ИБ в банках: взгляд со стороны персонала. Часть первая: DLP против случайных утечек

ИБ в банках: взгляд со стороны персонала. Часть первая: DLP против случайных утечек
Пост навеян рассказом одного из знакомых, который работает в банке, но не в сфере ИБ, а, скажем так, среди тех, кого ИБ должна контролировать – в ИТ-отделе. Думаю, что читателям нашего блога будет интересно и полезно взглянуть на себя со стороны. Пост написан в стиле интервью от певого лица, только помните, что это первое лицо – не ваш покорный слуга:)
Информационная безопасность. Что это, с чем это едят? Ответ на этот вопрос может несколько отличаться в зависимости от компании, предоставляющей услуги.  Да, именно так. Во всех компаниях отдел информационной безопасности имеет свои нюансы, но его первостепенной задачей, помимо основной триады «доступность-конфиденциальность-целостность», всегда будет обеспечение безопасности конфиденциальной, личной информации клиентов, предотвращение атак хакеров и борьба с вирусами. Также если все-таки все пошло по самому печальному сценарию и информации были нанесены повреждения, отдел информационной безопасности восстановит ее при помощи заблаговременно созданных бэкапов. Если учесть то, что сеть банка оснащена отличным антивирусом и файерволом, то становится понятно, что угроза поражения информации вирусами сводится к минимуму, но, тем не менее, все эти средства не могут обеспечить достаточную безопасность документов и других ценных бумаг и их копий, хранящихся в сети. Здесь-то и вступает в свои обязанности персонал отдела информационной безопасности.
Информационные технологии развиваются стремительно и теперь усилий одних админов недостаточно, чтобы защищать информацию от атак и вирусов, а в то время, когда этого хватало, борьба с утечками не велась вовсе. Все решалось подпиской о неразглашении. Все изменилось благодаря одному случаю. Случаем этим была просто колоссальная утечка информации о юридических лицах, получивших кредиты. Так сказать, "утекло" практически все. Вплоть до данных о залоговом имуществе. Разгорелся неслыханный скандал. Натерпелись не только клиенты, но и сам банк за проявленную халатность, которая была «в порядке вещей», был удостоен множества проблем. Стоит сказать, что банк проявил изрядную коммуникабельность. Скандал уладили мирно, всё решили без вмешательства суда, однако это стало толчком к созданию такого понятия, как информационная безопасность.
Подписка о неразглашении канула в лету? Вовсе нет. Она и по сей день играет важную роль для защиты информации. Согласитесь, ведь никакой отдел не справится с защитой данных клиентов, если клиенты сами везде информацию разглашают. В основу подписки входит также ограничение доступа сотрудникам, которые в принципе не должны этой информацией владеть. Таким образом, рядовые офисные сотрудники ни за что не увидят квартальный финансовый отчет, например. Помимо того, что хорошо настроенные файерволы ни за что не пропустят непрошеного гостя, даже каким-то образом пробравшийся куда не нужно вредитель не увидит ничего интересного. Дело в том, что весь внутренний трафик шифруется, шифруются даже корпоративные каналы связи. Такие как чат, например. Поэтому в данный момент получить важную информацию путем атаки или еще каким-то путем, кроме официального доступа, становится слишком дорого. Тот самый случай, когда взлом оказывается дороже, чем информация, которая будет в его результате получена. И, тем не менее, какие бы усилия ни прилагал отдел информационной безопасности, его главным врагом остается некомпетентность самих сотрудников и их неосторожность.
Если вы устраиваетесь на работу в крупную компанию или тем более банк, вас обязательно тщательно проверят люди из отдела информационной безопасности. В таком случае сотрудники отдела кадров часто не соглашаются с мнением сотрудников отдела безопасности, потому как те могут отказать в трудоустройстве хорошему, казалось бы, кандидату, но практика показывает, что лучше доверяться их профессионализму. Дешевле выходит, знаете ли. Главной причиной отказа становится небрежность. Когда по банальной ошибке сотрудник важный документ отправляет не в те руки. Отдел информационной безопасности призван предотвратить даже это.
Немного комментариев от уже от меня лично. Все знают: есть утечки случайные, о которых выше говорил мой собеседник, а есть и преднамеренные. Обратите внимание: вообще говоря, DLP-система помогает бороться с любыми утечками. Статистически больше утечек случайных, а вот бизнесу "больнее" от преднамеренных. Таким образом, со случайными утечками с помощью DLPмало кто борется, поскольку нужна остановка трафика. Используя эту функциональность, мы "раскрываем" факт использования какой-то системы, и тогда бороться с злонамеренными инсайдерами становится в разы сложнее. Учитывая, что бизнес разговаривает на языке денег, чаще DLPиспользуют по второму сценарию.
Касаемо примеров халатности в банках, можно вспомнить пример лета 2014 года. В РФ обновился отраслевой стандарт Банка России по ИБ. Учитывая, что этот стандарт обязателен к исполнению, всем было интересно, что там поменялось. Однако, как известно, стандарты – документы, требующие пояснений. Поэтому заведено так, что через какое-то время к стандарту выпускаются пояснения. Делает это, в том числе, и сам Банк России.
На этом и сыграли злоумышленники. Они сделали завирусованную PDF’ку, назвали её "Пояснения к СТО ИББР…." и целенаправленно разослали такой фишинговый спам по банкам. И некоторые сотрудники «подцепили» вирус-шифровальщик. Получилось так, потому что не слушали безопасников, которые им наверняка говорили, что нечего открывать письма с фиг пойми каких адресов. Кроме того, тот же Банк России никогда не рассылает файлы. В лучшем случае он бы прислал письмо со ссылкой на свой сайт, где выложены пояснения.
Ожидайте вторую часть мини-интервью, мы продолжим разговор о работе DLP-систем глазами контролируемого персонала.
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.