Утечки обходятся банкам слишком дорого
Исследование Deloitte показало, что одной из наиболее сложных проблем является контроль над информационными активами, покидающими корпоративную среду. Аналитики отмечают, что такие операции намного сложнее контролировать и протоколировать. Лучше всего проблему иллюстрирует бум мобильных и беспроводных технологий, в результате которого организациям стало еще труднее защищать конфиденциальную информацию и приватные данные. Между тем, технические решения, ограничивающие использование коммуникационных возможностей ИТ-инфраструктуры, вызывают отторжение и недовольство пользователей. Еще одной опаснейшей угрозой является кража личности, которую аналитики Deloitte назвали «преступлением XXI века». Согласно исследованию «2006 Global Security Survey», защита от кражи личности и мошенничества со счетами являются двумя основными приоритетами, на которых большинство (58%) финансовых компаний сфокусируют свои усилия в следующем году. Чтобы справиться с этой задачей, банки и страховые фирмы по всему миру будут внедрять специальные решения для защиты конфиденциальной информации. Проблема усугубляется постоянными утечками классифицированных данных, многие из которых стали известны публике в 2005 году. 18% финансовых компаний сообщили, что в той или иной степени стали жертвой утечки конфиденциальной информации за прошедший год и теперь страдают от долгосрочных отрицательных последствий этого инцидента. Аналитики Deloitte отмечают, что современные злоумышленники прекрасно осведомлены о ценности персональных данных клиентов фирмы, поэтому идут на самые разные хитрости, чтобы заполучить эти сведения. Например, крадут ноутбуки и другие мобильные устройства, пытаются обмануть служащих call-центра или инсайдеров, имеющих доступ к информации. Довольно часто компрометация важных данных является следствием человеческого фактора. Персонал финансовых компаний недостаточно подкован в вопросах информационной безопасности (ИБ), поэтому часто ошибается и путает классифицированные записи с публичными. Таким образом, эффективная защита конфиденциальной информации — это то, к чему стремятся финансовые компании по всему миру. Многие фирмы уже осознали, что наличие адекватной системы внутренней ИБ и отсутствие утечек являются конкурентным преимуществом, позволяющим завоевывать новых клиентов и удерживать старых. Направления развития ИБ Аналитики Deloitte указывают, что каждой финансовой компании необходима стратегия ИБ, в рамках которой должны строить конкретные программы по развитию системы ИБ. Исследование «2006 Global Security Survey» показало, что основными приоритетами современных финансовых компаний являются: совместимость с международными нормативными актами (67%), защита от кражи личности и мошенничества со счетами (58%), непрерывность бизнеса (49%), улучшение инфраструктуры (41%) и управление идентификацией (41%). Таким образом, вектор развития ИБ в финансовых компаниях указывается по направлению совместимости со стандартами и внутренней ИБ.
По мнению аналитического центра InfoWatch, обозначенные приоритеты в полной мере справедливы и для отечественных финансовых компаний. Например, сегодня в России действует стандарт Центробанка по ИБ, в котором черным по белому прописано (пункт 5.4): « Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Таким образом, российским банкам и страховым компаниям предстоит решать проблему совместимости с нормативными актами (в данном случае со стандартом ЦБ по ИБ) и защищаться от инсайдеров (как того требует стандарт и доводы логики). Внутренние угрозы Опрос ведущих финансовых компаний показал, что 49% респондентов зафиксировали внутренние инциденты за прошедшие двенадцать месяцев. В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов. 18% организаций стали жертвой утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Самые распространенные внутренние инциденты 2006
Утечки оказывают наиболее отрицательное влияние на имидж и репутацию организации. В этом году 72% финансовых компаний, которые пострадали от утечки, оценили свои прямые и косвенные убытки в районе 1 млн долларов, а у 2% респондентов ущерб превысил 5 млн долларов. При этом 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Можно резюмировать, что банки и страховые компании сегодня, как никогда ранее, являются чувствительными к утечке важной информации. Исследование «2006 Global Security Survey» показало, что финансовые компании стараются предотвратить утечку конфиденциальной информации с помощью тренингов персонала и внедрения новых технологий. Особое внимание при этом уделяется человеческому фактору. Так, подавляющее большинство респондентов (96%) озабочено тем, что служащие могут злоупотреблять своим доступом к корпоративной информационной системе. Поэтому 34% этих компаний провели тренинги персонала в течение последнего года. Меры по борьбе с инсайдерами
В целом, организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор 42%, операционные ошибки 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов из-за того, что инсайдеры целенаправленно совершили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих. Средства мониторинга операций, которые пользователи осуществляют с классифицированной информацией, действительно не так популярны среди российских финансовых компаний, как среди крупных мировых банков и страховщиков. На рисунке ниже приведены результаты исследования «Внутренние ИТ-угрозы в России 2005», в ходе которых компания InfoWatch опросила более 40 отечественных финансовых компаний. Несмотря на позитивное отношение респондентов к техническим средствам защиты от утечек в «теории», на практике эти решения внедрены лишь в нескольких наиболее крупных фирмах. Пути защиты от утечки данных, 2004-2005
Аналитики установили, что выявление утечек конфиденциальной информации по-прежнему является проблемой для некоторых организаций. Хотя почти 40% банков и страховых компаний не только фиксируют утечки, но и сообщают о них в правоохранительные органы и прессе, практически одна треть респондентов (30%) вообще даже не пытается выявлять утечки. Подходы банков к выявлению утечек информации
Такую практику вряд ли можно назвать эффективной, так как своим поведением компания фактически поощряет инсайдеров к осуществлению незаконных действий. Между тем, выше уже отмечалось, что современные служащие прекрасно осведомлены о той ценности, которую представляет приватная информация клиентов финансовой компании. Следовательно, многие инсайдеры действительно могут воспользоваться тем, что работодатель вообще никак не выявляет утечки. Таким образом, проблемы внутренней ИБ — защиты от утечек и инсайдеров — по-прежнему возглавляют список приоритетных задач, которые банкам и страховым компаниям придется решать в течение ближайшего года. Алексей Доля |
По данным исследования Deloitte, семь утечек из десяти обходятся пострадавшей финансовой компании более чем в 1 млн долл. Очевидно стремление банков к эффективной защите конфиденциальной информации. Все больше участников рынка осознают, что наличие адекватной системы внутренней ИБ и отсутствие утечек являются конкурентным преимуществом, позволяющим завоевывать новых клиентов и удерживать старых.
