НЕМНОГО СТАТИСТИКИ
Согласно исследованиям международной организации Ponemone Institute, средняя стоимость утечки информации в мире сегодня составляет около 5,5 млн. долларов. Это достаточно заметная сумма для любой организации, даже для банка, который наверняка может придумать тысячу способов распорядиться ею с большей пользой для себя.
Доля банков в мировой статистике по утечкам информации достаточно велика: около 18,5% случаев всех утечек данных в прошлом году приходились именно на данные о счетах и кредитах физических лиц. Учитывая также утечки данных из систем интернет-банкинга и прочих банковских интернет-сервисов, банковские утечки стабильно занимают более четверти всех случаев утечек информации в мире. Всего же банки во всем мире получили только прямых убытков из-за утечек информации за 2012 год более 2 млрд. долларов. Косвенные же убытки от утечек, как и подводная часть айсберга, могут быть оценены в 9-10 раз большую величину.
К сожалению, специальных исследований утечек информации именно в банковском секторе Украины не проводилось, однако, согласно исследованиям компании SearchInform, являющейся одним из ведущих производителей средств защиты от утечек данных на постсоветском пространстве, более 65% всех украинских организаций в прошлом году сталкивались с утечками информации. Это достаточно внушительная цифра, особенно учитывая тот факт, что еще более 25% компаний не могут никак определить, случались у них утечки информации, или нет.
КАК УТЕЧКА ИНФОРМАЦИИ ВРЕДИТ БИЗНЕСУ?
Весь ущерб от утечек данных для любых компаний можно разделить на две составляющих: прямой ущерб и косвенный. Прямой ущерб – это то, что видно сразу, и что просчитать сравнительно легко, это «надводная часть айсберга». В него входят следующие «расходы»:
Для банковской сферы самым крупным источником прямого ущерба может быть второй пункт, поскольку штрафы за утечку персональных данных в Украине, в отличие от западных стран, не поражают воображение астрономическими суммами, а технологические и прочие продукты, используемые банками, не создаются ими самими, что, соответственно, перекладывает риски на плечи тех компаний, к услугам которых банки обращаются для решения своих задач.
Косвенный ущерб от утечек данных, как уже говорилось, может составлять до 90% всей суммы ущерба, однако просчитать его заранее, в момент обнаружения утечки, практически невозможно: обычно вся картина становится видной только по прошествии нескольких месяцев, а иногда и целых лет. Наиболее существенной проблемой являются упущенная выгода в результате испорченного имиджа, также для акционерных компаний существенным может оказаться снижение котировок акций в результате вброса на рынок инсайдерской информации.
СЛУЧАЙНЫЕ И ПРЕДНАМЕРЕННЫЕ УТЕЧКИ
Утечки информации можно разделить на два вида: случайные и преднамеренные. Первые, как видно из их названия, происходят по причине халатности и невнимательности сотрудников, пересылающих секретные данные кому-то по ошибке. Преднамеренные утечки данных являются тщательно спланированными акциями по нанесению урона компании. Как правило, за ними стоят сотрудники, мстящие работодателю за мнимые или действительные обиды, или стремящиеся обогатиться на продаже закрытой информации. В последнем случае в роли покупателя наиболее часто выступают конкуренты работодателя и журналисты.
Случайные утечки данных составляют около 70% от из общего количества, но более 80% ущерба компании во всем мире получают именно от преднамеренных утечек. Впрочем, банковская отрасль – и в Украине, и во всем мире – здесь является исключением из правила, поскольку даже случайная утечка сравнительно небольшого количества данных может вызвать цепную реакцию в виде публикаций в СМИ и падения доверия к банку.
ЗАЩИТА: DLP-СИСТЕМЫ
Наиболее эффективной является комплексная защита банков от утечек информации, включающая в себя разработку политики информационной безопасности банка и применение этой политики отделом информационной безопасности на практике. Однако, в отличие от других отраслей экономики, в банковской сфере обычно с правовой стороной вопроса и организацией обеспечения информационной безопасности всё обстоит достаточно неплохо. Поэтому мы сосредоточимся здесь на обсуждении технических решений для предотвращения утечек конфиденциальной информации.
Сегодня единственным верным и безальтернативным вариантом для банка любого размера будет внедрение DLP-системы. DLP-решение (англ. Data Leak Prevention) – комплексное программное обеспечение, реализующее технологию предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы.
DLP-система позволяет, согласно статистике, уменьшить количество утечек данных в 3-4 раза, а при грамотной организации работы с ней и вовсе свести его до нуля. При этом внедрение DLP-системы, помимо защиты банка от утечек, позволяет решить её целый ряд ничуть не менее важных задач, также связанных с обеспечением информационной безопасности.
Сегодня DLP-системы – не только средства предотвращения утечек информации; это глаза и уши банковского бизнеса. К сожалению, и помимо непосредственно утечек существует немало угроз, с которыми сталкиваются банки. К примеру, далеко не редкой является ситуация, когда кто-то из сотрудников кредитного отдела за вознаграждение предоставляет кредит физическому лицу или фирме, которые, вообще говоря, права на его получения не имеют. Выявить переговоры с клиентом о незаконных действиях – вот задача, которую банки сегодня также решают с помощью DLP-системы.
Сегодня также важной задачей является контроль ноутбуков, которые сотрудники банка берут с собой в командировки, на презентации и просто на встречи с клиентами. В это время сотрудник может передать любые закрытые корпоративные данные «на сторону», поэтому нужен полный контроль информации, отсылаемой с ноутбука, когда работник находится вне корпоративной сети. Современные DLP-системы позволяют решать подобные задачи.
ВЫБОР DLP-СИСТЕМЫ ДЛЯ БАНКА
Как сказали бы в телевизионной рекламе, не все DLP-системы одинаково полезны. Необходимо знать, на что обратить внимание при выборе DLP-решения, которое будет внедрено в банке. Требования, которые предъявляют к средствам защиты от утечек данных финансовые организации, достаточно строги, однако их все можно выразить в виде следующего списка:
Особенно хотелось бы остановиться на последнем пункте, поскольку именно он может служить отказом от покупки DLP-системы, разработанной западным вендором. К сожалению, многие решения, которые стали стандартами де-факто в банковской области англоязычных стран, плохо подходят украинским банкам именно по причине недостаточно хорошей поддержки наиболее употребимых здесь языков.
Также очень важными являются аналитические возможности DLP-системы, поскольку при работе в банке специалистам по информационной безопасности придется анализировать с её помощью огромные объемы данных. Поэтому чем больше механизмов распознавания утечек предлагает DLP-система, чем лучше она строит различные отчеты, тем эффективнее сможет работать отдел информационной безопасности с её помощью.
ПОДВЕДЕМ ИТОГИ
Утечки информации – это настоящая «чума XXI века» для банковской отрасли. Убытки от них могут сравниться разве что с убытками от ведения военных действий в тех странах, где работает банк. Поэтому необходимо, как на войне, защищаться.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных