Деятельность банка связана с обработкой огромного количества конфиденциальной информации – от персональных данных клиентов и сведений об их финансовых транзакциях до информации о планах регионального развития банка и возможных маршрутах инкассации. Целостность и безопасность данных – условие для поддержания высокого уровня репутации банка как финансового института и залог его успешности с точки зрения бизнеса.
При активном развитии ИТ-технологий сегодня банк стремится использовать новейшие разработки по защите информации. К их числу относятся и системы DLP (Data Loss Prevention), позволяющие предотвратить утечку конфиденциальных данных за пределы компании. В данной статье на примере комплекса «Дозор-Джет» мы рассмотрим ключевые возможности DLP-решений применительно к специфике банковской деятельности.
Существует определенный набор задач, решение которых позволит банковской организации защитить наиболее важные данные. Некоторые из них диктуются внешними регуляторами и нормативными документами, а другие – возникают в процессе деятельности банка и формулируются на основании его опыта работы. Экспертный опыт компании «Инфосистемы Джет» позволяет выделить те задачи, которые значимы для банковской организации. Предлагаем рассмотреть их более детально.
Задача № 1: соответствие требованиям регуляторов
Современный банк, обрабатывающий, передающий или хранящий номера платежных карт, должен соответствовать международному стандарту PCI DSS. Одно из требований стандарта – контроль (запрет) передачи номеров платежных карт в открытом виде с помощью различных технологий обмена сообщениями (электронная почта, мессенджеры и т.п.). И его невыполнение грозит банку крупными денежными штрафами.
Но могут существовать ситуации, когда пересылка платежных данных по открытым каналам оказывается частью бизнес-процесса банка, и их важно отличать от утечки. Например, электронная почта – обычный способ коммуникации между службой технической поддержки банка и клиентом, использующийся при решении вопросов, связанных с банковскими картами. В этом случае неизбежно фигурирование в сообщениях номеров платежных карт и некоторых других реквизитов в открытом виде. Абсолютный запрет или блокировка таких сообщений невозможны, так как это неблагоприятно скажется на качестве клиентских сервисов банка. Комплекс «Дозор-Джет» позволяет находить различные платежные реквизиты в общем массиве сообщений.
Банк получает возможность идентифицировать переписку как содержащую платежные реквизиты. Следующим шагом является уведомление офицера безопасности банка о факте несанкционированной передачи данных клиента. Основанием для уведомления становится зафиксированное «Дозор-Джет» и превышающее норму количество номеров карт в одном сообщении. Эту норму каждый банк может определять самостоятельно, настраивая соответствующие параметры – более 1 номера, более 2 или 3 и.т.д.
Данная функциональная возможность комплекса «Дозор-Джет» используется и для выделения в информационном потоке персональных данных сотрудников и клиентов (номеров российских паспортов, Ф.И.О., БИК, ОКАТО, СНИЛС и других идентификаторов). Это позволяет обеспечить соответствие требованиям и других регуляторов, например, Федерального закона № 152 «О персональных данных».
Задача № 2: защита стратегически важной информации от утечки
В непрерывном контроле нуждаются все возможные каналы информационного обмена, так как стоимость утечки стратегически важной для банка информации может оказаться чрезмерно высокой. В данном случае мы говорим о мониторинге сообщений корпоративной почты, веб-почты (mail.ru, gmail.com и др.), социальных сетей, различных интернет-пейджеров (ICQ, Mail.Ru Агент и др.) и иных популярных каналов общения. Особый интерес представляют и открытые веб-сервисы (специализированные порталы), предназначенные для отправки sms-сообщений на мобильные телефоны.
Для чего это нужно? В качестве иллюстрации можно использовать реальный опыт «Дозор-Джет»: один из ведущих отечественных ритейлеров бытовой техники и электроники запланировал масштабную маркетинговую кампанию, на подготовку которой было затрачено более 1 млн долларов. Успешность кампании во многом зависела от её своевременности и новизны на рынке. Инсайдер использовал онлайн-сервис пересылки sms-сообщения для передачи информации о маркетинговых планах компании-конкуренту. «Дозор-Джет» позволил службе ИБ вовремя увидеть это сообщение, и менеджмент компании-ритейлера изменил планы так, чтобы избежать возможных финансовых потерь.
Задача № 3: строгая конфиденциальность документов
Особого контроля требует перемещение внутри банка и за его пределы договоров, служебных записок, внутренних приказов и других конфиденциальных документов. Например – содержащих информацию о планируемых структурных изменениях компании и предназначенных исключительно для топ-менеджмента. Их ценность безусловна, так как они часто содержат информацию о приоритетных направлениях развития бизнеса и их разглашение может обернуться значительными потерями кадрового состава (в некоторых случаях отток кадров вследствие преждевременного разглашения информации о структурных изменениях составлял до 30%).
«Дозор-Джет» оповещает о появлении подобных документов на общедоступных файловых ресурсах и рабочих станциях сотрудников, не имеющих прав доступа к ним. Эти возможности обеспечиваются модулями инспектирования файловых ресурсов и цифровых отпечатков DIFI. Для каждого созданного конфиденциального документа автоматически строится его цифровой отпечаток. Так формируется база эталонов, которая может делиться на индивидуально настраиваемые группы: «финансовые», «для топ-менеджмента», «внутренние документы» и т.д. Все сообщения и файлы, анализируемые системой, сравниваются с созданной базой эталонов. При полном или частичном совпадении комплекс регистрирует инцидент в соответствии с настроенными политиками.
Еще одним возможным каналом утечки конфиденциальных документов являются съемные носители (внешние жесткие диски, флеш-карты и др.), подключаемые к рабочим станциям. Этот канал утечки значим не менее других в силу своей доступности: все, что нужно инсайдеру – флешка или любой другой съемный носитель, на который можно скопировать необходимую информацию.
Одно из долговых агентств смогло предотвратить утечку базы данных, содержащей личные карточки должников. В этом случае в игру вступил механизм контроля файлов, перемещаемых между компьютером и съемным носителем: были созданы теневые копии файлов, отправленные в центральную часть комплекса для дальнейшего анализа, выполненного с помощью модуля идентификаторов IDID. Таким образом, «Дозор-Джет» выявил персональные данные в копируемых файлах и оповестил офицера ИБ о факте их несанкционированного копирования. В результате база данных не покинула пределы компании, а агентство избежало репутационных и финансовых рисков.
Задача № 4: выявление нецелевого использования рабочего времени
Повышение производительности подразделений, минимизация финансовых издержек, связанных с простоем бизнеса, оптимизация штата – банки, решая эти задачи, нередко сталкиваются с проблемой нецелевого использования сотрудниками рабочего времени. «Дозор-Джет» позволяет контролировать все каналы информационного обмена, в том числе относящиеся к категории развлекательных: социальные сети, интернет-пейджеры, Skype и пр. Комплекс учитывает возможность их использования и через анонимайзеры, благодаря использованию метода сигнатурного анализа сообщений, основанного на анализе структуры сообщений, а не адреса их назначения. База сигнатур комплекса обновляется автоматически из облачного сервиса, поддерживаемого специализированным аналитическим центром компании.
Важно учитывать то, что некоторые сотрудники используют данные каналы связи в рабочих целях. Запрет доступа к ним может оказаться неприемлемым, а предоставление доступа ограниченному кругу лиц – невозможным с технологической точки зрения. К примеру, для более эффективной работы отделу продаж необходимо использование Skype. Если разрешить использование этого сервиса менеджерам по продажам, то одновременно доступ к Skype получат и все остальные сотрудники компании, а на ИБ-подразделение ляжет обязанность контроля всех коммуникаций через Skype. Удачное решение в этом случае – контроль контента, передаваемого сотрудниками, представляющими наибольший риск с точки зрения утечек информации.
В частности, модули контроля Skype, внедренные в одной из компаний, позволили выявить факт общения сотрудников с конкурентной организацией и обнаружить передачу информации, являющуюся коммерческой тайной. В этом конкретном случае была попытка передачи конкуренту клиентской базы с помощью Skype. «Дозор-Джет» позволил службе ИБ предотвратить потерю клиентов и выявить «сговор» с целью «конкурентного шпионажа».
Задача № 5: работа с «охотниками за головами»
С точки зрения кадровой безопасности банку важно понимать уровень лояльности работников и своевременно получать информацию о его изменении. Например, один из сотрудников организации со своего рабочего места зашел на сайт, предназначенный для поиска работы, внес изменения в свое резюме: добавил новые сертификаты и обновил список реализованных им проектов. «Дозор-Джет» зафиксировал эти действия и направил офицеру безопасности соответствующее уведомление. Дальнейшая цепочка действий включила и информирование об инциденте кадровой службы, которая в итоге смогла сделать сомневающемуся сотруднику взвешенное предложение. Это позволило организации сохранить ценного профессионала, избежать простоя бизнеса и связанных с его уходом затрат на поиски, адаптацию и обучение нового специалиста.
Ситуация может развиваться и по иному сценарию. Но, в любом случае, своевременно полученная информация позволит HR-менеджменту компании принять обоснованное решение о том, как (и нужно ли) мотивировать сотрудника, либо готовить ему замену.
Цель на опережение
Востребованность «Дозор-Джет» в банковской среде объясняется тем, что он решает наиболее актуальные для банка задачи. Но, как и сфера ИТ в целом, продукт не является статичным, и, как говорят его разработчики, «Дозор-Джет» «вырос из потребностей заказчиков и продолжает расти». Обратная связь с банками, использующими «Дозор-Джет», позволяет его разработчикам «держать руку на пульсе» изменяющихся задач финансовых организаций. Новые релизы комплекса учитывают последние тренды, а зачастую и опережают их. Именно этот момент является ключевым в подходе к развитию продукта. Очередной релиз «Дозор-Джет» ожидается к концу мая 2012 года и будет содержать ряд обновленных возможностей, ориентированных на банковскую среду. Например, новая версия «Дозор-Джет» будет обладать функционалом для обработки сообщений Lotus Notes, новыми инструментами для анализа неструктурированных данных и многоуровневой системой прав доступа, которая рассчитана на эксплуатацию в крупных компаниях.
Авторы: Михаил Аношин, Виктор Аникеенко