Любая атака на ДБО или на другие информационные ресурсы банка начинается с хищения информации.
Неманья Никитович, управляющий директор Optima Infosecurity (Группа Optima)
Мировая статистика: 50% утечек информации – результат пренебрежения человеческим фактором. В США и Европе лишь 56% сотрудников, работающих с секретной информацией, знают о правилах информационной безопасности, принятой в их компании.
Так называемая проблема конечного пользователя стоит перед банковской отраслью во весь рост и «снаружи», и «изнутри»: «снаружи» – это клиент ДБО, невнимательно относящийся к просьбам не доверять письмам с требованием, к примеру, сообщить свой пароль и прочим уловкам, а «изнутри» – это сотрудник банка, совершающий массу других ошибок, последствия которых могут быть значительно более серьезны: клиент, как правило, подвергает опасности собственные активы, сотрудник – активы корпорации.
Основываясь на опыте Optima infosecurity как разработчика и интегратора систем информационной безопасности для банковской отрасли как в Европе, так и в России, можно сказать, что между рисками в ЕС и России нет существенной разницы, а та, что есть, постоянно сокращается благодаря развитию информационных технологий. Куда существеннее разница в работе с этими рисками.
Европейская банковская система старше российской, соответственно, опыт работы с рисками в Европе можно назвать более зрелым, особенно это касается внутренних рисков. Это значит, что работа с рисками в европейских банках более сегментирована.
Риски могут быть порождены злонамеренным или необдуманным поведением работников банков. Чтобы избежать их, европейские банки внедряют комплекс мер, которые позволяют управлять бизнес-процессами внутри банков так, чтобы информационные системы подвергались наименьшей опасности.
Комплексу мер соответствуют корпоративные нормы и стандарты, они очень подробны, и это отличает европейский подход к проблеме конечного пользователя от российского.
Если говорить собственно об инструментарии, позволяющем банку защищаться от человеческого фактора, то этот инструментарий состоит из системных технологических решений, решений в области ПО, аппаратных решений, решений по информированию конечных пользователей о рисках. Системные решения: фильтрация исходящего контента, установка ПО, контролирующего информационный периметр и прочие стандартные решения в области ИБ.
Назарбаев про инфоатаки на КЗ: политика РК не зависит ни от сша ни от рф ни от кнр,придется признать
Какие-то из них более передовые, какие-то – менее. К примеру, в Европе распространена система строгой мультифакторной аутентификации, дающая возможность контролировать доступ сотрудников к определенной информации.
Такое решение есть в нашем портфеле, но в России оно применяется пока что для обслуживания клиентов, а не на сотрудников банков. Российская банковская отрасль перенимает европейский опыт постепенно.
Вместе с тем информационная безопасность без учета человеческого фактора – это отсутствие информационной безопасности. Эффективное управление рисками, связанными с человеческим фактором, включает постоянную работу с конечными пользователями.
Оценка рисков входит в стандартный аудит ИБ банка, по результату которого совместно с аудитором разрабатываются правила и политики ИБ. Основная цель – повышение осведомленности/информированности конечных пользователей о существующих рисках.
Есть очень простые правила, которым часто не следуют именно в силу их простоты. К примеру, доступ к корпоративным ресурсам банка с личного планшетника или смартфона может привести к хищению информации.
Хранение корпоративных документов на внекорпоративных почтовых сервисах – степень их доступности для злоумышленников, вне зависимости от того, иностранного они происхождения или российского, примерно одинакова.
Иными словами, консалтинговая часть не менее важна, чем технологическая, и консалтинг в области ИБ должен быть совместной и постоянной задачей департамента ИБ и службы внутренней коммуникации банка.
Основные проблемы, с которыми сталкиваются российские банки в процессе реализации этой задачи:
— о важности информированности сотрудников часто забывают;
— усилия по повышению информированности предпринимаются единоразово, соответственно, с течением времени оказываются неэффективными;
— служба внутренних коммуникаций не всегда участвует в процессе.
Задача в том, чтобы организовать интерактивное обучение среди сотрудников с привлечением методик тренингов, тестирования и интерактивных методов. Если руководство банка не может оценить уровень знания правил информационной безопасности, то информационные ресурсы банка недостаточно защищены.
Правила информационной безопасности должны периодически обновляться, и после каждого обновления должен следовать новый этап повышения информированности.
Необходимо, чтобы в разработке политик информационной безопасности, касающихся конечных пользователей, в максимальной степени участвовали внешние консультанты-аудиторы, являющиеся одновременно разработчиками решений, так как безопасность технологических процессов и бизнес-процессов должна находиться на одинаковом уровне. А инструменты обеспечения этой безопасности должны быть одинаково просты для конечного пользователя.
Иначе они не будут эффективны.