Банки не позволяют сотрудникам пользоваться соцсетями с рабочих компьютеров и правильно делают. По данным специалистов в области информационной безопасности, банковские служащие могут «слить» важные сведения, нечаянно или нарочно. И зачастую это делается с личных смартфонов.
Большинство сотрудников банков не имеют возможности сидеть в Facebook, «В контакте» и Instagram. В опрошенных «Новости Банков» банках говорят, что банковская сфера связана с большим количеством закрытой информации, поэтому давать массовый открытый доступ в интернет «не вполне правильно с точки зрения информационной безопасности».
Большинству пользователей соцсети недоступны
По этой причине у большинства сотрудников выход в интернет закрыт в принципе, а доступ к соцсетям имеют лишь те, кому общение с внешним миром требуется по работе.
«Социальные сети необходимы для работы ряда подразделений, их сотрудникам доступ к соцсетям открыт. Однако большинству пользователей соцсети недоступны. Также не всем по умолчанию доступны категории разного рода развлекательных ресурсов»,— говорит исполнительный директор по информационной безопасности банка «Открытие» Вячеслав Касимов.
В СМП-банке за информационной безопасностью с технической точки зрения следит специальное подразделение. «У каждого сотрудника есть свои должностные обязанности, и если они никак не связаны с пользованием социальными сетями и внешними ресурсами, то доступа к ним со стационарных компьютеров нет. Если же работа требует регулярно просматривать соцсети и внешние сайты, доступ к ним открыт»,— поясняет заместитель директора департамента по подбору, обучению и развитию персонала СМП-банка Наталья Ильина.
Никто не препятствует желанию сотрудников пользоваться соцсетями на личных смартфонах
В Бинбанке возможность просматривать интернет обеспечена лишь сотрудникам, которым он нужен по долгу службы. «Доступ в интернет в банке есть только у тех сотрудников, прямые обязанности которых подразумевают необходимость работы с информацией в интернете. В банке есть внутренний корпоративный портал, который удовлетворяет потребности сотрудников в информации, необходимой для ежедневной работы»,— комментирует руководитель центра развития корпоративной культуры и социальных программ Бинбанка Нина Ляшкова.
Что выкладывать в открытый доступ
Между тем никто не препятствует желанию сотрудников пользоваться соцсетями на личных смартфонах. И, по мнению специалистов по информационной безопасности (ИБ), именно с них происходит часть утечек.
Люди без ограничений приватности выкладывают в Instagram все подряд — пропуска, благодарственные письма клиентов и внутреннюю переписку
Хотя в банках существует регламент, запрещающий выкладывать в соцсетях конфиденциальную информацию, эксперты по ИБ отмечают, что многие люди не понимают, какую информацию можно выкладывать в открытый доступ, а какую нет.
По данным «Лаборатории Касперского», поколение Z принимает социальные сети и чаты за рабочий мессенджер и инструмент обмена любыми документами, в том числе конфиденциальными. Кроме того, люди без ограничений приватности выкладывают в Instagram все подряд — пропуска, благодарственные письма клиентов и внутреннюю переписку, а в комментариях к обсуждениям легко делятся подробностями организации внутренних процессов банка.
«На первый взгляд ничего серьезного, но мы на практике убедились, как это может существенно облегчить жизнь опытному злоумышленнику при подготовке атаки на банк. Подобным образом киберпреступник может втереться в доверие к сотруднику и получить доступ к важным конфиденциальным данным»,— поясняет антифрод-аналитик «Лаборатории Касперского» Денис Горчаков.
По его мнению, существует два решения этой проблемы. Первое — использование инструментов мониторинга социальных сетей службой информационной безопасности банка. Второе — обучение всего персонала основам информационной безопасности. В частности, в банках нужно проводить вводные тренинги для клиентских подразделений, в которых традиционно отмечается высокая текучка.
20−30% сотрудников сами открывают опасные вложения
В последних широко освещаемых в прессе атаках на банковскую инфраструктуру почти всегда в качестве первого шага для проникновения в сеть банка использовались методы социальной инженерии. Об этом напоминает компания Positive Technologies. Это означает, что в результате целевой атаки как минимум один из 10–50 сотрудников банка сам открывал вложение письма, в результате чего происходило заражение его компьютера.
«Наша статистика по проводимым в компаниях работам по социальной инженерии показывает, что в среднем 20–30% сотрудников различных организаций будут открывать потенциально опасные вложения и проводить действия, ставящие под угрозу безопасность всей компании. Это характерно даже для организаций, обучающих своих сотрудников вопросам угроз ИБ. При целевых звонках в 100% случаев удается добиться по телефону желаемого результата — получить логин и пароль сотрудника или заставить его запустить присланный заранее файл»,— предупреждает руководитель отдела безопасности банковских систем, Positive Technologies Тимур Юнусов.
Среди других методов киберпреступников — попытки взлома учетных записей «друзей» тех, кого они пытаются заразить
Социальные сети — дополнительный канал для распространения вредоносного программного обеспечения среди банковских работников. Массовая рассылка здесь малоэффективна, поэтому злоумышленникам необходимо сначала войти в доверие к жертве. С этой целью предпринимаются таргетированные атаки, занимающие как минимум неделю. Затем злоумышленникам нужно удостовериться, что сотрудник банка в момент получения вредоносного программного обеспечения находится на работе, а не где-то еще.
Среди других методов киберпреступников — попытки взлома учетных записей «друзей» тех, кого они пытаются заразить. Поскольку знакомым и друзьям люди доверяют больше, чем незнакомцам, шанс на запуск присланной вредоносной программы резко возрастает.
Нужно следить за коммуникациями персонала
Некоторые сотрудники готовы вредить целенаправленно, за деньги передавая ценные данные
«Любая коммуникация с внешним миром представляет угрозу. Важные данные можно слить через Skype, Viber, по почте и, конечно, через социальные сети»,— категоричен директор по развитию бизнеса компании «Стахановец» Виктор Гулевич. Однако, по его мнению, тотальный запрет ничего не даст. Более того, это контрпродуктивно. Гораздо эффективнее следить за коммуникациями персонала.
Помимо сотрудников, выдающих коммерческие тайны и конфиденциальную информацию по неосторожности, во многих организациях есть люди, передающие ценные данные во вне осознанно. И банки здесь не исключение. «Некоторые сотрудники готовы вредить целенаправленно, за деньги передавая ценные данные налево»,— говорит Виктор Гулевич.
Чтобы предотвратить чрезвычайные происшествия, важно отслеживать коммуникации, загодя выявляя «слабое звено» и уязвимые места в системе безопасности. В «Стахановце» советуют увольнять «инсайдеров», вести разъяснительную работу среди персонала, не заботящегося о сохранности данных, или в крайнем случае запрещать выполнение опасных действий, таких как отправка файлов или текстовых сообщений с определенным содержанием.