Наталья Касперская
генеральный директор группы компаний InfoWatch
Утечки данных – один из самых недооцененных видов информационных угроз. Банки не любят рассказывать о том, кто и как крадет у них важные данные и в какие финансовые потери это выливается. Зато порталу Банки.ру об этом рассказала генеральный директор группы компаний InfoWatch Наталья КАСПЕРСКАЯ.
– Насколько страшна банкам опасность утечки данных?
– По большому счету у любого банка есть два наиболее ценных актива: деньги и информация. Понятно, что с хранением денег связаны определенные риски, это одна история. Вторая история – защита информации. Информации о клиентах, об условиях их обслуживания, о том, как хранятся их деньги. Все это прямо конвертируется в денежные средства. А где деньги, туда все преступники и стремятся. Это общеизвестно.
– Какие данные утекают чаще всего?
– За 2014 год данные пока не подсчитаны, но в 2013-м большинство утечек из финансовых учреждений пришлось на персональные данные. Причем персональные данные в связке с информацией о финансовом состоянии владельцев, их счетах, пластиковых картах утекали в 34% случаев. Еще 58% – утечки исключительно персональных данных: реквизиты паспортов, электронные адреса, номера соцстрахования, иные данные. По сути, все это воровство клиентских баз.
– Сколько денег теряют банки из-за таких утечек?
– В среднем по инциденту прямые финансовые потери от ухода клиентов после утечки клиентской базы оцениваются аналитиками InfoWatch примерно в 20 миллионов рублей. Репутационные потери могут составлять, по некоторым оценкам, 130 миллионов рублей и более.
– Это по всему миру?
– Нет, по России. В мире масштабы повыше – по данным американской аналитической компании Ponemon Institute, среднестатистический инцидент обошелся финансовым компаниям в 2013 году в 5,9 миллиона долларов.
– Ваша компания с какими банками работает?
– В основном с отечественными. Кроме того, у нас довольно хорошие позиции в финансовом секторе Бахрейна. Среди наших клиентов и Центральный банк Бахрейна, и Первый энергетический банк Бахрейна, и Исламский банк, в общей сложности восемь банковских институтов страны. Также есть несколько клиентов из финансовой отрасли в Кувейте и Объединенных Арабских Эмиратах.
– Если говорить про наши банки, насколько реально они оценивают угрозу от утечек?
– Надо сказать, отношение к утечкам со временем изменилось. Помню, когда я пришла в InfoWatch в 2007 году, встречалась с начальником отдела информационной безопасности очень крупного российского банка. И он мне так сказал: «У нас инцидентный подход. Пока у нас нет инцидентов, мы ничего делать не будем». Было вот такое легкомысленное отношение. Сейчас ситуация сильно меняется. Я даже скажу, что в банковском секторе проникновение средств защиты от утечек максимальное по сравнению с другими секторами, хотя покрытие еще не полное. То есть осознание проблемы есть.
– Можете рассказать о случаях утечек данных, которые привели к финансовым потерям?
– Был среди наших клиентов один банк, у которого утекала база клиентов. Конкурент обзванивал клиентов по этой базе, предлагая процент по депозитам на 2% выше. В результате у банка случился очень серьезный отток, порядка 15% клиентов за короткий срок. Они в ужасе обратились к нам, мы установили систему защиты, и переманивание клиентов прекратилось. Понятно, что можно тянуть какие-то куски базы, просто переписывая данные от руки, – от этого техническими средствами не защититься. Но всю огромную базу руками не перепишешь. Больше этот клиент на проблемы не жаловался.
Совсем недавно был случай, когда ряд менеджеров банка использовали свои права доступа для того, чтобы заработать на разнице курсов валют. Причем происходило это в ноябре – декабре 2014 года. С помощью нашей системы данная деятельность была выявлена и сотрудники, которые злоупотребляли полномочиями, найдены.
Еще один пример: сотрудник филиала одного из российских банков начал распространять информацию о том, что банку в ближайшее время грозит отзыв лицензии. Мы смогли обнаружить источник распространения этой информации. Дальше банк уже сам боролся с нарушителем.
– Какими способами происходят типичные утечки в банке?
– Есть утечки умышленные и неумышленные. Умышленные – это когда есть желающий, который эту утечку инициирует. И неумышленные – когда утечка происходит случайно. Например, секретарша выбрасывает конфиденциальную информацию в мусор или сотрудник теряет ноутбук с важными данными.
Согласно глобальному отчету об утечках в финансовом секторе за 2013 год, подготовленному аналитическим центром InfoWatch, основной способ – это утечки бумажных документов. На втором месте идет потеря или кража оборудования. На третьем месте – съемные носители, например флешки. Далее следуют утечки через сеть, и затем, как ни странно, мобильные устройства, которым вроде бы полагалось быть повыше в этом списке. Видимо, этот канал люди еще не освоили как следует.
– Нарисуйте портрет источника умышленной утечки: кто это может быть в банке?
– Довольно часто это работник ресепшен, который имеет доступ к клиентской базе. А за ним может стоять кто угодно. Может быть конкурент, который хочет украсть клиентские данные. Может быть обиженный сотрудник.
В 8,2% случаев это руководитель подразделения, но чаще всего источник занимает низовую позицию. С сотрудником можно договориться, а можно внедрить своего человека на низовую должность. Например, у секретарей-ресепшионистов текучка очень высокая. Платят им мало, а уровень ответственности очень высок. И внедрить туда человека несложно.
– Сотрудники каких подразделений чаще всего оказываются замешанными в утечках?
– Такую информацию банки не раскрывают. Но, кстати, сотрудники IT-подразделений попадаются крайне редко, в банковской сфере они вообще не фигурируют среди виновников, в других отраслях – в менее 1% случаев. Видимо, потому, что они первые, на кого подумают.
– Бывает так, что ловят человека и привлекают его к ответственности?
– Очень редко. Основная проблема – в доказательной базе. Сотрудник всегда может сказать, даже если письмо было отправлено с его электронного адреса, что это сделал не он. У суда существуют определенные процедуры. И, как правило, в компании, которая обратилась в суд с иском в области информационной безопасности, процедуры никак не заточены под сбор доказательной базы для суда. Таким образом, на сборе доказательной базы все и заканчивается.
На самом деле есть такой термин для процедуры расследования компьютерных преступлений, сбора и предоставления доказательств в суде – forensics (компьютерная криминалистика. – Прим. ред.), это международная дисциплина. И мы мечтаем найти партнера, специализирующегося в области расследования компьютерных преступлений, для предоставления клиентам объединенной услуги – защиты от утечек с возможностью их расследования и доведения до суда. Ведь в нашей базе инцидентов собраны все письма и действия пользователей в компьютерной сети. Это даст возможность клиентам привлекать злоумышленников к судебной ответственности. Это интересная тема, но пока партнеров не находится.
– Какая доля инцидентов становится публично известна?
– Я бы сказала, что около 1%. У нас нет такого законодательства, как на Западе, обязывающего компании раскрывать инциденты с утечками данных.
– По вашему мнению, это хорошо или плохо?
– Не могу ответить однозначно. Потому что, с одной стороны, да, наверное, рынку DLP (Data Leak Prevention, система предотвращения утечек данных. – Прим. ред.) это бы, наверное, помогло. Но здесь есть и негативный момент. Если компании законодательно обязать рассказывать о таких случаях, получится, что их вынуждают приобретать средства защиты. И тогда именно эти средства компании будут обвинять во всех грехах при каждой утечке. Я как раз сторонник того, что компании сами должны осознавать угрозу. Кроме того, еще надо понимать, что если компании будут отчитываться об утечках информации, это негативно скажется не только на самих компаниях, но и на их клиентах. Это может стать дополнительным средством нечистоплотной конкурентной борьбы. А ведь в информационной безопасности стопроцентных гарантий защиты быть не может. Закрой 132 возможных канала утечки – преступник может найти 133-й.
– Возможно ли закрутить гайки так, чтобы свести вероятность утечки к минимуму?
– Да, только работать станет сложно. К сожалению, безопасность сродни оковам на ногах. Она так устроена. Разговоры о том, что безопасность может быть простой и удобной, – это сказки. На нашем рынке, кстати, есть и очень простые, легкие в установке средства, но они ни от чего не защищают. То есть система жужжит, лампочки мигают, перехват вроде бы осуществляется. Но утечки все равно происходят.
У нашей компании такая позиция: средство защиты от утечек не может быть простым. По определению. Знаете, почему? Потому что для того, чтобы справиться с утечками, мы должны понимать, какой информацией клиент обладает и какая именно информация нуждается в защите. А это значит, что мы должны поработать с клиентом для того, чтобы четко определить категории конфиденциальной информации. Среди наших клиентов много банков, их мы хорошо понимаем. Поэтому банкам мы сразу предлагаем систему со специальными банковскими настройками, библиотеками и шаблонами, а также преднастройками ИБ-политик, специфичных для банков. Но даже и в этом случае оказывается, что нужен еще какой-то этап проработки задач с клиентом. Этот этап мы называем pre-DLP. Именно на этом этапе определяется не только тип искомой информации, но и задачи.
– Во что выливается внедрение DLP-системы для сотрудников банков? Какие ограничения накладывает?
– На самом деле как раз для сотрудников DLP практически никакой сложности не представляет. Потому что она работает в фоновом режиме и вообще не общается с пользователем. DLP-система может замедлять ваш компьютер, безусловно. Но вы будете думать, что это, например, антивирус или еще что-то.
DLP – это в некотором смысле компромисс с традиционными средствами защиты, которые сковывают пользователя по рукам и ногам. Конечно, самый простой способ защититься от утечек – закрыть доступ в Интернет, перекрыть все порты, отключить почту, запретить возможность печати на принтер. Но тогда работать будет невозможно.
DLP-система работает иначе, она использует свод правил, описывающих, кому что можно делать. И эти правила настраиваются на этапе pre-DLP под конкретную организацию. Этим DLP-системы создают определенные неудобства клиенту: именно на этапе pre-DLP оно требует значительных усилий клиента. И больше всего сопротивляются внедрению DLP-системы, как ни странно, айтишники. Потому что для них это головная боль. Они хотят поставить что-то простое, что как-нибудь будет фильтровать весь трафик. Мне однажды предложили купить компанию с «замечательным», простым во внедрении DLP-продуктом. Сказали, что у компании уже есть один банковский клиент. В первый же день продукт нашел 14 миллионов утечек. То есть вся работа и коммуникации банка по всем каналам были перехвачены. Я им сказала: «Вы же понимаете, что ваш продукт не работает?»
– Допустим, я работаю в банке, я айтишник. Взял где-то документ конфиденциальный, хочу его забрать домой. Упаковал его в архив с паролем, на Dropbox залил. Что скажет на это DLP?
– DLP смотрит на изначальный файл, маркирует его как конфиденциальный и отслеживает с помощью программы-агента на вашем компьютере, что вы с ним делаете. Поэтому обычные файлы вы можете свободно заливать на Dropbox или куда угодно, а вот на конфиденциальном документе вы попадетесь.
Беседовал Михаил ДЬЯКОВ,