Недавнее исследование компании Deloitte, посвященное защите информации, показало, что 70% утечек обходятся пострадавшему финансовому институту более чем в 1 млн. долларов каждая. Согласно обзору, список приоритетных задач в области обеспечения ИБ, которые банкам и страховым компаниям придется решать в ближайшее время, по-прежнему возглавляют защита от утечек и инсайдеров. Компания Deloitte опубликовала результаты своего ежегодного исследования "2006 Global Security Survey", в ходе которого были опрошены крупнейшие финансовые компании по всему миру. С портретом респондентов можно ознакомиться в отчете Deloitte. Здесь же будут рассмотрены лишь ключевые выводы исследования. Исследование показало, что одной из наиболее сложных проблем является контроль над информационными активами, покидающими корпоративную среду. Аналитики Deloitte отмечают, что такие операции намного сложнее контролировать и протоколировать. Лучше всего проблему иллюстрирует бум мобильных и беспроводных технологий, в результате которого организациям стало еще труднее защищать конфиденциальную информацию и приватные данные. Между тем, технические решения, ограничивающие использование коммуникационных возможностей ИТ-инфраструктуры, вызывают отторжение и недовольство пользователей. Еще одной опаснейшей угрозой является кража личности, которую аналитики Deloitte назвали "преступление XXI века". Согласно исследованию "2006 Global Security Survey", защита от кражи личности и мошенничества со счетами являются двумя основными приоритетами, на которых большинство (58%) финансовых компаний сфокусируют свои усилия в следующем году. Чтобы справиться с этой задачей, банки и страховые фирмы по всему миру будут внедрять специальные решения для защиты конфиденциальной информации. Проблема усугубляется постоянными утечками классифицированных данных, многие из которых стали известны публике в 2005 году. 18% финансовых компаний сообщили, что в той или иной степени стали жертвой утечки конфиденциальной информации за прошедший год и теперь страдают от долгосрочных отрицательных последствий этого инцидента. Аналитики Deloitte отмечают, что современные злоумышленники прекрасно осведомлены о ценности персональных данных клиентов фирмы, поэтому идут на самые разные хитрости, чтобы заполучить эти сведения. Например, крадут ноутбуки и другие мобильные устройства, пытаются обмануть служащих call-центра или инсайдеров, имеющих доступ к информации. Однако довольно часто компрометация важных данных является следствием человеческого фактора. Персонал финансовых компаний недостаточно подкован в вопросах информационной безопасности (ИБ), поэтому часто ошибается и путает классифицированные записи с публичными. Таким образом, эффективная защита конфиденциальной информации – это то, к чему стремятся финансовые компании по всему миру. Многие фирмы уже осознали, что наличие адекватной системы внутренней ИБ и отсутствие утечек являются конкурентным преимуществом, позволяющим завоевывать новых клиентов и удерживать старых. Направления развития ИБ Аналитики Deloitte указывают, что каждой финансовой компании необходима стратегия ИБ, в рамках которой должны строить конкретные программы по развитию системы ИБ. Чтобы определить стратегию информационной безопасности, следует разобраться с наиболее приоритетными направлениями развития корпоративной системы ИБ. Исследование "2006 Global Security Survey" показало, что основными приоритетами современных финансовых компаний являются совместимость с международными нормативными актами (67%), защита от кражи личности и мошенничества со счетами (58%), непрерывность бизнеса (49%), улучшение инфраструктуры (41%) и управление идентификацией (41%). Таким образом, вектор развития ИБ в финансовых компаниях указывает по направлению совместимости со стандартами и внутренней ИБ. Наиболее приоритетные направления развития корпоративной системы ИБ По мнению аналитического центра InfoWatch, обозначенные приоритеты в полной мере справедливы и для отечественных финансовых компаний. Например, сегодня в России действует стандарт Центробанка по ИБ, в котором черным по белому прописано (пункт 5.4): "Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации". Таким образом, российским банкам и страховым компаниям предстоит решать проблему совместимости с нормативными актами (в данном случае со стандартом ЦБ по ИБ) и защищаться от инсайдеров (как того требует стандарт и доводы логики). Внутренние угрозы ИБ Опрос ведущих финансовых компаний показал, что 49% респондентов зафиксировали внутренние инциденты за прошедшие двенадцать месяцев. В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов. 18% организаций стали жертвой утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Инсайдерские инциденты за последние 12 месяцев Утечки оказывают наибольшее отрицательное влияние на имидж и репутацию организации. В этом году 72% финансовых компаний, которые пострадали от утечки, оценили свои прямые и косвенные убытки в районе 1 млн. долларов, а у 2% респондентов ущерб превысил 5 млн. долларов. При этом 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Можно резюмировать, что банки и страховые компании сегодня, как никогда ранее, чувствительны к утечке важной информации. Работа с инсайдерами Исследование "2006 Global Security Survey" показало, что финансовые компании стараются предотвратить утечку конфиденциальной информации с помощью тренингов персонала и внедрения новых технологий. Особое внимание при этом уделяется человеческому фактору. Так, подавляющее большинство респондентов (96%) озабочено тем, что служащие могут злоупотреблять своим доступ к корпоративной информационной системе. Поэтому 34% этих компаний провели тренинги персонала в течение последнего года. В целом, организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор 42%, операционные ошибки 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов из-за того, что инсайдеры целенаправленно совершили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих. "Исследование Deloitte показало, что 80% крупнейших кредитно-финансовых организаций мира используют мониторинг действий инсайдеров. Это наиболее эффективная мера, которую бизнес может принять, чтобы предотвратить утечку конфиденциальной информации, заблаговременно выявить мошенничество, защититься от саботажа или злоупотребления корпоративными ресурсами. К сожалению, в России этот процент намного меньше. Отечественные компании, в том числе, банки и страховые компании, практически пользуются средствами мониторинга. Хотя повсеместное внедрение этих решений, на мой взгляд, неизбежно. Собственно, статистика Deloitte по наиболее успешным финансовым компаниям подтверждает мои слова", - полагает Денис Зенкин, директор по маркетингу компании InfoWatch. Средства мониторинга операций, осуществляемых пользователями с классифицированной информацией, действительно не так популярны среди российских финансовых компаний, как среди крупных мировых банков и страховщиков. компания InfoWatch провела собственное исследование "Внутренние ИТ-угрозы в России 2005", в ходе которого было опрошено более сорока отечественных финансовых компаний. Результаты исследования показали,что, несмотря на позитивное отношение респондентов к техническим средствам защиты от утечек в "теории", на практике эти решения внедрены лишь в нескольких наиболее крупных фирмах. Средства защиты от утечки банковской информации Однако вернемся к результатам исследования "2006 Global Security Survey", проведенного компанией Deloitte. Аналитики установили, что выявление утечек конфиденциальной информации по-прежнему является проблемой для некоторых организаций. Хотя почти 40% банков и страховых компаний не только фиксируют утечки, но и сообщают о них в правоохранительные органы и прессе, практически одна треть респондентов (30%) вообще не пытается выявлять утечки. Отношение банков к проблеме утечек Такую практику вряд ли можно назвать эффективной, так как своим поведением компания фактически поощряет инсайдеров к осуществлению незаконных действий. Между тем, выше уже отмечалось, что современные служащие прекрасно осведомлены о ценности приватной информации клиентов финансовой компании. Следовательно, многие инсайдеры действительно могут воспользоваться тем, что работодатель вообще никак не выявляет утечки. "Уязвимость финансовых компаний к внутренним угрозам стала уже притчей во языцех. Так что нежелание контролировать оборот конфиденциальной информации выглядит весьма странным. Очевидно, что всего одна утечка может похоронить имидж и репутацию страховой фирмы или банка. Между тем, финансовые услуги – это как раз тот вид бизнеса, в котором важную роль играет бренд компании и способность вызывать доверие клиентов. Ряд организаций вообще зарабатывали свою репутацию более века. Однако потерять все сразу – имидж, силу бренда, клиентов – очень просто. Это может сделать всего одна утечка", - комментирует Вячеслав Лупанов, руководитель отдела системного ПО компании "Гелиос Компьютер". Если подвести итоги исследования Deloitte, то наиболее важными выводами являются следующие: 72% произошедших утечек нанесли каждой пострадавшей финансовой компании ущерб более 1 млн. долларов, а 2% обошлись более чем в 5 млн. долларов; 28% финансовых компаний пострадали за прошедший год от мошенничества с участием инсайдеров, а 18% - от утечки конфиденциальной информации; 30% финансовых компаний даже не пытаются выявлять утечки классифицированных данных, чем только подталкивают инсайдеров к преступлению. Таким образом, проблемы внутренней ИБ – защиты от утечек и инсайдеров – по-прежнему возглавляют список приоритетных задач, которые банкам и страховым компаниям придется решать в течение ближайшего года. Аффтар: Вячеслав Лупанов
