Александр Суслов
начальник управления информационной безопасности РосинтерБанка
Банкиры не любят рассказывать об инцидентах с утечкой важных данных, но происшествия такого рода в банках не редкость. О типичных случаях утечек и о том, как банк с ними справляется, порталу Банки.ру рассказал начальник управления информационной безопасности РосинтерБанка Александр СУСЛОВ.
– Какая задача стоит перед вашим управлением?
– Перед нами стоит широкий спектр задач в области информационной безопасности. Одной из задач является контроль каналов передачи данных для предотвращения утечек информации. Речь о банковской тайне, коммерческой тайне, персональных данных клиентов, финансовой информации и внутренней документации.
– Какую информацию обычно выносят из банка?
– По нашей статистике, чаще всего пытаются «унести» финансовую информацию, сведения о деятельности кредитной организации. Из всех инцидентов покушения на финансовую информацию составляют около 50%. За ними идут покушения на персональные данные клиентов – они составляют 13%.
– С тем, что выносят, разобрались. А какими путями выносят?
– Основные каналы, по которым фиксируются инциденты, – электронная почта, копирование на внешние устройства, вывод на печать. Почта – наиболее популярный канал, с большим отрывом (порядка 80%), из-за того, что производится разграничение доступа работников к ресурсам Интернета. Доступ также ограничен к внешним накопителям, персональной веб-почте.
– Какие у вас есть возможности по борьбе с утечками?
– В данном вопросе главное – своевременно выявить утечку. Для этого у нас есть DLP (Data Loss Prevention, система предотвращения утечек данных. – Прим. ред.) компании InfoWatch. DLP-система выявляет утечку, классифицирует инцидент по категориям данных, администратору приходит уведомление, тот разбирается по факту. Понятно, что существуют ложные срабатывания и необходимо рассматривать каждый инцидент индивидуально. Например, работник мог распечатать документ и для использования в работе. Но если, скажем, он распечатал документ вечером последнего дня перед увольнением, стоит узнать, зачем он это сделал. Администратор просто спрашивает у работника, зачем он совершил подозрительное действие.
Также система позволяет контролировать утечки паролей любого рода. Скажем, с ее помощью мы выявили случай, когда сотрудник, пользовавшийся внешней системой, переходил в другой банк и переслал себе пароль, чтобы продолжать пользоваться обезличенной учетной записью, выданной нашей организации. Пароль мы сменили.
– Если инцидент выявлен, какие действия вы предпринимаете?
– Если работник не может внятно объяснить, зачем ему нужные эти данные вне офиса, мы просим устранить утечку (например, если он отправил что-то себе на личную почту – удалить эти письма). Если же есть подозрение, что информация уже могла утечь куда-то дальше, человек пишет объяснительную записку, в которой подтверждает свои виновные действия и дает обязательство о неразглашении.
– А будет ли он сотрудничать, если, к примеру, увольняется?
– На кону его репутация. Люди в банковской сфере друг друга знают. Банк, принимая нового работника, обязательно спросит рекомендации у его предыдущего работодателя.
– Зачем сотрудники предпринимают попытки вынести информацию?
– Иногда им это нужно для работы, иногда для личного пользования. Далеко не всегда данные выносят целенаправленно, зачастую утечка ненамеренная. К примеру, информация может быть забита в шаблоны форм документов. Человек увольняется и забирает с собой какие-то таблицы, сделанные им для работы, а там реальные цифры, касающиеся финансовой деятельности. По сути, это утечка. Возможно, он никогда не использует эти данные, но мы-то об этом не знаем.
– Случаются ли явно злонамеренные выносы?
– Был работник, который переходил к конкурентам и попытался вынести финансовую информацию о работе некоторых подразделений. Сложно сказать, был ли это заказ от нового банка или его самодеятельность, но данная информация помогла бы ему на новой работе. Утечку мы пресекли.
– Чем еще помогает DLP-система, помимо выявления утечек?
– Мы также используем ее для получения информации о лояльности работников. Система анализирует категории сайтов, которые посещают работники. Данная информация полезна для кадровой службы банка.
Внедрение системы позволило прекратить балансировать между рабочей необходимостью и требованиями безопасности. Утечки чаще всего идут по наиболее простому пути. Если просто перекрыть все каналы наружу, человек все равно найдет, как вынести информацию, если ему это понадобилось. Сфотографирует с экрана, в конце концов. А так мы готовы предоставить работникам любые информационные каналы для ведения бизнеса, пересылай, что хочешь, – но все контролируется. И мы сразу можем выявить намерение вынести информацию.
DLP-система помогает оптимизировать бизнес-процессы. К примеру, мы можем контролировать, как распространяется по цепочке то или иное распоряжение, как быстро на него реагируют работники, и выдать свои рекомендации по оптимизации.
– Создает ли DLP-система какие-то проблемы, например технического характера?
– Проблемы были с системами интернет-банкинга. В итоге мы исключили контроль при работе в данных системах, так как угрозы они не представляют. Были проблемы еще с парой сервисов. Но по большому счету интеграция прошла гладко. Не было проблем и со стороны пользователей, на удивление.
– Сотрудники знают о контроле за ними? Как они к этому относятся, когда узнают?
– Когда человек устраивается на работу, он попадает к нам. Ему рассказывают, что можно, что нельзя, что является инцидентом информационной безопасности. За год работы системы не было прецедентов, чтобы работники жаловались на что-то. Человек понимает, что если его подловили на нарушении, то он виноват. А если его действия обусловлены рабочей необходимостью – он все спокойно объяснит. Его такой контроль не беспокоит. Кроме того, мы же не читаем почту сотрудников и не смотрим, на какие сайты они ходят. Система просто ищет определенную информацию и, обнаружив, присваивает инциденту одну из категорий. Если требуется дальнейшее разбирательство, администратор просто спрашивает у сотрудника, что и для чего он отправил себе на личную почту, загрузил на веб-сайт или распечатал.
– А если сотруднику действительно нужно по работе отправить куда-либо служебную информацию?
– Все просто. Достаточно известить администраторов о том, что у него возникла служебная необходимость вынести информацию. Мы обращаемся к его руководителю за подтверждением. Если оно получено – инцидента нет.
– Расскажите наиболее яркий случай применения DLP-системы из вашей практики.
– Однажды мы получили ссылку на отзыв в вашем «Народном рейтинге», в котором раскрывалась кое-какая служебная информация. С помощью DLP-системы мы смогли определить, что данный текст не писался на компьютерах банка, не копировался на флешку и никуда не отправлялся по сети банка. То есть писал это человек, находящийся вне банка. После этого мы проследили распространение ссылки внутри банка. Кто, как и когда в банке первым узнал об этом отзыве, кто кому и когда переправил ссылку. Это позволило сделать определенные выводы о лояльности некоторых работников.
Беседовал Михаил ДЬЯКОВ,