Банки и финансовые компании имеют серьезные проблемы с защитой приватных данных

Практика последних месяцев показала, что наибольший общественный резонанс вызывают случаи утечки конфиденциальной информации именно из финансовых организаций. С одной стороны, это можно объяснить тем, что пресса и общество очень чувствительно относятся ко всему, что «бьет по карману». С другой стороны, частота инцидентов и масштабы утечек настолько велики, что действительно уже пора вознегодовать: «А вообще, способны ли банки и кредитные компании защитить сведения своих клиентов?».

Практика последних месяцев показала, что наибольший общественный резонанс вызывают случаи утечки конфиденциальной информации именно из финансовых организаций. С одной стороны, это можно объяснить тем, что пресса и общество очень чувствительно относятся ко всему, что «бьет по карману». С другой стороны, частота инцидентов и масштабы утечек настолько велики, что действительно уже пора вознегодовать: «А вообще, способны ли банки и кредитные компании защитить сведения своих клиентов?». Прежде чем ответить на этот вопрос, необходимо рассмотреть те проблемы, с которыми сталкиваются компании кредитно-финансового сектора.

Одна из нерешенных проблем на сегодняшний день – безопасность процессов, вынесенных в третьи компании, а порой и третьи страны. Взять хотя бы инцидент с публикацией в лондонском таблоиде «The Sun», где журналист просто пообещал предоставить публике конфиденциальные сведения о банковских счетах более 1 тыс. англичан. Как показало дальнейшее расследование, утечка произошла в одном из call-центров Индии, куда несколько британских банков вынесли часть своих функций. В результате инцидента доверие общества к компаниям Lloyds TSB, Barclays, Woolwich и HSBC было подорвано.

Перед инцидентом, так разрекламированным газетой «The Sun», сотрудников другого индийского call-центра обвинили в краже 350 тыс. долларов со счетов американских клиентов Citibank. Однако не одни лишь западные банки испытывают трудности такого рода. По мнению многих авторитетных экспертов в России безопасность call-центров еще ниже, чем в странах Европы и Северной Америки. Вдобавок можно утверждать, что латентность преступлений в сфере утечек конфиденциальных сведений в России выше, чем, например, Великобритании или США. Это связано с тем, что согласно российским законам компании не обязаны уведомлять клиентов, чьи данные были скомпрометированы. Другими словами, все создано для того, чтобы как можно скорее «замять» инцидент и избежать общения с недружелюбно настроенной прессой.

Еще один бич кредитно-финансовых компаний – общая небезопасность ИТ-инфраструктуры. Именно так можно охарактеризовать последний скандал с потенциальной утечкой записей о более 40 миллионах кредитных карт. Нарушив требования, предъявляемые компанией MasterCard, и элементарные правила ИТ-безопасности, CardSystems Solutions допустила злоумышленников к базе данных, содержащей приватные сведения. В результате, 70 тыс. записей были точно скомпрометированы, а еще 40 млн. лишь потенциально.

Наконец самой серьезной проблемой банков являются продажные сотрудники, которые за деньги готовы продавать на стороне любые сведения о счетах клиентов. Например, в мае 2005 года была зарегистрирована самая крупная банковская утечка приватных данных в США. Жертвой целой банды продажных клерков стали 4 крупнейших банка США (Wachovia, Bank of America, Commerce Bancorp и PNC Bank) и почти 700 тыс. американских граждан.

В результате всех вышеперечисленных инцидентов, а также целого ряда других около четверти совершеннолетнего населения Великобритании либо испытали кражу личности на себе, либо знают кого-то, с кем это произошло. Почти 60% американских граждан, опрошенных в январе 2005 года, выразили свою озабоченность проблемой кражи личности, а 6% пришлось даже сменить банк, чтобы уменьшить подобные риски. Именно таковы результаты последних статистических исследований .

Как же банкам обезопасить приватные данные своих клиентов? Возможно ли это вообще? Эксперты компании InfoWatch считают, что финансовые компании действительно могут обеспечить приемлемый уровень защиты. В качестве пути минимизации рисков предлагается целый ряд мер.

Во-первых, необходимо убедиться в том, что внешний партнер, берущий на себя часть функций банка, реализовал соответствующие политики и процедуры, а также внедрил соответствующие технические средства внутренней ИТ-безопасности. Здесь следует отметить, что, когда речь идеи о внешней компании, часто находящейся в другой стране, недостаточно проследить за финансовой отчетностью и требованиями к ИТ-инфраструктуре, необходимо проконтролировать и все остальное – вплоть до физической безопасности. Дополнительную информацию о технических требованиях к средствам ИТ внешних партнеров по бизнесу можно найти здесь .

Во-вторых, необходимо обеспечить соответствие банковской ИТ-инфраструктуры всем требованиям существующих стандартов. В России, например, с 1 декабря 2004 года используется стандарт Центрального Банка «Обеспечение информационной безопасности организаций банковской системы:», который позволяет оптимизировать не только управление ИТ-безопасностью, но также описывает жизненный цикл программных средств и критерии оценки безопасности информационных ресурсов банка. Эксперты отзываются о новом стандарте положительно, указывая на выгоду реализации его положений, как для самого банка, так и для его клиентов.

В-третьих, необходимы специальные средства контроля над всеми операциями, осуществляемыми над конфиденциальной информацией. К сожалению, без дополнительной защиты невозможно обезопасить приватные сведения. Какие требования следует предъявлять к таким средствам контроля? Прежде всего, покрытие всех каналов утечки данных: ресурсов Интернета (веб, почта, пейджеры и т.д.) и средств вывода рабочих станций (принтеры, мобильные носители и т.д.). Во вторую очередь, активный мониторинг всех действий пользователя по изменению конфиденциальной информации. Зачастую существующие технические решения дополнительно решают целый комплекс сопутствующих проблем, в результате чего банку значительно проще пройти сертификацию. Это как расширенные средства аудита и ведения журналов, так и управление жизненным циклом корреспонденции (электронной почты и сообщений сетевых пейджеров), включая архивирование, хранение и ретроспективный анализ.

В заключение важно заметить, что проблемы банков обусловлены недостаточным вниманием к собственной внутренней ИТ-безопасности. Реализация указанных выше мер позволит минимизировать риски утечки конфиденциальных данных, не потерять доверия клиентов и не превратиться в очередной объект статистики инцидентов в сфере ИТ-безопасности.

Источник:infowatch.ru


comments powered by Disqus