Потеря информации: способы борьбы
Информация – жизненно важный ресурс в банковском деле. Она хранится и обрабатывается в вычислительных системах банков, а потоки данных перемещаются по внутренним и внешним коммуникациям: где контролируемо, а где совершенно бесконтрольно. Безопасность ее использования в банках порой оставляет желать лучшего. Выходом может стать применение комплекса предупредительных мер.Без вины виноватые
"Запретительная" политика не учитывает, что некоторая доля рисков в процессе эксплуатации КИС возникает не только из-за несанкционированных действий, но и в случае непреднамеренных ошибок сотрудников. Они также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.
Например, большинство сотрудников одного из банков завели обычай хранить пароли на липком листочке бумаги, приклеенном снизу к клавиатуре. При таком подходе руководству организации остается лишь уповать на лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов.
Поэтому, помимо внедрения технических и программных средств, необходимы комплексные меры предупредительного характера. Они позволяют информировать служащих о недопустимых действиях с информацией ограниченного использования. Хороши все средства: законодательные инициативы, в арсенале которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последнее случается даже не злонамеренно, а просто потому, что есть возможность обработки данных в домашних или других условиях. Тут вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от несанкционированного доступа.
Однако в банках часто применяется сразу несколько информационных систем, и их сотрудникам физически трудно, почти невозможно запомнить аутентификаторы всех своих аккаунтов. Особенно если сотрудники ИТ-департамента включают режим периодической смены паролей с проверкой на уникальность и надежность. "Сотрудники будут использовать "подручные средства", чтобы облегчить себе жизнь. Это повлечет вероятность использования аккаунтов других сотрудников, злоупотребление доверием коллег, а при наихудших сценариях – хищение и утечку информации под прикрытием чужих рабочих профилей. По сути, несанкционированный доступ к данным", – отметил генеральный директор компании "Индид" Алексей Баранов.
Значительную часть вопросов по ИБ могут разрешить новейшие программные и аппаратные технологии и комплексы. Можно использовать такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами: многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам банка.
Цена вопроса
Осмысленность внедрения подобных технологий обусловливается экономическим фактором. В таблице приведен расчет возврата инвестиций от внедрения программного комплекса Indeed-Id Enterprise ESSO.
Параметр экономии | Рублей в год | Часов в год на пользователя, в соответствии с применением технологии строгой аутентификации Indeed-Id |
Доступ пользователя к рабочему столу Windows | 598 | 1,8 |
Доступ пользователя в ИТ-системы | 2992 | 8,8 |
Периодическая смена пароля учетной записи Windows | 17 | 0,05 |
Периодическая смена пароля учетных записей ИТ-систем | 85 | 0,25 |
Блокировка рабочего стола Windows | 149 | 0,44 |
Инцидент "Забытый пароль" учетной записи Windows | 119 | 0,34 |
Инцидент "Забытый пароль" учетной записи ИТ-системы | 119 | 0,34 |
Post Single Sign-On Automation | 498 | 1,5 |
Итого на одного пользователя в год | 4580 | 13,52 |
Итого на всех пользователей в год | 9159133 | 27040 |
Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб, на которых, согласно расчетам компании, возможна экономия средств. В правой – результаты этой экономии в течение одного года.
Как следует из приведенной таблицы, при количестве пользователей КИС около 2 тыс. сотрудников и средней зарплате в компании 60 тыс. руб., цифра экономии средств на разрешение инцидентов и проведение периодических мероприятий ИТ-отдела, только по этому аспекту обеспечения ИБ банка, в течение года может превысить 9 млн руб. Вряд ли в банковском бизнесе найдется руководитель, решающий игнорировать источник потерь такого масштаба в долгосрочной перспективе. Тем более если сумма соотносится с размером годового ИТ-бюджета банка на реализацию мер по защите корпоративной информации.
Технический консультант компании Symantec Олег Головенко отметил, комментируя исследование, проведенное его компанией в 2011 году, что объемы утечек данных в российских компаниях увеличиваются год от года. "Результаты проведенного нами исследования наглядно показывают, что из-за действий инсайдеров (умышленных или совершенно невинных) конфиденциальные данные компаний беспрепятственно покидают корпоративные сети и утекают во внешний мир", – подчеркнул он.
Технологии на рынке существуют, а руководителям банковских учреждений стоит сделать выбор: будут сотрудники банка клеить под панель рабочих столов стикеры с паролями или начнут применять безопасные технологии в работе с информацией. Принятые в этом направлении решения окажут значительное влияние на качество, безопасность и, как следствие, успешность в банковском бизнесе. Выражение "деньги предпочитают тишину" имеет непосредственное отношение к происходящему сегодня в круговороте банковских информационных потоков и бурному развитию мобильного банкинга.
Сергей Мажаров