|
|
Обзор подготовлен
При поддержке
Акценты, расставляемые в своей работе службами риск-менеджмента и ИБ в финансовых организациях, смещаются в сторону внутренней безопасности. Тренд последнего времени - управление приватностью данных постепенно переходит из тактической плоскости в область стратегически важных задач финансистов.
В отличие от промышленных компаний, финансовые организации не производят материальных благ. Их продукт – высокотехнологичные услуги. Как следствие, важнейшим активом любого банка, страховой или лизинговой компании является информация. Например, о состоянии фондового рынка, о кредитных историях, или о рисках, свойственным различным отраслям. Все это значит только одно – эту информацию необходимо защищать.
«Защита конфиденциальной информации действительно является одной из основных задач нашего банка, - соглашается заместитель начальника службы безопасности по ИБ «АйСиАйСиАй Банк Евразия» Фарит Музипов. – При этом речь идет не только о конфиденциальной информации самого банка, но и наших клиентов. Представьте, как пострадает репутация кредитной организации, если персональные данные клиентов станут общедоступными или информация об их счетах попадет в руки мошенников. Такая ситуация вполне может произойти, если внутренняя база банка покинет его пределы».
Как показывает исследование «Enterprise@Risk: 2007 Privacy & Data Protection Survey», выполненное Deloitte & Touche в сотрудничестве с Ponemon Institute, лишь немногие банки способны грамотно защищать свою информацию. По данным исследования, 85% организаций допустили хотя бы одну утечку приватной информации за последний финансовый год.
Количество утечек постоянно растет, однако большинство компаний продолжают применять в основном реактивные меры, т.е. фактически занимаются лишь ликвидацией последствий постфактум. Большинство респондентов исследования отметили, что на предотвращение утечек - анализ, разработку стратегий защиты и обучение сотрудников - уходит слишком мало времени и средств.
Вместе с тем, опрос показал, что руководители финансовых организаций начинают уделять гораздо больше внимания именно предотвращению утечек, а не ликвидации их последствий. С каждым годом растет популярность «проактивных» средств защиты, которые применяются в совокупности с традиционными «реактивными» решениями. Таким образом, управление приватностью данных переходит из тактической плоскости, в область стратегически важных задач финансовой организации. Это – тренд последнего времени.
«Размер репутационных и материальных потерь, возникающих в результате утечки информации, очень велик. Этот риск необходимо рассматривать в рамках стратегии компании, при непосредственном контроле топ-менеджера». Хорошим доказательством данного утверждения исследования «Enterprice@Risk: 207 Privacy & Data Protection Survey» могут служить числа, опубликованные в другом исследовании Ponemon Institute. Этот институт проводит специальную работу по изучению средней стоимости утечки данных. Согласно последним оценкам, стоимость потери персональных данных одного человека в 2007 году составила 197 долларов, что на 7% превышает аналогичный показатель за предыдущий год. Нетрудно оценить, что при потере базы данных всего 5 тыс. человек, банк лишится порядка 1 млн долларов
«Большинство компаний используют «тактический» подход к данной проблеме, рассматривая ликвидацию каждой утечки, как отдельный проект. Действуя таким образом, нельзя минимизировать стратегический риск». Тактические меры по своему определению не способны полностью покрывать стратегический риск. Использование реактивных мер – есть наиболее простой и последовательный способ борьбы с утечками, поскольку решение проблемы наступает после ее возникновения. Однако такой подход локализует исполнителя в рамках одной ситуации, что не позволяет оценивать проблему утечек в целом.
«Отличным потенциалом для снижения рисков утечки обладают компании, внедряющие эффективные и всеохватывающие программы обучения сотрудников». Данный тезис является всего лишь проекцией общего положения о том, что защита от внутренних угроз является комплексной задачей, требующей организационных и технических мер и, в частности, обучения сотрудников. По данным другого исследования Deloitte, «Global Security Survey», около 91% руководителей организаций всерьез обеспокоены проблемами, возникшими в результате ошибок сотрудников. Как следствие, обучение персонала работе с приватными данными является одной из приоритетных, а главное, хорошо понимаемых задач каждой финансовой компании
Вместе с тем, совершенно очевидно, что обучить всех сотрудников банка абсолютно нереально. И даже если это сделать, то все равно найдется энтузиаст, который нарушит четко выстроенную политику безопасности. «Решить проблему только административными способами невозможно, - считает Фарит Музипов. – Обучение является необходимой, но недостаточной мерой защиты. Оно практически бессмысленно без информационных систем внутреннего контроля, которые не устают и не проявляют халатность.
Можно даже провести следующую аналогию. Только участие человека может обеспечить прорыв и захват новых территорий, но человеку свойственно и отступать. И именно автоматизированные решения призваны сохранить «линию фронта», когда человек устает и не способен наступать или защитить то, что уже завоевано».
«Результаты опроса доказывают, что организации осознают суть действий, необходимых для покрытия рисков управления и защиты конфиденциальных данных». Наверное, рост осведомленности финансовых компаний является вполне естественным процессом. Ни одна компания не хочет второй раз наступать на те же грабли, и потому проводит ряд мер, призванных предотвратить повторную утечку. Однако решение о том, какими должны быть превентивные меры, как правило, оказывается весьма трудной и объемной задачей, требующей внимания со стороны руководства компании. В настоящее время, предложение систем DLP (Data Loss Prevention) растет значительными темпами, а значит – у организации появляется возможность выбора единственно верного решения.
Кроме того, исследователи утверждают, что «без управления рисками, связанными с защитой собственных данных, финансовая компания не способна добиться успеха в долгосрочной перспективе». Отметим, что данное предложение не зависит от размера организации и применимо как к маленьким компаниям, так и к транснациональным финансовым корпорациям.
Среднее количество утечек приватных данных(в % от общего числа респондентов)
Источник: Deloitte, 2007
По результатам опроса 827 респондентов, лишь 6,5% его участников с уверенностью заявили о том, что в их компании утечек не произошло. В реальности количество «защищенных» компаний еще меньше, поскольку многие попросту не знают реального положения дел.
Примерно такое же количество опрошенных сообщило, что в их компаниях произошло от 1 до 5 инцидентов. Однако более 75% респондентов заявили, что их компания пострадала от 6 и более утечек приватной информации. Вспоминая данные исследования Ponemon Institute (стоимость одной утечки в среднем составляет 6,3 млн долларов) можно легко оценить примерные потери. Очевидно, что в случае крупных финансовых корпораций они исчисляются суммой, состоящей из восьми десятичных знаков.
Напомним, что по законам большинства развитых стран, организация обязана оповещать клиентов в том случае, если произошла утечка их персональных сведений. Если же была потеряна интеллектуальная собственность, финансовые показатели или стратегически важные документы самой компании, то и оповещать, соответственно, некого.
Количество утечек, требовавших оповещения(в % от общего числа респондентов)
Источник: Deloitte, 2007
Согласно статистике, львиная доля компаний столкнулась как минимум с одной утечкой, которая требовала бы оповещения. Вместе с тем, количество инцидентов «с оповещением» оказалось намного ниже общего числа утечек. Если 75% организаций заявляли о 6 и более утечках, то только 27% респондентов отметили больше 5 утечек «с оповещением».
Таким образом, в большинстве случае пропадает отнюдь не персональная информация клиентов, а проприетарные сведения финансовой организации. Как следствие, результаты исследования Deloitte можно смело переносить на российский рынок, поскольку в нашей стране никто не заставляет проводить оповещения. Подавляющее большинство российских утечек персональных сведений не выходят за пределы организации, и о них попросту никто не знает.
Другим важным показателем следует рассматривать количество потерянных записей, скомпрометированных в результате самой мощной утечки в течение года. Благодаря данной величине можно судить об объемах конфиденциальной информации, покидающей пределы организации.
Количество утерянных записей в результате крупнейшей утечки данных(в % от общего числа респондентов)
Источник: Deloitte, 2007
К сожалению, довольно большая доля опрошенных не указала сведения о масштабах самой серьезной утечки. Среди компаний, которые предоставили данные, 36% потеряли как минимум 5 тыс. записей. Легко понять, что это довольно большой объем информации, который нельзя написать на бумажке или напечатать на принтере. Таким образом, в современном мире может исчезнуть практически любой объем сведений – в том числе, и вся интеллектуальная собственность организации.
«В мировой практике было несколько утечек, в рамках которых была потеряна вся клиентская база компании. В феврале нынешнего года американская финансовая фирма Davidson Companies (штат Монтана) потеряла ноутбук с информацией о всех своих клиентах – а это 226 тыс. человек. По нашим оценкам, ущерб от этой кражи составил 35 млн. долл.», - отмечает руководитель аналитического центра компании Perimetrix Владимир Ульянов.
Чтобы определить пути решения проблемы утечек, специалисты Deloitte провели анализ ролей и распределение времени у специалистов. Ниже приведены диаграммы, отображающие реальные и идеальные затраты временного ресурса на различные мероприятия, осуществляемые при утечке конфиденциальных данных.
Реальное и идеальное распределение времени специалистов по безопасности при отклике на инцидент, (%)
Источник: Deloitte, 2007
Легко увидеть, что специалисты по безопасности уделяют слишком мало времени анализу причин, а так же составлению отчетов для руководства. Значительная его часть уходит на информирование о произошедшем клиентов и заинтересованных лиц, на что в идеале требуется совсем незначительный объем рабочего времени специалистов. Последний тезис говорит о том, что процесс ликвидации утечек во многих финансовых организация до конца не отлажен.
Важно другое – специалисты по безопасности четко осознают, что в идеале более 60% их времени должно быть направлено на стратегические действия. И, в частности, на планирование, исполнение программных целей и обучение персонала.
Реальное и идеальное время, которое затрачивают ИБ специалисты на обеспечение безопасности конфиденциальной информации, (%)
Источник: Deloitte, 2007
В данном случае реальное положение дел снова коренным образом отличается от идеала. Основные усилия прилагаются в области ликвидации последствий утечек, выполнения текущих заданий и разработки и внедрения новых систем безопасности данных. В идеале же, главное внимание должно уделяться стратегическому развитию, разработке образовательных программ и аналитике текущих средств защиты, что и отражено в таблице ниже.
Сравнительная оценка исследователей Deloitte
Следующие временные расходы должны быть уменьшены | |||
Реальные трудозатраты | Идеальные трудозатраты | delta | |
Ликвидация последствий | 23% | 10,15% | - 12,85% |
Административные меры | 10,8% | 4,51% | - 6,29% |
Защита данных | 12,25% | 8,02% | - 4,23% |
Следующие временные расходы должны быть увеличены | |||
Стратегическое планирование | 10,42% | 22,68% | + 12,26% |
Анализ и оценка текущей ситуации | 3,6% | 7,85% | + 4,25% |
Тренинги и образовательные программы | 3,86% | 9,74% | + 5,88% |
Источник: Deloitte, Perimetrix, 2007
Остальные действия, на которые расходуется время у специалистов, работающих с приватными данными, должны измениться незначительно, в пределах 3%. Собственно, цифры показывают, куда нужно смещать акцент сотрудникам для обеспечения наименьших рисков от информационных утечек. На данном этапе специалисты значительно чаще прибегают к реактивным мерам, нежели к проактивным.
Описание технологий защиты данных занимает в исследовании лишь пару страниц, что, по всей видимости, демонстрирует тот факт, что человеческий фактор в вопросе борьбы с утечками конфиденциальных данных имеет значительно более весомую роль.
Прежде всего, отметим, что авторы опроса, отобрали из всего многообразия решений для обеспечения информационной безопасности лишь те, которые имеют прямое отношение к защите приватных данных. Респондентам осталось назвать те продукты, которые используются в их компании. Результаты опроса приведены на следующей диаграмме.
Используемые технологии защиты конфиденциальных данных
Источник: Deloitte, 2007
Отметим, что применение специализированных технологий борьбы с утечками данных (DLP- решения) пока невелико. По мнению исследователей, существует несколько причин такой ситуации. Во-первых, организации не до конца понимают стратегические риски, связанные с безопасностью приватной информации, и, во-вторых, сам рынок DLP-систем еще молод, а многие представленные на нем системы являются недоработанными. Но, несмотря на это, специалисты Deloitte предполагают, что количество внедрений подобных систем будет неуклонно расти.
По мнению аналитического центра компании Perimetrix, аналогичную картину мы сможем наблюдать и в российских условиях, но с некоторой временной задержкой, как это происходит и во многих других областях. «Количество игроков, представленных на отечественном DLP-рынке, постоянно растет, - считает Владимир Ульянов. – Однако и спрос на DLP-системы увеличивается постоянно. В финансовом секторе последняя тенденция проявляется особенно ярко, и мы считаем банковский сегмент одним из наиболее перспективных».
Сергей Ершов