ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Потеря информации: способы борьбы

Потеря информации

Информация – жизненно важный ресурс в банковском деле. Она хранится и обрабатывается в вычислительных системах банков, а потоки данных перемещаются по внутренним и внешним коммуникациям: где контролируемо, а где совершенно бесконтрольно. Безопасность ее использования в банках порой оставляет желать лучшего. Выходом может стать применение комплекса предупредительных мер.

Компания Sailpoint Technologies в 2011 г. провела исследование, имеющее опосредованное отношение к вопросам обеспечения информационной безопасности предприятий, защиты от несанкционированного доступа к данным. Аналитики оценивали лояльность сотрудников компаний корпоративной этике при работе с информацией ограниченного использования.

Исследование, проведенное на территории США, Великобритании и Австралии показало: из 3,5 тыс. опрошенных сотрудников (по сути инсайдеров) достаточно большое количество могут и готовы украсть секретную информацию у своих компаний: 22% в США, 29% в Австралии, около половины респондентов в Великобритании. При этом 5% опрошенных в США, 4% в Австралии и 24% в Великобритании продали бы информацию своей компании с целью личного обогащения.

Эти впечатляющие результаты коррелируют с выводами аналогичного исследования, охватившего более 2 тыс. участников и проведенного в апреле 2011 г. корпорацией Symantec совместно с сообществом "Профессионалы.ру" на территории России. В нем отразилась картина того, как сотрудники отечественных компаний обращаются с внутренней информацией. Согласно опросу, около 70% работников "выносят" деловую информацию, 68% используют социальные сети в процессе работы, а 56% готовы вынести не просто корпоративную, но информацию с атрибутами ограниченного доступа.

В процессе исследования аналитики выявили четыре типа сотрудников-инсайдеров:

    Сотрудники, которые могут подвергнуть компрометации корпоративную вычислительную сеть, не подозревая об этом – 24%.

    Сотрудники, которые игнорируют базовые требования безопасности, при этом осознавая степень угрозы – 22%.

    Сотрудники, которые вошли в группу тех, кто преследует собственные корыстные цели – 7%.

    Сотрудники, которые достаточно аккуратно обращаются с коммерческой тайной – 47%.

С точки зрения службы безопасности банка возможен вывод: никакие инструменты ИБ не способны удержать в узде распоясавшихся инсайдеров и просто сотрудников с низким уровнем осознания личной ответственности, компетентности, профессиональной подготовки.

Поэтому зачастую службы ИБ идут по пути запретов. Повышается уровень ограничений при работе в КИС, уменьшаются области доступа, отключаются все "лишние" устройства, интерфейсы и шлюзы. Эффективность этих мер оценить сложно, поскольку расследование преступлений, связанных с хищением информации, в России затруднено. Отсутствуют судебные прецеденты по фактам инсайда.

Без вины виноватые

"Запретительная" политика не учитывает, что некоторая доля рисков в процессе эксплуатации КИС возникает не только из-за несанкционированных действий, но и в случае непреднамеренных ошибок сотрудников. Они также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.

Например, большинство сотрудников одного из банков завели обычай хранить пароли на липком листочке бумаги, приклеенном снизу к клавиатуре. При таком подходе руководству организации остается лишь уповать на лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов.

Поэтому, помимо внедрения технических и программных средств, необходимы комплексные меры предупредительного характера. Они позволяют информировать служащих о недопустимых действиях с информацией ограниченного использования. Хороши все средства: законодательные инициативы, в арсенале которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последнее случается даже не злонамеренно, а просто потому, что есть возможность обработки данных в домашних или других условиях. Тут вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от несанкционированного доступа.

Однако в банках часто применяется сразу несколько информационных систем, и их сотрудникам физически трудно, почти невозможно запомнить аутентификаторы всех своих аккаунтов. Особенно если сотрудники ИТ-департамента включают режим периодической смены паролей с проверкой на уникальность и надежность. "Сотрудники будут использовать "подручные средства", чтобы облегчить себе жизнь. Это повлечет вероятность использования аккаунтов других сотрудников, злоупотребление доверием коллег, а при наихудших сценариях – хищение и утечку информации под прикрытием чужих рабочих профилей. По сути, несанкционированный доступ к данным", – отметил генеральный директор компании "Индид" Алексей Баранов.

Значительную часть вопросов по ИБ могут разрешить новейшие программные и аппаратные технологии и комплексы. Можно использовать такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами: многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам банка.

Цена вопроса

Осмысленность внедрения подобных технологий обусловливается экономическим фактором. В таблице приведен расчет возврата инвестиций от внедрения программного комплекса Indeed-Id Enterprise ESSO.

Параметр экономииРублей в годЧасов в год на пользователя,
в соответствии с применением
технологии строгой аутентификации
Indeed-Id
Доступ пользователя к рабочему столу Windows5981,8
Доступ пользователя в ИТ-системы29928,8
Периодическая смена пароля учетной записи Windows170,05
Периодическая смена пароля учетных записей ИТ-систем850,25
Блокировка рабочего стола Windows1490,44
Инцидент "Забытый пароль" учетной записи Windows1190,34
Post Single Sign-On Automation4981,5
Итого на одного пользователя в год458013,52
Итого на всех пользователей в год915913327040

Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб, на которых, согласно расчетам компании, возможна экономия средств. В правой – результаты этой экономии в течение одного года.

Как следует из приведенной таблицы, при количестве пользователей КИС около 2 тыс. сотрудников и средней зарплате в компании 60 тыс. руб., цифра экономии средств на разрешение инцидентов и проведение периодических мероприятий ИТ-отдела, только по этому аспекту обеспечения ИБ банка, в течение года может превысить 9 млн руб. Вряд ли в банковском бизнесе найдется руководитель, решающий игнорировать источник потерь такого масштаба в долгосрочной перспективе. Тем более если сумма соотносится с размером годового ИТ-бюджета банка на реализацию мер по защите корпоративной информации.

Технический консультант компании Symantec Олег Головенко отметил, комментируя исследование, проведенное его компанией в 2011 году, что объемы утечек данных в российских компаниях увеличиваются год от года. "Результаты проведенного нами исследования наглядно показывают, что из-за действий инсайдеров (умышленных или совершенно невинных) конфиденциальные данные компаний беспрепятственно покидают корпоративные сети и утекают во внешний мир", – подчеркнул он.

Технологии на рынке существуют, а руководителям банковских учреждений стоит сделать выбор: будут сотрудники банка клеить под панель рабочих столов стикеры с паролями или начнут применять безопасные технологии в работе с информацией. Принятые в этом направлении решения окажут значительное влияние на качество, безопасность и, как следствие, успешность в банковском бизнесе. Выражение "деньги предпочитают тишину" имеет непосредственное отношение к происходящему сегодня в круговороте банковских информационных потоков и бурному развитию мобильного банкинга.

Автор статьи: Сергей Мажаров


CNews (02.06.2012 в 10:24) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"