83% представителей банков признают, что инсайдерские угрозы создают больше рисков, чем внешние. Несмотря на это в банках по-прежнему часто недооценивают важность внедрения ПО для защиты от внутренних угроз. Почему директивы ЦБ не мотивируют изменить ситуацию? Как выглядит система защиты банка, данные клиентов которого невозможно купить в даркнете? Рассказывает председатель совета директоров «СёрчИнформ» Лев Матвеев.
- В этом году вы выпустили исследование с громким выводом, что банки и медкомпании теряют данные чаще всего. Исследование рисует довольно суровую картину. Так ли всё страшно?
- Главный неутешительный вывод, что банки в лидерах среди компаний, которые теряют персональные данные. Это 47% всех утечек, в два раза больше, чем в среднем по другим отраслям. Конечно, это опасная тенденция, ведь банки собирают и хранят наиболее чувствительные данные о россиянах.
- Больше утечек, потому что активнее выявляют?
- В этом есть правда. Банки больше другого бизнеса уделяют внимание защите данных, есть жёсткое регулирование. Поэтому общий уровень защиты от киберрисков выше. Но это справедливо только в плане защиты от внешних мошенников. Вопрос инсайдерских рисков не закрыт. Мне придётся долго перечислять слабые места документов ЦБ в подтверждение этому тезису. Для краткости обобщу: стандарты в плане защиты от внутренних рисков даны рамочно, а контроль исполнения даже этих неполных требований не описан. Получается, что необходимость защиты от инсайдеров не директива, а рекомендация.
Результат налицо: сервисы по вербовке инсайдеров в банках работают в русскоязычном сегменте даркнета практически открыто, можно купить данные и владельца платиновой карточки, и пенсионной. Каждый сталкивается с угрозой стать жертвой мошенника. Это ненормальная ситуация.
- А сами банки – они мотивированы по рекомендациям ЦБ применять защитное ПО?
- Малая часть «сознательных банков» – безусловно, да. Но кто-то рассуждает: «За это не штрафуют. Пронесёт». Добавим к этому, что клиенты банков не предъявляют гражданские иски по фактам утечек, хотя, уверен, и до этого дойдёт рано или поздно.
Но ведь утечки – это только вершина айсберга. Инсайдеры часто и сами организуют схемы, которые наносят клиентам (а через них и банкам) прямой финансовый ущерб. Сотрудники снимают деньги со счетов, о которых клиент, вероятно, забыл; подменяют телефонные номера в карточках клиентов, чтобы незаметно вывести средства; открывают счета, чтобы «прогонять» по ним деньги. Из самого безобидного, что встречали наши аналитики, – сообщения «по дружбе» о том, сколько денег на счету у бывшего мужа.
Всё это выливается в большие хлопоты, ведь новости о сливах и махинациях сотрудников всё чаще просачиваются в СМИ и создают имиджевый ущерб, банкам приходится обращаться в суд, чтобы наказать инсайдера – 31% это делают.
- Но ведь банки себе не враги, чтобы создавать хлопоты по расследованиям, судебным тяжбам...
- Конечно, в банках хорошо осознают риски. Но в вопросах защиты организации часто находятся в иллюзии контроля, ставя ИБ-решения в недостаточном объёме. Например, обеспечивают DLP-системами 2 тысячи ПК из 10 тысяч. Логика такая: «мы контролируем 10-20% персонала на самых критичных местах». Это лучше, чем ничего, но в целом это неверная практика. Закрывать парадную дверь, оставляя при этом открытым чёрный ход и окна заодно – так себе стратегия.
Предотвращать инциденты — задача хоть непростая, но и не фантастическая. А ведь есть образцы ответственной работы, вы это можете видеть по предложению в даркнете – данные некоторых банков очень сложно или невозможно купить.
- Давайте тогда поговорим о том, какой должна быть образцовая организация защиты данных?
- В выстраивании защиты от инсайдерских рисков нужен комплексный подход. Достаточно двух элементов: качественное ПО и профессиональная служба безопасности. Просто поставить программу и забыть – нельзя, с ней нужно работать.
Что касается защитного ПО. DLP-система проконтролирует перемещение информации, документов и файлов по всем популярным каналам – от корпоративной почты и флешек до мессенджеров и облачных хранилищ. Это также программа для расследований, чтобы собрать информацию по случившемуся или готовящемуся нарушению. Как мы видим из материалов судебных дел против инсайдеров-нарушителей, данные из DLP-систем постоянно фигурируют как доказательства.
Но в банках есть иные внутренние проблемы. Функционала DLP для их решения не хватит, нужны другие классы софта. DCAP – для аудита файловой системы, программа классифицирует информацию по степени критичности, показывает, кто имеет к ней доступ. В случае с банками актуальнее всего задача по персональным данным. DAM-решение выявляет обращения и манипуляции с информацией в базах данных. Тут тоже далеко за примером ходить не нужно. Суды завалены историями, как сотрудники обращаются к карточкам клиентов, чтобы заменить номер телефона и незаметно для владельца счёта вывести с него деньги.
Если в банке работает комплекс решений из DLP, DAM и DCAP, можно говорить о защите на основных уровнях: баз данных, файлов, каналов передачи информации.
- Вы развиваете линейку своих продуктов именно в этом направлении?
- Да, помимо нашего флагмана DLP-системы «СёрчИнформ КИБ» мы вывели на рынок систему файлового аудита «CёрчИнформ FileAuditor». Сделали это в прошлом году и очень вовремя, заказчикам была нужна отечественная разработка, до нашего решения на рынке были представлены только зарубежные аналоги. В этом году мы готовим к релизу DAM-систему «СёрчИнформ DataBase Monitor». Она в автоматизированном формате будет фиксировать все изменения в базах данных – добавление, удаление, изменение информации.
Заказчики также внедряют наше ПО для автоматизированного профилирования сотрудников «СёрчИнформ Profile Center». Это продукт, который упрощает жизнь службам безопасности, потому что определяет группы риска, сильные и слабые стороны сотрудников, склонность к нарушению правил и т.п.
- Как вы как вендор реагируете на кризис? Перестраиваете работу компании?
- Мы делаем решения экономичнее, вендоры обязаны идти по пути оптимизации своего софта, особенно в нынешних условиях. Ещё в прошлом году мы изменили архитектуру системы, и это позволило увеличить быстродействие DLP на 30% и расширить спектр решаемых задач – искать данные в очень больших сетях, например. Раньше для этого заказчикам приходилось выделять большие ресурсы: размещать дополнительные сервера, диски. Продолжаем работы по совершенствованию интерфейса, чтобы сложную аналитику можно было проводить в несколько простых действий. Дорабатываем механизмы работы с архивом, а это значит опять же, что заказчику можно будет снизить затраты на закупку СХД и другого «железа» для работы с данными из программы.
И главное, экономичен сам наш подход – комплексность решений, которые работают в бесшовной интеграции. Это позволяет снизить затраты на персонал – не нужно раздувать штат, чтобы каждый специалист работал с одной системой.
Но я всегда призываю не верить вендорам на слово, надо проверять программы в реальных условиях вашего банка. Каждый из продуктов доступен для тестирования в полном функционале, лучше всего ставить на тест весь комплекс решений, нагрузить их максимально и сделать выводы самостоятельно. Оставьте заявку у нас на сайте.
