«Серебряных пуль» не осталось

«Серебряных пуль» не осталось

В банковской сфере складывается местами парадоксальная ситуация: максимальная оснащённость ИБ-инструментарием сочетается с глухотой к реальным угрозам. Как такое возможно? Рассуждает директор по безопасности «СёрчИнформ» Иван Бируля.

- Прошёл год со времени вступления в силу закона 187-ФЗ, вступил в силу закон 167-ФЗ, обновлено Положение 382-П. Начался сбор биометрии для более точной идентификации клиентов банков. Какие ещё меры могут сегодня радикально повлиять на уровень безопасности в финансовой сфере?

- Банки всегда были и остаются локомотивом внедрения новых технологий, в том числе тех, которые касаются информационной безопасности. Появление новых законов в этом плане – не революция в безопасности, а усовершенствование механизмов, которые есть. Появление ФинЦЕРТа и автоматизированная система взаимодействия с банками было отличной новостью. Понятно, что компаниям не хочется делиться информацией об инцидентах, но именно это в конечном счёте влияет на поднятие общего уровня в сфере ИБ.

- Меры регулирования в основном касаются внешних атак. Вы же часто утверждаете, что основные угрозы безопасности банков – внутренние нарушители. На чём основана эта уверенность?

- Во-первых, на собственном опыте – я больше семи лет работал в банке в должности начальника отдела безопасности, и за это время успел составить свою карту угроз со стороны сотрудников. Банки находятся, пожалуй, под самым пристальным надзором по сравнению с другими организациями. Это настолько эффективный контроль, что сейчас финансовая сфера – одна из самых защищённых. Мои коллеги считают, что по этой причине банки перестали быть лакомым куском для мошенников – слишком дорого их атаковать.

Но фишинг и социальная инженерия — то, от чего оказалось гораздо сложнее уберечься. Со стороны атакующих это самый простой и дешёвый способ. По данным ФинЦЕРТа человеческий фактор находится на первом месте среди всех причин, которые определяют успешность внешних атак на инфраструктуру. 

Что касается преднамеренных действий со стороны самих сотрудников, наши данные подтверждают, что это большая проблема. По данным опроса 1024 ИБ-специалистов на Road Show SearchInform, 40% банков сталкиваются с тем, что сотрудники используют ресурсы компании в собственных целях. При этом доля руководителей среди нарушителей велика – больше 35%. Эта цифра выше, чем в других отраслях.

- Тогда кто, по вашему мнению, самые опасные нарушители в банках?

- Как раз руководители и есть самые вероятные нарушители, даже когда у них нет злого умысла. Причина их уязвимости банальна: нет времени на безопасность. Например, не глядя соглашаются на настройки приватности, хранят критичную информацию на телефонах. Я знал директора, который всегда использовал один и тот же пароль, а когда его нужно было изменить, менял лишь последнюю цифру. Один из топ-менеджеров банка из верхушки «сотни» вовсю использует личную почту для переписки по деловым вопросам.

Второе место занимают ИТ-специалисты, которые сегодня, по сути, управляют всей корпоративной инфраструктурой. Так что это ещё одна категория критически важных инсайдеров. В моей практике самой частой причиной проблем с ИТ-специалистами был не их злой умысел, а банальная халатность: забыл обновить систему или заблокировать учётную запись после увольнения сотрудника.

Хотя человеческий фактор никто не отменял: бывали случаи, когда системные администраторы злоупотребляли правами намеренно. В знакомой компании у системного администратора после увольнения сохранились все права доступа. Он подключился к системе удалённо и загрузил в неё файл-бомбу — программу с отложенным запуском. Она активировалась через две недели и стёрла конфигурации сетевого оборудования. В результате работа встала: сотрудники не могли отправить и получить письма, зайти в Интернет, а звонки sales-менеджерам переадресовывались директору. Если бы в компании была установлена DLP, она бы сигнализировала о том, что у уволенного сотрудника сохранились права в системе, а также о его активности. У ИБ-специалиста было бы 2 недели, чтобы устранить проблему!

- А как насчёт рядовых сотрудников: операционистов, кассиров, консультантов?

- Это важная категория вероятных нарушителей. Скажем честно, уровень зарплат у них довольно скромный, при том, что они имеют доступ к критичной информации. Момент важный, поскольку заработать сверх положенного не прочь многие, и предложения есть: банковские карты и базы данных пользуются спросом на чёрном рынке. Люди на хороших должностях гораздо реже готовы рисковать местом ради одноразовой выгоды в 50—60 тысяч рублей.

И ещё важный момент. Вопросы идентификации клиентов – это нерешённые проблемы безопасности банков. Я сам недавно с ней столкнулся — пришлось полчаса отвечать на вопросы для идентификации личности. А в следующий раз операционист настолько бегло проверила паспорт, что протягивать его мог почти кто угодно. Нарушение регламента из-за банальной усталости тоже частая практика.

- Но если банки буквально нашпигованы суперсовременными инструментами защиты, откуда утечки данных? Та же история со Сбербанком, которая и вовсе стала публичной…

- В случае со Сбербанком не возьмусь делать стопроцентные выводы. Конечно, нет сомнений, что на его вооружении есть весь необходимый ИБ-инструментарий, более того, штат ИБ-специалистов в этом банке самый большой в нашей сфере. Но, предположу, в этом и парадокс: чем больше коллектив ИБ-специалистов, тем выше риск простой человеческой ошибки. Еще одна причина в том, что не всегда в банках установлено хорошее ПО, не всегда оно должным образом эксплуатируется.

Например, я считаю, что DLP-система должна быть в 100% банков – при существующем уровне угроз, о которых мы говорим. А они стоят далеко не везде. Там, где стоят, не всегда эффективно используются. Но есть и гораздо более абсурдные ситуации. Есть немалое число организаций, где DLP закуплены, но не развёрнуты. Если речь о каком-то мелком региональном банке, это не удивляет. Но я знаю о подобной ситуации как минимум в одном банке из первой тридцатки топа!

- Как такое возможно при жёстком регулировании?

- Законы, стандарты – это рамки и набор практик, которые добропорядочным банкам дают в руки инструментарий, а менее ответственным – возможность «закрыть вопрос» перед регуляторами. Сейчас не приходится рассчитывать на какие-то «серебряные пули» в безопасности. По большому счёту все инструменты в руках у специалистов по безопасности есть. Вопрос в том, как они ими пользуются, есть ли в компании воля, чтобы их применять.

Но есть и обратный тренд, который я отмечаю в разговорах со знакомыми банкирами. Многие банки сегодня используют систему ИБ-рисков для оценки финансового результата по аналогии с оценкой качества кредитов. Думаю, со временем это станет не просто доброй волей самых сознательных банкиров, но и требованием регулятора.

- «СёрчИнформ» – производитель DLP-систем, которые вы называете обязательными к использованию в современных банках. Но ваша компания – сторонник довольно спорной позиции не использовать блокировки утечки информации. Поясните ее, пожалуйста.

- Такая позиция кажется спорной, если не знать логику инсайдеров. Наверное, уже не осталось злоумышленников, которые не догадываются, что ИБ-служба контролирует каналы передачи информации, как минимум почту, USB, браузер. И наша статистика подтверждает: в подавляющем большинстве случаев по этим каналам идёт ненамеренная утечка. От такой утечки нужно страховаться – я не вижу ничего плохого в блокировке, скажем, корпоративной почты, чтобы такие случаи исключить. Но если речь не об ошибке, а о продуманном, осознанном действии, инсайдер будет куда изобретательнее, он будет всеми силами стараться обойти систему безопасности. Организовывать неконтролируемые тоннели в интернет (например, расшаривать Wifi сеть с личного мобильника), применять шифрованный VPN до облачного сервиса, подключаться к инфраструктуре через TeamViewer, наконец. В итоге получается, что чем больше мы блокируем, тем больше переводим серьёзные инциденты из контролируемой угрозы в неконтролируемые. В данном случае единственный качественный результат даст обнаружение инцидентов на ранней стадии. Утечка - это процесс, а сам момент пересылки – всего лишь его финал. Наш подход позволяет этот финал предвидеть и до него не доводить.

 - Звучит как выбор между плохим и худшим…

- Это выбор приоритетов. Сейчас в СМИ перегрета тема утечки персональных данных. Да мы и сами упираем на то, что вопрос нужно ставить на особый общественный контроль. Но если смотреть с точки зрения бизнеса, тут нет финансовых потерь. Главная финансовая угроза компаний – мошенничество, коррупция, промышленный шпионаж. А это всё хорошо спланированные действия сотрудников, которые нужно скрупулёзно расследовать: какую информацию человек собирается сливать, кому, о чём с ним договаривается и т.д. Всё это позволяет делать DLP.

Топорные блокировки сделают действия злоумышленников только более изощрёнными. Использование блокировки очень быстро компрометирует сам факт использования DLP в компании, ведь методом проб и ошибок сотрудники очень быстро обнаруживают, какие каналы в компании контролируются, а где есть лазейка.

- В 2018-м вы выпустили новый продукт – ProfileCenter в составе DLP-системы. И уже к концу года заявляли о более чем десятке продаж. Какую задачу решает профайлинг? 

- Это метод превентивной работы. То, о чём многие ИБ-специалисты давно мечтали. Он зарекомендовал себя у работников спецслужб и ИБ-специалистов для входного контроля сотрудников. А нам удалось автоматизировать процесс, чтобы видеть в динамике, как меняется личность человека, его стрессоустойчивость, лояльность, готовность к противоправным действиям. Понятно, что опытный ИБ- или HR-специалист ведут эту работу точечно. А что делать, если коллектив в много сотен и даже тысяч сотрудников?! И, напомню, все они имеют доступ к критической информации! Именно в этих ситуациях и работает автоматизированный профайлинг.

На основе переписок пользователя, собранных DLP-системой, программа создаёт профиль человека и корректирует его в динамике изменений. В понятном интерфейсе ИБ-специалист видит раскладку как по каждому конкретному пользователю, так и по коллективу в целом. Видит рейтинги, например, самых амбициозных, самых разговорчивых, самых мотивированных на деньги и т.д.

Специалист получает информацию, за кем из сотрудников следить время от времени, за кем – постоянно; подходит или нет сотрудник на ту или иную должность; насколько безопасно давать ему доступ к информации, ресурсам компании; кому из сотрудников достаточно «внушения» и профилактической беседы, а с кем следует регулярно проводить тренинги по информационной безопасности; кого следует более строго наказывать за нарушение правил и т.д. Так, огромные коллективы становятся видны как на ладони.

Но мы в компании всегда призываем проверять это на практике. Пробной версией профайлинга и нашей DLP «КИБ СёрчИнформ» можно пользоваться в течение месяца. Обратитесь к нам по контактам ниже и оцените уровень безопасности в компании.

- Получается, что те методы, которые реализуете в DLP вы, это уже не только о безопасности… 

- Я вижу, как меняется наша профессия. И да, сейчас важен обмен информацией между различными подразделениями компании. ИБ-специалист, обладая огромной информацией о коллективе и имея мощные инструменты аналитики – DLP-системы, становится советником руководителя и кадровой службы, подсказывая, где тонкие места не просто в безопасности, но и в самом бизнесе. В свою очередь для своей успешной работы он не может быть оторван от бизнеса, в котором работает, должен разбираться в его бизнес-процессах, понимать расклад по конкурентам, чувствовать остроту кадрового вопроса. Это востребованные сегодня компетенции.

Протестируйте бесплатно ProfileCenter и DLP «КИБ СёрчИнформ» с полным функционалом. Узнайте подробности:

По телефону +7 (495) 721-84-06

https://searchinform.ru/products/kib/profilecenter/