BIS Journal №1(36)/2020

30 марта, 2020

Семь раз отмерь

За последние 10-20 лет утечки стали казаться неизбежным злом в банковской отрасли, но, как и всякая проблема, утечки поддаются управлению по мере их структурирования и конкретизации. В статье мы рассмотрим ряд ситуаций, связанных с утечками в банках, предпринятые меры, а также упорядочим их, используя актуальные своды лучших практик.

 

СИТУАЦИИ И ПРЕДПРИНЯТЫЕ БАНКАМИ МЕРЫ

Ситуации 1-2. Российский банк с развитой розничной сетью и бизнесом кредитования (Банк А) обнаружил, что его потенциальных заемщиков уводят другие банки. Конкурентная борьба за клиента активизировалась сразу после проведения Банком А этапа кредитного конвейера «Оценка платежеспособности клиента». Таким образом, банк, понеся затраты на клиента, не получал от него дохода, и клиент становился убыточным без возможности поправить ситуацию.

По итогам расследования выяснилось, что клиенты получали контрпредложения от самых разных банков, а значит, маловероятно, что кто-то из сотрудников продал целую базу одному конкретному банку. Служба ИБ Банка А стала проводить техническое расследование всех обстоятельств работы с базами данных, но не нашла следов копирования и вывода всей базы, и приступила к анализу других каналов доступа к базе, в первую очередь, доступа розничных отделений.

В результате выяснилось, что сотрудницы розничных отделений воровали данные клиентов «по одному» и продавали их кредитным брокерам. Так как доступ к данным клиентов является рабочей необходимостью сотрудников отделений, то запретить его было нельзя, но банк внедрил специализированное программное обеспечение (WAF - Мера 1), которое выявляло подозрительный доступ сотрудников розничного отделения к клиентским данным с помощью технологий машинного обучения.

В частности, система считала аномально большое число обращений к данным (больше, чем у других сотрудников такого же профиля), а также аномально большое число обращений во внеурочное время – время, когда другие сотрудники отделения не могли спросить коллегу, почему он (она) переписывает данные клиента.

В подобной ситуации другой российский инвестиционный банк (Банк Б) использовал другое решение: внедрил программное обеспечение, целью которого была простая запись всего, что происходило на экране и всего что вводилось с клавиатуры (UBA - Мера 2). Сотрудники знали, что за ними ведется наблюдение и не имели возможности массового безнаказанного воровства информации.

Ситуация 3. Российский банк с развитой сетью POS-кредитования (Банк В) в рамках реализации стратегии информационной безопасности решил выявлять перемещение больших объёмов данных – потенциальных утечек. Банк запросил коммерческие предложения производителей решений класса «предотвращение утечек» (DLP), но предложенные варианты показались ему дорогими. Вместо DLP банк внедрил комплекс мер, состоящих из межсетевого экрана следующего поколения (NGFW - Мера 3.1), обновления системы сбора и анализа событий безопасности (SIEM – Мера 3.2) и обновленных регламентов реагирования на потенциальные утечки. Совокупная стоимость владения комплексом мер был снижена в три раза (20 млн. руб. против 60 млн. руб. в случае с DLP).

Ситуация 4. Крупный российский банк с фокусом на обслуживание корпоративных клиентов (Банк Г) получил письма от вымогателей. Преступники угрожали раскрытием неведомо как полученных ими клиентских данных и даже предоставили на проверку образец – оказавшийся достоверным. Банк отказался платить преступникам и передал всю информацию в правоохранительные органы. В процессе расследования выяснилось, что клиентские данные Банка Г предлагались на подпольных форумах киберпреступности (Cyber Underground). Для проактивного выявления таких объявлений банк создал у себя функцию мониторинга угроз (киберразведки) –Мера 4, а также приобрел подписку на перечень потенциально скомпрометированных клиентов (подписка Threat Intelligence – Мера 5).

Ситуация 5. Крупный российский банк с фокусом на обслуживание корпоративных клиентов в ЦФО (банк Д) обнаружил, что к базам данных АБС в качестве администраторов имеют доступ 200 учетных записей. Столько учетных записей накопилось за года, и эта цифра в 50 раз превысила ожидания ИТ-директора. Каждая из указанных учетных записей позволяла скопировать либо удалить массивы данных в АБС. Поразмыслив, банк ввел регламент мониторинга безопасности баз данных (Мера 6), в частности: регулярная проверка списка администраторов, проверка настроек безопасности баз данных. К слову, банк обнаружил такое количество администраторов с помощью специализированного комплекса защиты баз данных (DAM – Мера 7).

 

СИСТЕМНЫЙ ПОДХОД

Несмотря на действенность указанных мер, применять их изолированно, подобно рецептам из поваренной книги,нерационально – банковское дело не терпит вкусовщины. Упомянутые и другие меры могут быть упорядочены с использованием известных развитых стандартов информационной безопасности, например, стандарта Национального института стандартов и технологий США по защите критических информационных инфраструктур (NISTCSF). Стандарт подразумевает 6 стадий противодействия киберрискам: Идентификация (Identify), Защита (Protect), Выявление (Detect), Реагирование (Respond) и Восстановление (Recover).

Соответственно, ранее указанные меры относятся к следующим стадиям:

Идентификация

  1. Мера 4 – направление киберразведки
  2. Мера 5 – подписка Threat Intelligence

Защита

  1. Мера 3.1 – межсетевой экран следующего поколения
  2. Мера 6 – регламент мониторинга защиты баз данных
  3. Мера 7 – комплекс защиты баз данных

Выявление

  1. Мера 3.2 – система сбора и анализа событий безопасности
  2. Мера 1 – система выявления подозрительного доступа к клиентским данным через браузер
  3. Мера 2 – система мониторинга поведения сотрудников

В отношении утечек реагирование и восстановление часто происходит в том числе и в публичной плоскости. Чтобы чувствовать себя увереннее, отвечая на вопросы журналистов, можно подготовиться загодя, например, последовав примеру QIWI. Компания подготовила сайт (https://qiwi.com/security.action) с такой информацией о системе ИБ банка, раскрытие которой еще не влияет на степень защиты, но уже готовит общество к мысли о серьезном отношении банка к безопасности своих систем и клиентских данных.

Инвестиции в безопасность клиентских данных сложнее всего просчитываются на ранних этапах (Идентификация и Защита), но эти же этапы приоритетны, так как работа на них дает банку время справиться с атакой злоумышленников или саботажем сотрудников. Утечки клиентских данных разрушают доверие к банку, а значит, ведут к оттоку клиентской базы и к увеличению стоимости привлечения клиентов в будущем.

Смотрите также