|
|
Обзор подготовлен
Инсайдер может выбросить USB-токен или подсмотреть чужой пароль, но вряд ли сможет обмануть биометрическую систему. Она точно определит сотрудника, получавшего доступ к информационному ресурсу в определенное время. Усиливая уровень информационной безопасности, такая система одновременно значительное снижает нагрузку на службы Help Desk и затраты на решение инцидентов с паролями.
Проблемы утечки корпоративной конфиденциальной информации и способы минимизации данных рисков традиционно актуальны для руководителей служб информационной безопасности. Общий финансовый ущерб от инсайдерских утечек в мире в прошедшем 2010 году составил более 200 000 000 долларов США.
Согласно опросу компании Perimetrix, респондентами которого выступили руководители департаментов ИТ и ИБ, более 70% угроз информационной безопасности приходится на утечки информации, а наибольшему риску утечки подвержена следующая информация: персональные данные (68%), финансовые отчеты (41%) и детали сделок (40%)**.
Информация, наиболее подверженная утечке
* По результатам отчета компании InfoWatch «Глобальное исследование утечек 2010»
** Респонденты опроса компании Perimetrix имели возможность выбрать 2 наиболее подходящих варианта ответа
Наиболее остро вопрос защиты от утечек корпоративной информации стоит в банках и страховых компаниях, так как несанкционированный доступ к конфиденциальной информации (счета и персональные данные клиентов, финансовые отчеты, доступ к проведению транзакций) в данных организациях и их утечка выражается в колоссальных потерях – как финансовых, так и репутационных. Если расчет прямых финансовых потерь возможно произвести с высокой точностью, то репутационные риски оценить гораздо труднее, а ведь именно они в перспективе могут нанести Банку больший урон.
Разумеется, учитывая силу влияние репутационных рисков, при возникновении подобных инцидентов представители банков делают все возможное, чтобы данная информация не попала в средства массовой информации. Но на 100% предотвратить публикацию информации невозможно - так, в период 2009-2010 в СМИ широко обсуждались несколько серьезных инсайдерских утечек в западных и российских банках. Например, вспомним инцидент в Приват Банке (Великобритания), сотрудник которого - Аллен Картер - попытался украсть 1,2 миллиона фунтов стерлингов с помощью персональных данных клиентов, содержащихся в базе данных банка. Или инцидент в Азиатско-Тихоокеанском банке (АТБ), завершившийся 4 годами колонии строгого режима для сотрудницы Елены Хороших, переводившей деньги со счетов VIP-клиентов на собственный.
Традиционно особое внимание сотрудники департамента информационной безопасности банков уделяют защите от несанкционированного доступа (НСД) к информационным ресурсам, так как именно этап получения доступа к ценной информации является фундаментальным в вопросах информационной безопасности и инсайдерских рисков.
Наиболее популярными средствами защиты от НСД являются: USB-токены, смарт-карты, пароли, биометрическая идентификация. Первые два средства являются аппаратными. При всех своих преимуществах, они имеют один большой недостаток – это материальные идентификаторы сотрудника. При использовании данных средств, система идентифицирует материальный носитель, а не конкретного человека. Соответственно, при краже или преднамеренной передачи данного идентификатора злоумышленникам риски получения доступа не имеющего на это право сотрудника достаточно высоки.
Использование паролей еще более рискованно, поскольку сами правила их использования в корпоративной информационной среде определяют высокие риски компрометации. Например, пользователи должны обладать разными паролями к каждому приложению или модулю информационной системы, а сам пароль должен содержать около 9 неповторяющихся символов и букв. Такое количество комбинаций практически невозможно держать в уме, что заставляет сотрудников использовать для их хранения телефоны, текстовые файлы на рабочей станции либо банально записывать их на post-cards и хранить на столе.
Биометрическая идентификация, в свою очередь, лишена описанных выше недостатков: во-первых она гарантирует предоставление доступа конкретному сотруднику (а не его материальному идентификатору) и предотвращает возможность кражи или потери идентификатора, во-вторых устраняет неудобства для пользователей (им не нужно ничего запоминать или хранить, их идентификатор, отпечаток пальца, всегда с ними).
Кроме того, при возникновении инцидентов, биометрические системы идентификации могут с точностью определить сотрудника, получавшего доступ к информационному ресурсу в определенное время, а также записывать скрытую историю манипуляций, произведенных администратором, и передавать ее в службу ИБ.
За прошедший год, одним из самых крупных проектов по внедрению биометрической идентификации в банковской отрасли стала инсталляция системы BioLink IDenium в Западно-Сибирском коммерческом банке. Система установлена в головном офисе и 24 филиалах и обеспечивает централизованное управление доступом к информационным ресурсам банка, благодаря полной интеграции со службой каталогов Microsoft Active Directory.
По отзывам службы информационной безопасности Забсибкомбанка внедрение системы обеспечило двойной эффект: усиление уровня информационной безопасности и минимизация рисков НСД с одной стороны, значительное снижение нагрузки на службу Help Desk и затрат на решение инцидентов с паролями – с другой. Оценивая показатель ROI от внедрения системы IDenium как высокий, руководство банка приняло решение о масштабировании системы на все филиалы в России.
Антон Михайлов