Обзор "ИТ в банках и страховых компаниях 2007" подготовлен При поддержке
CNewsAnalytics Комкор

Утечки обходятся банкам слишком дорого

Утечки обходятся банкам слишком дорогоПо данным исследования Deloitte, семь утечек из десяти обходятся пострадавшей финансовой компании более чем в 1 млн долл. Очевидно стремление банков к эффективной защите конфиденциальной информации. Все больше участников рынка осознают, что наличие адекватной системы внутренней ИБ и отсутствие утечек являются конкурентным преимуществом, позволяющим завоевывать новых клиентов и удерживать старых.

Исследование Deloitte показало, что одной из наиболее сложных проблем является контроль над информационными активами, покидающими корпоративную среду. Аналитики отмечают, что такие операции намного сложнее контролировать и протоколировать. Лучше всего проблему иллюстрирует бум мобильных и беспроводных технологий, в результате которого организациям стало еще труднее защищать конфиденциальную информацию и приватные данные. Между тем, технические решения, ограничивающие использование коммуникационных возможностей ИТ-инфраструктуры, вызывают отторжение и недовольство пользователей.

Еще одной опаснейшей угрозой является кража личности, которую аналитики Deloitte назвали «преступлением XXI века». Согласно исследованию «2006 Global Security Survey», защита от кражи личности и мошенничества со счетами являются двумя основными приоритетами, на которых большинство (58%) финансовых компаний сфокусируют свои усилия в следующем году. Чтобы справиться с этой задачей, банки и страховые фирмы по всему миру будут внедрять специальные решения для защиты конфиденциальной информации.

Проблема усугубляется постоянными утечками классифицированных данных, многие из которых стали известны публике в 2005 году. 18% финансовых компаний сообщили, что в той или иной степени стали жертвой утечки конфиденциальной информации за прошедший год и теперь страдают от долгосрочных отрицательных последствий этого инцидента. Аналитики Deloitte отмечают, что современные злоумышленники прекрасно осведомлены о ценности персональных данных клиентов фирмы, поэтому идут на самые разные хитрости, чтобы заполучить эти сведения. Например, крадут ноутбуки и другие мобильные устройства, пытаются обмануть служащих call-центра или инсайдеров, имеющих доступ к информации. Довольно часто компрометация важных данных является следствием человеческого фактора. Персонал финансовых компаний недостаточно подкован в вопросах информационной безопасности (ИБ), поэтому часто ошибается и путает классифицированные записи с публичными.

Таким образом, эффективная защита конфиденциальной информации — это то, к чему стремятся финансовые компании по всему миру. Многие фирмы уже осознали, что наличие адекватной системы внутренней ИБ и отсутствие утечек являются конкурентным преимуществом, позволяющим завоевывать новых клиентов и удерживать старых.

Направления развития ИБ

Аналитики Deloitte указывают, что каждой финансовой компании необходима стратегия ИБ, в рамках которой должны строить конкретные программы по развитию системы ИБ. Исследование «2006 Global Security Survey» показало, что основными приоритетами современных финансовых компаний являются: совместимость с международными нормативными актами (67%), защита от кражи личности и мошенничества со счетами (58%), непрерывность бизнеса (49%), улучшение инфраструктуры (41%) и управление идентификацией (41%). Таким образом, вектор развития ИБ в финансовых компаниях указывается по направлению совместимости со стандартами и внутренней ИБ.

Наиболее приоритетные направления развития корпоративной системы ИБ

Источник: Deloitte «2006 Global Security Survey»

По мнению аналитического центра InfoWatch, обозначенные приоритеты в полной мере справедливы и для отечественных финансовых компаний. Например, сегодня в России действует стандарт Центробанка по ИБ, в котором черным по белому прописано (пункт 5.4): « Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Таким образом, российским банкам и страховым компаниям предстоит решать проблему совместимости с нормативными актами (в данном случае со стандартом ЦБ по ИБ) и защищаться от инсайдеров (как того требует стандарт и доводы логики).

Внутренние угрозы

Опрос ведущих финансовых компаний показал, что 49% респондентов зафиксировали внутренние инциденты за прошедшие двенадцать месяцев. В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов. 18% организаций стали жертвой утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть.

Самые распространенные внутренние инциденты 2006

Инсайдерские инциденты за последние 12 месяцев

Источник: Deloitte «2006 Global Security Survey»

Утечки оказывают наиболее отрицательное влияние на имидж и репутацию организации. В этом году 72% финансовых компаний, которые пострадали от утечки, оценили свои прямые и косвенные убытки в районе 1 млн долларов, а у 2% респондентов ущерб превысил 5 млн долларов. При этом 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Можно резюмировать, что банки и страховые компании сегодня, как никогда ранее, являются чувствительными к утечке важной информации.

Исследование «2006 Global Security Survey» показало, что финансовые компании стараются предотвратить утечку конфиденциальной информации с помощью тренингов персонала и внедрения новых технологий. Особое внимание при этом уделяется человеческому фактору. Так, подавляющее большинство респондентов (96%) озабочено тем, что служащие могут злоупотреблять своим доступом к корпоративной информационной системе. Поэтому 34% этих компаний провели тренинги персонала в течение последнего года.

Меры по борьбе с инсайдерами

Действия по контролю внутренних угроз

Источник: Deloitte «2006 Global Security Survey»

В целом, организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор 42%, операционные ошибки 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов из-за того, что инсайдеры целенаправленно совершили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих.

Средства мониторинга операций, которые пользователи осуществляют с классифицированной информацией, действительно не так популярны среди российских финансовых компаний, как среди крупных мировых банков и страховщиков. На рисунке ниже приведены результаты исследования «Внутренние ИТ-угрозы в России 2005», в ходе которых компания InfoWatch опросила более 40 отечественных финансовых компаний. Несмотря на позитивное отношение респондентов к техническим средствам защиты от утечек в «теории», на практике эти решения внедрены лишь в нескольких наиболее крупных фирмах.

Пути защиты от утечки данных, 2004-2005

Отношение банков к проблеме утечек

Источник: InfoWatch, 2006

Аналитики установили, что выявление утечек конфиденциальной информации по-прежнему является проблемой для некоторых организаций. Хотя почти 40% банков и страховых компаний не только фиксируют утечки, но и сообщают о них в правоохранительные органы и прессе, практически одна треть респондентов (30%) вообще даже не пытается выявлять утечки.

Подходы банков к выявлению утечек информации

Отношение банков к проблеме утечек

Источник: Deloitte «2006 Global Security Survey»

Такую практику вряд ли можно назвать эффективной, так как своим поведением компания фактически поощряет инсайдеров к осуществлению незаконных действий. Между тем, выше уже отмечалось, что современные служащие прекрасно осведомлены о той ценности, которую представляет приватная информация клиентов финансовой компании. Следовательно, многие инсайдеры действительно могут воспользоваться тем, что работодатель вообще никак не выявляет утечки. Таким образом, проблемы внутренней ИБ — защиты от утечек и инсайдеров — по-прежнему возглавляют список приоритетных задач, которые банкам и страховым компаниям придется решать в течение ближайшего года.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS