27 ноября, 2013, BIS Journal №4(11)/2013

Страхи и реалии


Головлев Павел

Начальник управления безопасности информационных технологий (ОАО «СМП Банк»)

Угрозы персональным данным в банковской системе

Всё, о чём пойдёт речь далее, имеет отношение только к вопросам защиты собственно персональных данных. Угрозам в системах ДБО, карточном и другом банковском бизнесе посвящены другие исследования.

 

КАК ИЗМЕРИТЬ ВРЕД?

Как известно, закон «О персональных данных» в качестве одной из необходимых и достаточных мер, направленных на выполнение обязанностей Операторов персональных данных, определяет оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения упомянутого закона. Определение опасности угроз, приводящей к негативным последствиям для субъектов персональных данных, является одним из основных параметров, использующихся при определении актуальных угроз и выборе защитных мер, в соответствии с методическими документами ФСТЭК России.

До последнего времени камнем преткновения была именно методика определения величины вреда субъектам персональных данных. Но в апреле 2013 г. Фонд Общественное Мнение по заказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций провел опрос среди граждан РФ от 18 лет и старше на тему защиты персональных данных. Результаты опроса приведены на сайте ФОМ: http://runet.fom.ru/SMI-i-internet/10922.

Как следует из заявления, сделанного на сайте Роскомнадзора: «На основании полученных результатов Служба намерена скорректировать свои подходы к реализации функций уполномоченного органа власти по защите прав субъектов персональных данных» (http://www.rsoc.ru/news/rsoc/news19803.htm).

Раз результаты опроса будут использоваться при реализации функций Уполномоченного органа, значит и всем остальным просто необходимо ориентироваться на них.

Наибольший интерес представляют ответы на два вопроса: «С какими видами нарушений в отношении персональных данных граждан государство должно бороться прежде всего?» и «С чем из перечисленного приходилось сталкиваться лично вам или вашим знакомым?» (см. Таблицу 1).

 

 

Сталкивались

Необходимо бороться

1.

Незаконное использование паспортных данных для оформления кредита, ипотеки и т.д.

3%

61%

2.

Публикация персональных данных в СМИ без разрешения владельца

1%

17%

3.

Мошенничество с кредитными картами

8%

61%

4.

Публикация персональных данных в интернете без разрешения владельца

2%

15%

5.

Мошенничество с электронными деньгами, СМС-оплатой

6%

27%

6.

Взлом социальных сетей и распространение персональной информации (номер телефона, адрес и т.д.)

9%

17%

7.

Телефонные звонки с предложениями различных товаров и услуг

23%

20%

8.

Использование персональных данных для осуществления рассылки рекламных сообщений (спам) на мобильный телефон или электронную почту

27%

23%

9.

Ни с чем из перечисленного

46%

3%

ТАБЛИЦА 1. Результаты опроса общественного мнения по угрозам безопасности персональных данных (Источник: «ФОМнибус»   опрос граждан РФ от 18 лет и старше. 7 апреля 2013. 43 субъекта РФ, 100 населенных пунктов, 1500 респондентов. Интервью по месту жительства. Статпогрешность не превышает 3,6%).

Проведя нормирование ответов, касающихся конкретных случаев нарушения приватности, можно построить диаграмму «баланса страха» (см. Диаграмму 1).

ДИАГРАММА 1. Соотношение между объективной и субъективной оценками опасности угроз персональным данным

Отношение «ощущения опасности» к «фактической ситуации» позволяет говорить об уровне существенности инцидентов с персональными данными (см. Диаграмму 2).

ДИАГРАММА 2. Относительная значимость инцидентов для субъектов персональных данных

Обладая этой информацией уже можно оценить вред, который может быть нанесен субъекту персональных данных и соотнести его как с принимаемыми защитными мерами, так и с собственными рисками организаций банковской системы, связанными с обработкой персональных данных.

ЧЕГО БОЯТЬСЯ СТОИТ, А ЧЕГО НЕТ

Как видно из Диаграммы 2, самым «чувствительным» инцидентом для субъектов персональных данных является незаконное использование паспортных данных для оформления кредита, ипотеки и т.д.

Тут необходимо сразу обратить внимание на то, что в случае подобного инцидента реальный ущерб субъекту будет полностью компенсирован по закону на основании судебного решения. Все риски, связанные с невозвратом кредитов, формированием резервов, расходами на проведение коллекторских мероприятий, судебными издержками и т.п., на деле ложатся исключительно на банк, выдавший кредит. Таким образом, реальные негативные последствия для субъекта персональных данных в случае инцидента, связанного с незаконным использованием паспортных данных для оформления кредита, ипотеки и т.д., являются незначительными.

Вторыми по значимости для субъектов персональных данных являются инциденты, связанные с публикацией персональных данных в СМИ, а в совокупности с инцидентами, связанными с публикацией персональных данных в Интернете, они занимают первое место по «ощущению опасности».

В контексте банковской системы в данном случае речь может идти только об информации, составляющей банковскую тайну и защищаемой банками соответствующим образом. В этом свете подобный инцидент для подавляющего большинства субъектов будет нести исключительно моральный ущерб, который определяется судебным решением. Лишь в исключительных случаях ущерб может быть значимым.

С другой стороны, риски компенсации любого ущерба, судебные издержки, штрафные и иные санкции со стороны Государства, а также репутационные риски целиком и полностью ложатся на банк, допустивший подобную утечку. Анализ судебной практики по подобным случаям, а также общее достаточно «спокойное» отношение опрошенных субъектов к ним, позволяют сделать вывод о том, что, в общем и целом, размер негативных последствий для субъектов персональных данных в случаях инцидентов, связанных с публикацией персональных данных в открытых источниках, является незначительным.

Интересно заметить, что общей характерной особенностью трёх перечисленных типов инцидентов является то, что доля голосов, предлагающих бороться с ними, значительно превышает долю тех, кто реально сталкивался с подобными ситуациями. Эти инциденты можно отнести к группе «У страха глаза велики». При этом реальный ущерб по инцидентам этой группы несет банк.

В противоположность этим инцидентам в опросе упомянуты инциденты, которые можно объединить девизом «Не так страшен чёрт, как его малюют». Это инциденты, связанные со взломом социальных сетей и распространением персональной информации, телефонными звонками с предложениями различных товаров и услуг, а также с использованием персональных данных для осуществления рассылки рекламных сообщений (спама) на мобильный телефон или электронную почту.

Доля тех, кто считает, что с подобными явлениями необходимо бороться, значительно ниже тех, кто реально сталкивался с ними. При том, что для самих субъектов материальный ущерб от таких инцидентов незначительный, если не сказать «нулевой», но и для банков ущерб от инцидентов этой группы либо вовсе отсутствует, либо является незначительным.

И, наконец, в третью группу попадают инциденты, несущие реальную и адекватно оцениваемую опасность, но имеющие сильно опосредованное отношение собственно к персональным данным, с которыми работают банки. Это мошенничества с кредитными картами, а также электронными деньгами и SMS-оплатой.

Здесь необходимо отметить, что специфика банковской деятельности состоит в том, что в данном случае целью атаки являются непосредственно денежные средства, а не персональные данные как таковые. Скорее верно обратное: для проведения атаки на денежные средства используются персональные данные, полученные из других – небанковских информационных систем, в том числе, информационных систем, принадлежащих самому субъекту.

Со вступлением в силу ст. 9 закона «О национальной платёжной системе» риск подобных инцидентов сместится на сторону банков. Поэтому данные риски для банков являются целиком и полностью операционными, и банки уже выработали адекватные компенсационные меры противодействия этим специфическим рискам – гораздо более эффективные, чем просто защита персональных данных.

Характерной чертой данной группы инцидентов является также то, что они попадают в область действия уголовного кодекса. Тем самым отечественное законодательство обеспечивает достаточную защиту прав и интересов субъектов. Анализ статистики инцидентов показывает, что для субъектов, соблюдающих требования безопасности, выдвигаемые банками, данные инциденты приводят в материальном выражении также только к незначительным негативным последствиям.

МЕТОДИКА ОЦЕНКИ АКТУАЛЬНОСТИ УГРОЗ

Для того, чтобы перевести вышеизложенное на язык цифр, можно разместить условную оценку возможного ущерба для каждой угрозы на качественной шкале, интервалы которой соответствуют вербальным описаниям опасности угрозы из «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Федеральной службы по техническому и экспортному контролю, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года:

  • 0<=Xi<2 – низкая опасность (незначительные негативные последствия)
  • 2<=Xi<4 – средняя опасность (негативные последствия)
  • 4<=Xi<6 – высокая опасность (значительные негативные последствия)

Сумма произведений условного значения ущерба на соответствующий каждой угрозе коэффициент значимости в результате даст итоговую условную оценку возможного вреда, которая может быть интерпретирована по той же шкале (см. Таблицу 2). Желающие могут попробовать оценить возможный ущерб в реальных, а не условных, деньгах, а также пересчитать эту таблицу с точки зрения возможного ущерба банку.

 

 

Возможный ущерб

Значимость

Вред

1.

Незаконное использование паспортных данных для оформления кредита, ипотеки и т.д.

0

0,34

0

2.

Публикация персональных данных в СМИ без разрешения владельца

2

0,28

0,5613

3.

Мошенничество с кредитными картами

2

0,13

0,2518

4.

Публикация персональных данных в интернете без разрешения владельца

3

0,12

0,3715

5.

Мошенничество с электронными деньгами, СМС-оплатой

1

0,07

0,0743

6.

Взлом социальных сетей и распространение персональной информации (номер телефона, адрес и т.д.)

0

0,03

0

7.

Телефонные звонки с предложениями различных товаров и услуг

0

0,02

0

8.

Использование персональных данных для осуществления рассылки рекламных сообщений (спам) на мобильный телефон или электронную почту

0

0,01

0

  ИТОГО:   1 1,2589

ТАБЛИЦА 2. Качественная оценка вреда субъектам при нарушении безопасности персональных данных в информационных системах финансовой отрасли

Таким образом, в банковской системе инциденты собственно с персональными данными представляют для субъектов персональных данных низкую опасность. При этом сами банки несут значительные риски как в этой, так и в смежных областях. Это подтверждается недавним исследованием института Ponemon (http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013&om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2013Jun_worldwide_CostofaDataBreach), которое показывает, что в общемировом масштабе стоимость утечки персональных данных в пересчёте на одного субъекта составляет в среднем $136. При том, что газета The Financial Times со ссылкой на имеющиеся в её распоряжении данные о ценообразовании рынка, полученные от его игроков ALC Data, LeadsPlease.com и других, утверждает, что рыночная стоимость персональных данных большинства интернет-пользователей, как правило, не превышает $1 (http://www.itsec.ru/newstext.php?news_id=92586).

Исходя из тезиса о том, что инциденты с персональными данными представляют низкую опасность для субъектов персональных данных, можно определить актуальные угрозы персональным данным при их обработке в информационных системах участников национальной платежной системы в соответствии с Методикой ФСТЭК России, с учётом требований п. 1.5 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» по оценке вреда, который может быть причинён субъектам персональных данных в случае нарушения указанного Закона.
Именно такая работа и была проделана экспертами, работающими в 35 банках, представляющих весь спектр банковской сферы Российской Федерации. Заказчиком выступило Главное управление безопасности и защиты информации Банка России, организатором работы стал объединённый комитет по безопасности Ассоциации российских банков и НП «Национальный платежный совет».

РАНЖИРОВАНИЕ УГРОЗ

В качестве типовой информационной системы была принята модель корпоративной интегрированной распределённой системы:

  • охватывающей многие подразделения организации;
  • имеющей многоточечный выход в сеть общего пользования;
  • в которой осуществляются чтение, поиск, запись, удаление, сортировка, модификация и передача данных;
  • к которой имеют доступ определенные перечнем сотрудники организации и субъекты персональных данных;
  • в которой данные обезличиваются только при передаче в другие организации или не являются обезличенными;
  • предоставляющую сторонним пользователям часть персональных данных.

Уровень исходной защищённости такой типовой информационной системы банка будет «низкий» [Y1=10].

Было принято допущение о том, что в типовой информационной системе участника национальной платёжной системы существуют объективные предпосылки для реализации угроз, меры обеспечения безопасности принимаются, но недостаточны.

Вероятность реализации угроз в такой системе будет «средняя» [Y2=5].

Исходный список из 48 угроз был сформирован на основе экспертных знаний о типовой информационной системе банка.

Ранжирование угроз в условиях ограниченности ресурсов по противодействию осуществлялось на основании балльной оценки экспертами с нормировкой относительно общей суммы баллов, выставленных каждым экспертом, и последующим усреднением полученных оценок.

Баллы значимости угроз выставлялись экспертами по методике MITRE на основе прямой экспертной оценки рисков, которые несёт каждая угроза без разделения риска на составляющие части (угрозы и уязвимости).

Коэффициент корреляции мнений экспертов составил 93.56%. Среднее квадратичное отклонение оценок составило 1.56%

После ранжирования угрозе, набравшей максимальный балл (самой значимой), был присвоен максимальный коэффициент реализуемости 0.75 [Y=(Y1+Y2)/20=(10+5)/20=0.75].

Коэффициенты реализуемости остальных угроз были определены по линейной шкале от 0 до 0.75 в зависимости от нормированного количества баллов каждой угрозы относительно самой значимой.

В зависимости от коэффициентов реализуемости угроз сформирована вербальная интерпретация возможности реализации каждой угрозы.

Установлено, что 6 угроз имеют «высокую» возможность реализации, 11 – «среднюю» и 31 – «низкую».

Таким образом, в соответствии с Методикой ФСТЭК России, с учётом общей низкой опасности инцидентов с персональными данными в банковской системе, актуальными являются шесть угроз, имеющие «высокую» возможность реализации:

Угроза 39: Осуществление несанкционированного доступа к персональным данным путем использования методов социального инжиниринга к легальным субъектам доступа.

Угроза 13: Осуществление несанкционированного доступа к персональным данным с использованием уязвимостей, вызванных недостатками организации защиты персональных данных.

Угроза 46: Осуществление несанкционированного доступа к персональным данным путём внедрения вредоносного программного обеспечения.

Угроза 7: Утрата (потеря) накопителей с персональными данными, включая переносные персональные компьютеры пользователей информационной системы персональных данных.

Угроза 3: Использование системного и прикладного программного обеспечения автоматизированных рабочих мест пользователей информационной системы персональных данных, приводящее к несанкционированному доступу к персональным данным.

Угроза 4: Осуществление несанкционированного доступа к персональным данным в ходе сопровождения, модернизации и (или) вывода из эксплуатации компонентов информационной системы персональных данных (см. Диаграмму 3).

ДИАГРАММА 3. Коэффициенты реализуемости угроз нарушения прав владельцев персональных данных

При этом все эксперты сошлись во мнении, что с точки зрения риск-ориентированного подхода список из 48 угроз нельзя считать закрытым. В банковском бизнесе возможность реализации любой другой угрозы, не вошедшей в список, является «средней», что необходимо учитывать в планах обработки рисков. Обладая этой информацией можно осуществлять выбор защитных мер в соответствии с приказом ФСТЭК России № 21 от 18 февраля 2013 года.

При этом все эксперты сошлись во мнении, что с точки зрения риск-ориентированного подхода список из 48 угроз нельзя считать закрытым. В банковском бизнесе возможность реализации любой другой угрозы, не вошедшей в список, является «средней», что необходимо учитывать в планах обработки рисков. Обладая этой информацией можно осуществлять выбор защитных мер в соответствии с приказом ФСТЭК России № 21 от 18 февраля 2013 года.

P.S. Данная методика может быть применена для любой отрасли при проведении соответствующей экспертной оценки.

 

Смотрите также

Подпишись на новости!
Подписаться