Обзор Информационные тенологии в банках и страховых компаниях 2006 подготовлен

Денис Зенкин: В ближайшие 4 года 61 % банков планируют обеспечить соответствие стандарту ЦБ

На вопросы CNews отвечает Денис Зенкин, директор по маркетингу компании InfoWatch.

CNews: Финансовые и кредитные организации в силу специфики своей деятельности всегда очень большое внимание уделяют вопросам ИБ. Какие характерные особенности обеспечения ИБ им присущи?

Денис Зенкин: В отличие от других секторов экономики финансовые организации ближе всего находятся к главной цели всех преступников — деньгам. Это накладывает на них высокую ответственность по защите данных как от внутренних, так и от внешних врагов и определяет повышенное внимание к вопросам ИТ-безопасности. Такое положение вещей прекрасно понимают и государственные регулирующие органы. Несмотря на то, что отраслевые стандарты ИТ-безопасности (в частности СТО БР ИББС-1.0–2006) до сих пор носят рекомендательный характер, не за горами их трансформация в обязательные требования. В этом случае, с одной стороны, большинству банков придется вложить большие средства в модернизацию бизнес-процессов и защиту данных. С другой, это позволит повысить их конкурентоспособность, интегрированность в международную банковскую систему, улучшить имидж и, безусловно, улучшить защищенность против различных типов ИТ-угроз. Именно к таким выводам пришла компания InfoWatch в совместном исследовании с проектом Банкир.ру.

В целом, кредитно-финансовый сектор унаследовал те же недостатки обеспечения ИБ, что и организации других отраслей. На фоне достаточно сильной защиты против внешнего враждебного окружения (вирусы, хакерские атаки, спам) им все еще недостает эффективного контроля над внутренними угрозами. Вместе с тем именно действия собственных сотрудников, по версии Банка России, представляют наибольшую опасность. Пункт 5.4. стандарта гласит: «Наибольшими возможностями для нанесения ущерба [организации] … обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Именно эту область ИБ ждет бурное развитие: в ближайшие 4 года 61 % банков планируют обеспечить соответствие стандарту ЦБ и 73 % — международному соглашению BaselII, который вступает в силу в России в 2009 г.

CNews: Часто поднимается вопрос о статусе службы ИБ в компании — например, нужно ли ее выводить из состава ИТ-службы. Банки часто решают, что нужно. Однако в этом случае появляется проблема разделения полномочий со службой безопасности банка. На ваш взгляд, как должно быть построено взаимодействие этих служб?

Денис Зенкин: На наш взгляд, проблема подчиненности службы ИБ и ее места в иерархии должна решаться исходя, прежде всего, из особенностей структуры и традиций самой компании. Вряд ли можно сказать, что существует универсальный рецепт, который подошел бы абсолютно всем организациям. Мне известны компании с очень эффективными политиками ИБ, но, в то же время, применяющие различные подходы к проблеме. На сегодняшний день в России наиболее распространена практика подчинения ИБ отделу ИТ или общей безопасности. Хотя последнее представляется более обоснованным, нежели первое, общемировые тенденции показывают, что на крупных западных предприятиях служба ИБ вообще выделяется в отдельную структурную единицу с непосредственным подчинением первому лицу исполнительной власти. Это имеет вполне логичное обоснование. Информационная безопасность давно стала ключевым направлением, от которого зависит судьба всего бизнеса: один-единственный просчет может повлечь за собой потерю имиджа, многомиллионные штрафы, вплоть до банкротства. По мнению InfoWatch, в таких условиях защита информации приобретает первостепенное значение и должна занять соответствующее положение в структуре организации.

CNews: Считается, что в банках все хорошо с ИБ. Почему же регулярно случаются утечки — даже у банков с мировыми именами?

Денис Зенкин: Если судить по заголовкам газет, то утечек происходит вовсе не так много. Причем абсолютное большинство из них приходится именно на крупные международные банки с мировым именем. Российских банков среди них вообще нет. Однако это вовсе не значит, что в нашем отечестве все гладко и спокойно. Впрочем, как и в кредитно-банковских секторах других стран. К сожалению, в области обнародования фактов утечек конфиденциальной информации наблюдается высокая степень латентности — сокрытия инцидентов. По оценке InfoWatch, этот уровень достигает 90-95 %.

С одной стороны это вполне можно понять с точки зрения самого банка: попытка защитить свой имидж, решить дело по-тихому, не привлекая внимание общественности. С другой же стороны, это провоцирует рецидивы подобных случаев, снижает мотивацию банков для того, чтобы что-то изменить «в консерватории». Наконец, что самое важное, страдают клиенты. Естественно, чем больше банк, тем сложнее скрыть происшествие. Тем более, что во многих странах (в частности, в США) действуют законы, обязывающие компании, допустившие утечку, проинформировать об этом как настоящих, так и потенциальных пострадавших.

Таким образом, размах утечек в действительности гораздо шире, чем мы себе представляем. И в этом нет ничего удивительного: банки работают с деньгами, а это и есть тот лакомый кусок, о котором мечтают все кибер-криминалы мира. Банкам еще есть в чем совершенствовать свои системы ИБ.

CNews: Банки прекрасно осознают важность вопросов внутренней безопасности. Тем не менее, многие не уделяют достаточного внимания, казалось бы, очевидным вещам — например, съемным носителям информации или мониторингу трафика. Чем это можно объяснить?

Денис Зенкин: Объяснение кроется в психологических особенностях отношения к любым новым технологиям. Контроль съемных носителей, специализированный мониторинг трафика, как ни крути, все же в новинку большинству специалистов. Сейчас мало профессионалов, имеющих практический опыт установки, настройки и эксплуатации подобных систем. Поэтому банки предпочитают только присматриваться, но еще не перешли психологический барьер для реальных шагов.

Это вполне закономерная тенденция. Когда-то подобное отношение можно было видеть и в применении, скажем, к антивирусам — сейчас же этот тип защиты прочно приписан к категории «amust». Исследования InfoWatch показывают, что 83 % российских организаций планируют внедрение специализированных систем защиты конфиденциальной информации против инсайдеров уже в ближайшие 3 года. Причем большинство (особенно крупные банки) склоняются к внедрению комплексных проектов, которые позволяют контролировать не только съемные носители или трафик, но вообще все каналы утечки, включая принтеры и рабочие станции.

CNews: Из вашей практики, какие проблемы ИБ сегодня наиболее актуальны в финансовом секторе?

Денис Зенкин: Опрос российских организаций показывает, что наибольшую обеспокоенность вызывает проблема кражи информации. В 2005 г. 64 % респондентов поставили эту угрозу на первое место, в то время как самые «громкие» проблемы, подробно освещаемые в СМИ, остались позади. Лишь 49 % обеспокоены вирусами, 48 % — хакерскими атаками и 45 % — спамом. Этому есть логическое объяснение. Системы защиты от внешних угроз уже давно покинули ранг экзотики и внедрены практически в каждом банке, в то время как защита от угроз внутренних все еще в диковинку.

Решение этой проблемы требует безотлагательного решения. Кибер-преступность пришла к осознанию факта, что пробиться через мощную периметральную защиту сегодня практически невозможно: за этим рубежом зорко следят профессионалы высокого класса. Поэтому все чаще происходят случаи целенаправленного внедрения инсайдера в структуру банка. Британские банки уже бьют тревогу по этому поводу. Кэллум Маккарти (Callum McCarthy), председатель Financial Services Authority, сообщил, что организованные преступные группировки уже просочились в крупнейшие британские банки, чтобы осуществить мошенничество. Таким образом, они понимают, как устроены системы защиты, и вырабатывают способы обхода.

Например, в начале ноября 2005 года семь сотрудников Barclays Bank были арестованы по обвинению в сговоре, который ставил своей целью обокрасть клиентов компании и сам банк. Однако это не первый подобный случай. Еще в марте 2005 года за решеткой оказались два мошенника, которые использовали инсайдера в банке, чтобы украсть около 200 тыс. фунтов (около 345 тыс. долларов) у комедийного актера Рики Гервэиса (Ricky Gervais). К сожалению, правоохранительные органы и сотрудники банка так и не смогли вычислить инсайдера.

Вследствие подобных преступлений Великобритания ежегодно теряет 14 млрд. фунтов (около 24 млрд. долларов) или 230 фунтов на человека (около 395 долларов на человека).

CNews: Мониторинг трафика на предмет утечки конфиденциальной информации — сравнительно молодое направление ИБ. Насколько решения данного класса востребованы сегодня в развитых странах и в России?

Денис Зенкин: Это направление ИБ развивается семимильными шагами. Только в России рост объема специализированного рынка в 2005 г. составил около 120 %, причем в ближайшие годы темпы будут только увеличиваться по принципу снежного кома. Проблема защиты конфиденциальной информации крайне беспокоит как ИБ-специалистов, так и топ-менеджмент компаний. Действительно, ведь от этого может зависеть судьба всего бизнеса. С другой стороны большинство все еще присматривается к рыночному предложению и опыту внедрения в других банках. Этот процесс наглядно иллюстрирует тот факт, что сразу после публикации информации о внедрении InfoWatch во «Внешторгбанке» для защиты от инсайдеров мы получили несколько десятков запросов на пилотные внедрения в других российских банках.

Вместе с тем, хочу подчеркнуть, что банки больше интересуются не точечными решениями (например, мониторинг трафика), но комплексными проектами для полномасштабного контроля над конфиденциальной информацией. Профессионалы прекрасно понимают, что безопасность должна быть всеобъемлющей, или же ее значение будет сродни эффекту картонного бронежилета.

CNews: Много ли отечественных банков уже воспользовались вашими решениями? Какие проекты, реализованный вами в прошедшем году в финансовом секторе, вы могли бы выделить?

Денис Зенкин: Наиболее значимые проекты в кредитно-финансовом секторе были реализованы во «Внешторгбанке» и Министерстве финансов РФ. В частности, корпоративная сеть «Внешторгбанка» была оборудована InfoWatch Mail Monitor — системой фильтрации почтового трафика, основанной на морфологическом анализе корреспонденции. Решение в масштабе реального времени проверяет исходящий почтовый трафик, выявляет письма, содержащие конфиденциальную информацию, помещает их в область карантина и немедленно сообщает об инцидентах на консоль управления офицера ИТ-безопасности. Совместно со специалистами InfoWatch была разработана специализированная фразеологическая база данных, учитывающая бизнес-терминологию заказчика. Одновременно в сеть «Внешторгбанка» был внедрен InfoWatch Mail Storage — многофункциональная централизованная система учета, хранения и ретроспективного анализа почтовой корреспонденции повышенной производительности, ёмкости и безопасности. В рабочем режиме система способна обрабатывать минимум 50 тысяч писем или 10 гигабайт трафика в день и поддерживать актуальный архив корреспонденции за период не менее 5 лет.

С помощью InfoWatchMailStorage «Внешторгбанк» получил идеальный инструмент для расследования случаев утечки секретных данных через электронную почту и достиг соответствия с российскими (стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы») и международными нормативными актами (Basel II).

CNews: Спасибо.