Привет, это . Сегодня поговорим о DLP-системах в банках, киберстраховании и сливе баз данных. А еще расскажем как внутри банков воруют информацию.
Сегодня у нас Дмитрий Беляев, начальник службы информационной безопасности в одном из российских банков. Во-первых, такие люди практически никогда не приходят на подкасты, а во-вторых, они очень сложно раскрывают свои секреты в силу специфики их работы.
На подкасте мы обсуждали всю банковскую систему безопасности: как устроена защита, как контролируются люди и как внутри нее становятся руководителями. Получился большой материал, из которого мы вытащили самое важное.
На всех местах, где я работал были свои DLP системы и я этому направлению отдавал особое внимание. Были разные кейсы — при правильной настройке DLP система позволяла находить очень много чего интересного.
[P]
К примеру, с помощью DLP-систем удалось расследовать одну махинацию, в которой участвовал зам. гендира. Гендир уехал в командировку, письмо с контрактом прислал контрагент и зам с помощью печати гендира согласовал этот контракт и отправил контрагенту.
Когда гендир приехал, то ужаснулся, потому что компания заплатила 3 млн. за какое-то ненужное взаимодействие. С помощью DLP системы удалось выяснить кто именно из замов это сделал. Провели расследование, зама уволили, в суде доказали, что контракт был подписан нелегитимным лицом.
С помощью DLP системы удавалось выявить сотрудников, которые сливали различным лицам перемещения лиц высоких должностей организаций, непонятно для каких целей, но сотрудников тоже уволили.
Были интересные кейсы, когда сотрудники в нерабочее время делали интересные вещи:
- сотрудница в рабочее время искала таблетки для повышения потенции.
- другая сотрудница искала игрушки в секс-шопе
- у одной из сотрудниц на рабочем месте осталось приложение — календарь секса, который говорил «сегодня удачный день для занятия сексом»
Это все, конечно, забавно, но смысл DLP-системы обнаруживать попытки хищения информации персональных данных, коммерческой и банковской тайны.[P]Кроме DLP системы я бы упомянул еще RAM систему, которая отвечает за контроль привилегированных пользователей. С ее помощью удается выявить злонамеренные действия разработчиков и администраторов баз данных, которые пытались передать код или фрагмент кода на сторону.
В некоторых случаях, кстати, PAM система позволяла выявить недоработку со стороны разработчиков, которые использовали при разработке программном обеспечении открытые пароли.
Когда сотрудники устраиваются на работу — они знают, что их компьютеры мониторят?
Есть две политики и организации сами решают какой политики придерживаться.
- Открытая
На стадии подписания трудового договора прописывается, что в рабочее время сотрудник обязан осуществлять рабочую деятельность, поэтому ведется постоянная записи его действий. - Закрытая
Никакой внутренней, нормативной документации по мониторингу нет. Пользователи не предупреждаются. Обычно это делается в самом начале, на стадии пилотирования, чтобы выявить кротов в организации.
Еще один кейс тоже связан с DLP — один из сотрудников хотел похитить из организации информацию, он знал то, что есть DLP система и пытался это обойти.
Как он это сделал: Открыл презентацию → нашпиговал туда текста и картинок → заархивировал информацию → спрятал этот архив за картинкой. Аномалия вызвала вес презентации. И когда заблокировали правку презентации — начали разбор: почему так много весит? Шаг за шагом выяснили, что сотрудник-то недобросовестный.
Киберстрахование хорошо развито за рубежом — там его используют даже мелкие компании, не говоря уже о больших. В России, к сожалению, это не так хорошо развито и его используют только очень крупные топовые компании, где вероятность риска довольно высока, а финансовый и репутационный риск может повлиять на акции.
В компаниях среднего и малого бизнеса, это менее востребовано и я не встречал ни одну организацию из СМБ, которая пользовалась этой услугой.
| СМБ — средний и малый бизнес
Какое железо стоит у банков? Отечественный Байкал или как у всех?
Мы стараемся уйти в сторону использования российских решений, но разумеется по серверам и железу это пока проблематично:
- То, что сейчас есть в плане серверов и железа — не всегда доступно
- Российские разработки часто не дают тех возможностей, которые нам дают зарубежные решения
В России есть серый импорт, который позволяет закупать зарубежные решения. Но это касается только железа компьютеров, мониторов и так далее. В плане, средств защиты информации мы планомерно уходим от зарубежных решений в сторону российских, отечественных аналогов.
Да где-то не дотягивают, но это лучше, чем когда ты используешь зарубежное решение и оно превращается в тыкву: отзывают лицензию, техническую поддержку и остается только бумага с ручкой.
Кейс Cisco Компания уничтожила свою продукцию на 1,8 млрд. рублей. Более того, они отзывали свои лицензии — множество процессов у крупных банков могло встать.
Наши российские соотечественники быстро нашли костыль, который грубо говоря при внедрении его использование блокировал вот этот отзыв. Многие компании так и спаслись.
Это правда, что у сотрудников банка два компьютера, один для интернета другой для работы внутренней сети?
Если речь об обычном сотруднике, то это не нужно. Это затраты X2 на оборудование и защиту. Возможно, так делают в очень крупных компаниях, но мало где. Два компьютера — много бизнес-процессов и времени будут теряться.
Обычно прорабатывается именно политика доступов, создается матрица ролей доступа, где четко прописывается какими информационными системами имеют доступ те или иные сотрудники. В зависимости от должности и роли увеличиваются или уменьшаются доступы внутри системы.
Большинство взломов происходит с помощью социальной инженерии?
Моя статистика показывает, что таких атак более 60%.
Что читают безопасники, чтобы повышать квалификацию? Security Lab, какой-нибудь Exploit Inform или что-то другое?
Лично я читаю Security Lab, Antimalware, каналы и группы в телеграмме.
Зачем нужны конференции для безопасников, если все есть в Интернете?
Очень важно находить контакты людей из своей профессии, важен обмен опытом. Статьи, посты и видео помогают узнавать новую информацию в сфере, но диалог со специалистом, с которым можно обменяться кейсами — эффективнее.
Есть ли какие-то личности в сфере за деятельностью который следишь?
Стараюсь брать пример с Алексея Лукацкого и с Луцика Павла.
Собственно, Луцик Павел известная личность — он директор департамента развития бизнеса компании КриптоПро, мы с ним вместе работали в интеграторе. Очень достойный человек и профессионал — стараюсь подражать ему.
На каком этапе стартапу стоит задуматься о секьюрности?
Лучше подумать о безопасности в самом начале. Например, вы проведете касдев и ваша гипотеза подтвердится, вы выступите перед инвестором или инвесторами и ваше решение понравится. Когда ваше решение выйдет в люди и его начнут покупать — его могут легко взломать и ваш стартап утонет.
Почему службе безопасности банков можно пользоваться слитыми базами, а кассирше из пятерочки нет?
Никто не запрещает кассирше из пятерочки пользоваться слитыми базами. Может она тоже в хакатонах участвует?
Сотрудники службы безопасности используют эти данные для анализа. Например, для поиска информации о кандидате, либо о контрагенте или для нахождения аоков.
Я встречал людей, которые не будучи безопасниками, планомерно ищут слитые базы, чтобы посмотреть о соседе Васе Пупкине.
Был такой интересный случай, когда из-за слитой базы Яндекс Еды узнали, что коллега дома не готовит и постоянно ест заказанную еду. За полгода он наел в Яндекс Еде на сумму 400 тысяч рублей — из этого можно сделать определенные выводы.
Как происходит слив баз банных в банках?
Вопрос: как происходит, что мошенники звонят и знают какие у человека кредитные карты, какие дебетовые, какой у них баланс?
Очень многие банки грешны, тем что рано или поздно у них происходил слив баз данных: где-то их взломали, где-то сотрудники использовали свое положение — это несмотря на ролевую модель и на грамотно построенную защиту. Такие случаи нередко бывают, учитывая тот факт, что мы пользуемся сервисами, как Гемотест, Яндекс Еда, Delivery Club и тд.
То есть, там мы тоже оставляем свои персональные данные. И есть ряд сервисов, которые собирают информацию с разных слитых баз данных опубликованных в интернете.
После 24 февраля 22 года таких баз данных стало в разы больше. Эти данные агрегируют в каком-то одном решении, например, в Telegram-боте и можно навести справки о человеке.
К примеру, я скоро буду выступать на конференции по теме Синт и там подробно разберу, как я навел справки о человеке, который просто мне позвонил.
Я узнал, что он из Владикавказа, живет в Москве, снимал квартиру и работал в ряде операторов, затем взял квартиру, взял ипотеку в одном из банков. Даже должность и направление — за какими клиентами был закреплен. Значит, теоретически, можно через него узнать о доходах тех или иных лиц, если надавить на него.
| Синт — это розетка по открытым данным.
Банки сливают данные другим банкам?
Вопрос: «Я подала заявку на ипотеку в сбербанк и мне тут же начали звонить из самых разных банков и предлагать оформить счет в банке (для ип). Это про слив базы. Как это все работает?»
Есть такая практика, то что банки договариваются между собой. Когда вы посещаете те или иные сайты нужно читать пользовательское соглашение — там вы даете согласие на обработку данных, сборку cookie, а потом это все продается.
К примеру там в двадцать первом году был кейс, когда сеть дата-центров в Европе собирала данные с различных сайтов, а потом ее взломали. Грубо говоря, мы все пользуемся сетью интернет и работаем в браузерах и при посещении тех или иных сайтов различные маячки собирает информацию о нас, о нашем устройстве и эту информацию продают, также эту информацию можно перехватывать.
То есть, если вы не понимаете, почему после подачи документов на ипотеку — вам позвонило еще 50 банков с таким же предложением, то скорее всего вы невнимательно читали доп. соглашения.
