Информация - жизненно важный ресурс в банковском деле. Она хранится и обрабатывается в вычислительных системах банков, а потоки данных перемещаются по внутренним и внешним коммуникациям: где контролируемо, а где совершенно бесконтрольно. А безопасность ее использования в банковских учреждениях порой оставляет желать лучшего, делают выводы эксперты.
Изучая информационную безопасность предприятий и эффективность мер её обеспечения, реализуемых в настоящее время в корпоративных информационных системах (КИС) банков, поневоле обращает на себя внимание опрос, проведенный в 2011 году фирмой Sailpoint Technologies, в аспекте, несколько отстоящем от определений «защита компьютера от несанкционированного доступа» и «несанкционированный доступ к компьютерной информации» (НСД) – аналитики оценивали лояльность сотрудников компаний корпоративной этике в части работы с информацией ограниченного использования.
Исследование, проведенное на территории США, Великобритании и Австралии показало: из 3,5 тысяч опрошенных сотрудников (инсайдеров, по сути) достаточно большое количество могут и готовы украсть секретную информацию у своих компаний.
22% - в США, 29% - в Австралии и около половины респондентов - в Великобритании. 5% опрошенных в США, 4% в Австралии и 24% (!!!) в Великобритании продали бы информацию своей компании с целью личного обогащения.
Эти по меньшей мере впечатляющие сведения коррелируют с аналогичным исследованием, охватившим более 2 тысяч участников и проведенным в апреле 2011 года корпорацией Symantec совместно с сообществом Профессионалы.ру на территории Российской Федерации. В нем отразилась картина того, как сотрудники отечественных компаний обращаются с внутренней информацией.
Согласно этому опросу, около 70% работников «несут» деловую информацию, 68% используют социальные сети в процессе работы, а 56% готовы вынести не просто корпоративную, но информацию с атрибутами ограниченного доступа. В процессе исследования аналитики выявили четыре типа сотрудников-инсайдеров:
- 24% могут подвергнуть компрометации корпоративную вычислительную сеть, не подозревая об этом;
- 22% игнорируют базовые требования безопасности, при этом осознавая степень угрозы;
- 7% вошли в группу тех, кто преследует собственные корыстные цели;
- но 47% опрошенных служащих достаточно аккуратно обращаются с коммерческой тайной.
С точки зрения службы безопасности банка возможен вывод: никакие системы аутентификации, никакая защита данных от несанкционированного доступа и программные средства защиты информации неспособны удержать в узде распоясавшихся инсайдеров и просто сотрудников с низким уровнем осознания личной ответственности, компетентности, профессиональной подготовки. А выход в такой ситуации видится один: повышение уровня ограничений при работе в КИС, уменьшение области доступа, отключение всех «лишних» устройств, интерфейсов и шлюзов. Подобные выводы, вероятно, имеют право на жизнь: в настоящее время расследование преступлений, связанных с хищением информации, в России затруднено, не говоря уже об отсутствии судебных прецедентов по фактам инсайда. Сослаться на мнение авторитетных экспертов (инсайдеров в том числе) в этом вопросе тоже как-то не получается – российское банковское сообщество сдержанно комментирует инциденты в собственных информационных системах, предпочитая их скрывать или умалчивать.
Не отрицая очевидное, специалисты компании Индид (indeed-id.ru) считают - некоторая доля рисков в процессе эксплуатации КИС возникает не только вследствие несанкционированных действий с финансовой информацией, но и в работе сотрудников, совершающих непреднамеренные ошибки. Они также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.
В качестве примера «исполнения требований» при работе с информационными системами, CEO компании Индид Алексей Баранов привел даже не эпизод – обычай хранения паролей к учётным записям пользователей в одном из банковских учреждений, где компания проводила оценку состояния КИС перед развертыванием решения Indeed-Id Enterprise ESSO: для оперативного доступа к собственным паролям (от нескольких информационных систем, используемых в банке) большинство сотрудников использовали… липкий листочек бумаги в качестве средства хранения, а клавиатуру… в качестве «брандмауэра», приклеив к ней снизу записанные аутентификаторы. Понятно, что при таком подходе к уровню защиты от НСД руководству организации остаётся лишь уповать на лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов в КИС.
Очевидно, что помимо внедрения технических и программных средств существует необходимость реализации комплексных мер предупредительного характера, позволяющих информировать служащих о недопустимости тех или иных действий в отношении информации ограниченного использования. И здесь хороши все средства: законодательные инициативы, в составе которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последние совершаются порой даже не злонамеренно, а по принципу доступности информации и возможности её обработки в домашних или других условиях. В этих случаях вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от НСД.
Это в общем. Но говоря о банках, где часто применяется сразу несколько информационных систем различного назначения, стоит отметить еще одну характерную особенность: сотрудникам таких учреждений физически трудно, практически невозможно - удержать в памяти аутентификаторы своих аккаунтов, особенно после того, как сотрудники департамента ИТ включают режим периодической смены паролей с проверкой на уникальность и надёжность, подчеркивает Алексей Баранов. «И значит, сотрудники будут использовать упомянутые «подручные средства», чтобы облегчить себе жизнь. Подобный выход из создавшейся ситуации, как следствие - повлечет за собой вероятность использования аккаунтов других сотрудников, злоупотребление доверием со стороны коллег, а при наихудших сценариях – хищения и утечки информации под прикрытием чужих рабочих профилей, по сути, несанкционированный доступ к данным», - отметил он.
Значительную часть вопросов из сферы информационной безопасности (ИБ) в банковских учреждениях могут разрешить новейшие программные и аппаратные технологии и комплексы. Здесь могут быть использованы такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами - многофакторная аутентификация, система управления учётными записями, централизация доступа пользователей ко всем информационным системам, используемым в банке.
Осмысленность внедрения подобных технологий обусловливается также экономическим фактором, подчеркивают специалисты компании-разработчика и указывают на проведенный расчёт возврата инвестиций от внедрения программного комплекса Indeed-Id Enterprise ESSO (см. таблицу ниже):
Параметр Экономии | Рублей в год | Комментарии |
Доступ пользователя к рабочему столу Windows | 598 | В соответствии с применением технологии строгой аутентификации Indeed-Id, что дает экономию времени размером 1.8 часов на каждого пользователя в год. |
Доступ пользователя в IT-системы | 2992 | В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 8.8 часов в год на каждого пользователя |
Периодическая смена пароля учетной записи Windows | 17 | В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.05 часов в год на каждого пользователя |
Периодическая смена пароля учетных записей IT-систем | 85 | В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.25 часов в год на каждого пользователя |
Блокировка рабочего стола Windows | 149 | В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.44 часа в год на каждого пользователя |
Инцидент "Забытый пароль" учетной записи Windows | 119 | В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.34 часа в год на каждого пользователя |
Инцидент "Забытый пароль" учетной записи IT-системы | 119 | В соответствии с применением технологии строгой аутентификации Indeed-Id дает экономию времени размером 0.34 часа в год на каждого пользователя |
Итого на одного пользователя в год | 4,082 | |
Итого на всех пользователей в год | 8164000 (2,000 пользователей) |
Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб и инцидентов, на которых, согласно расчётам компании, возможна экономия средств. В правой – результаты этой экономии в течение одного года.
Как следует из приведённой таблицы, при количестве пользователей КИС около 2 тыс. сотрудников и средней зарплате в компании 60 тыс.руб., цифра экономии средств на разрешение инцидентов и проведение периодических мероприятий ИТ-отдела, только по этому аспекту обеспечения информационной безопасности банка, в течение года может достичь и превысить 9 млн. руб. Вряд ли найдется в банковском бизнесе руководитель, решающий игнорировать источник потерь такого масштаба в долгосрочной перспективе. Тем более, если эта сумма соотносится с размером годового ИТ-бюджета банка на реализацию мер по защите корпоративной информации.
Технический консультант компании Symantec Олег Головенко отметил, комментируя исследование, проведенное компанией в 2011 году, что объёмы утечек данных в российских компаниях увеличиваются год от года. «Результаты проведенного нами исследования наглядно показывают, что из-за действий инсайдеров (умышленных или совершенно невинных) конфиденциальные данные компаний беспрепятственно покидают корпоративные сети и утекают во внешний мир», - подчеркнул он.
Технологии на рынке существуют, а руководителям банковских учреждений стоит сделать выбор: будут сотрудники банка клеить под панель рабочих столов стикеры с паролями или начнут применять безопасные технологии в работе с информацией. Принятые в этом направлении решения окажут значительное влияние на качество, безопасность и как следствие - успешность в банковском бизнесе. Выражение «деньги предпочитают тишину» имеет непосредственное отношение к происходящему сегодня в круговороте банковских информационных потоков и бурному развитию мобильного банкинга.