно имеет свою специфику. О нем рассказал руководитель отдела страхования финансовых рисков AIG Владимир Кремер. «Информационная безопасность – это управление рисками. Нужно оценивать риск, в случае инцидентов возмещать убытки и разбираться, что же произошло. Причем убытки – это не только непосредственный ущерб от, например, кражи средств со счета, но и оплата связанных с инцидентами расходов, а это большие суммы», - сообщил он.
В мире более 2,5 млрд долларов было выплачено по страховым программам возмещения расходов, связанных со штрафами (для России это актуально, например, при компрометации персональных данных), с расследованиями, перерывами в работе и другими, включая расходы на преодоление репутационных рисков и риска потери клиентов. Компания AIG разработала соответствующую программу под названием CyberEdge с учетом российской специфики.
Структура киберинцидентов
Источник: AIG, 2015
Кроме обязательных покрытий убытков в связи с нарушениями данных, затрат на расследование и расходы на реагирование, полис также покрывает ряд дополнительных рисков, в частности, перерывы в производстве, вызванные всеми типами кибер-атак, виртуальное вымогательство и сбои в работе сети по причине кибер-инцидента. Предусматриваются также расходы на преодоление репутационных рисков и риска потери клиентов.
Защита от инсайдера
По-прежнему головной болью для служб ИБ остаются инсайдеры. Никакие технические средства обнаружения и предотвращения утечек информации не помогут компании, если службы ИБ не анализирует поведение сотрудников. В этой связи начальник управления режима ИБ департамента защиты информации Газпромбанка Алексей Плешков рассказал о классификации инсайдеров и в качестве примера привел иностранный алгоритм выявления «несунов» чувствительной для банка информации: «Внимание службы безопасности должны привлекать сотрудники, подпадающие под описание в следующих случаях. Если обнаруживается несовпадение при проверке биографических данных, если кандидат жалуется на предыдущего работодателя, если сотрудник знает то, что не должен знать по уровню допуска, если сотрудник хвалится, что может обойти действующую систему защиты, если при виде начальника он быстро переключает экран монитора, если он слишком редко ходит в отпуск, а также если он негативно реагирует на изменение своего положения в компании».
Спикер также напомнил о необходимости соблюдать процедуры ИБ: «Так называемая защита от дурака работает, потому что выполнение 20% стандартных правил безопасности выявляет 80% инсайдеров».
Мобильные угрозы
Как снизить риски мошенничества по операциям с платежными картами? Самая опасная область, по статистике – платежи через интернет-каналы. Главный специалист «Газкардсервис» Галина Соболь считает, что в ближайшее время есть шансы увидеть рост мошенничеств, связанных использованием мобильных устройств: «Если предпринимателям разрешат работать без контрольно-кассовых машин, используя для приема платежей мобильные устройства, это потребует от служб ИБ банков расширить модель угроз, пересмотреть реестр угроз и довести эту информацию до бизнес-руководителей. Я считаю, что риск будет высоким. Если в супермаркете POS-терминал от известного производителя достаточно безопасен, то устройства, например, на Android могут быть заражены зловредным ПО, и вероятность массовой компрометации карт повышается».
Без подписи недействительно
Классическая модель бизнеса в ИБ – это «качели», соревнование «щита и меча», антивирусов и вирусов. Начальник управления ИБ банка «Союз» Сергей Потанин предлагает отказаться от бесплодных попыток «создать доверенную среду внутри недоверенной»: «Мы можем оставить вирусописателей не у дел, если каждая команда процессору с нашей клавиатуры будет содержать электронную подпись. Для этого нужно только добавить к клавиатуре ПЗУ со скан-кодами и, возможно, USB-порт, в который пользователь будет вставлять личный донгл с электронной подписью. Так мы сразу отсечем возможность несанкционированной модификации создаваемых пользователем финансовых документов, таких как платежные поручения, и оставим одну опасность – попадание клавиатуры в чужие руки».
Презентации участников конференции