Системный подход к инсайду
Андрей Данкевич, руководитель отдела аналитики и специальных
проектов компании InfoWatch
Не секрет, что банковский сектор экономики – один из наиболее емких по количеству хранимой и обращающейся здесь информации конфиденциального характера. Иэто одна из причин, по которой финансовые организации являются нередким объектом интереса инсайдеров: ликвидность имеющейся в банках информации весьма высока.
Согласно глобальному исследованию компании InfoWatch по утечкам корпоративной информации в банковском сегменте (финансовые и кредитные учреждения) за первое полугодие 2012 г., доля случайных утечек здесь была значительно ниже, чем в целом по ряду различных отраслей (20% и 37% соответственно). По мнению аналитиков InfoWatch, соотношение случайных и злонамеренных утечек (крен в сторону последних) в совокупности с незначительной долей «популярных» каналов (Интернет, e-mail, мессенджеры и т. д.) говорит о безусловной осознанности действий сотрудников банка в момент копирования корпоративных данных для собственных целей. Если посмотреть на статистику только по России за 2012 г., то более 16% конфиденциальной информации утекает именно из банковской отрасли. При этом 60% составляют персональные данные, а 40%– коммерческая и банковская тайна. Что удивительно, все 100% инцидентов имели злой умысел с целью наживы и дальнейшей перепродажи информации.
Системы контроля информационных по- токов должны охватывать максимальное количество возможных каналов утечки
Визитная карточка
Клиентская база дороже золота
С точки зрения общего подхода к бизнесу, конечно, самым ценным активом любой компании являются ее клиенты. Утечка клиентских данных напрямую или косвенно всегда приводит к финансовым потерям. В то же время стоит отметить, что вероятность случайной потери такой информации чрезвычайно мала. В подавляющем большинстве случаев персональные данные клиентов «выносятся» из компании злонамеренно ее же сотрудниками.
Практика показывает, что все намеренные утечки можно разделить на те, которые происходят в основной период работы сотрудника в компании, и те, что происходят непосредственно перед его увольнением. Что касается действующих сотрудников банка, копирующих информацию с целью ее дальнейшей перепродажи, то выявить таких нарушителей и предотвратить инцидент можно еще в процессе их работы путем установки системы защиты корпоративной информации и данных от внутренних угроз. Если же возникает ситуация, когда сотрудник увольняется и уносит с собой базу данных или ее часть, то вероятны три сценария дальнейшего развития событий: 70% данных будет использовано конкурентом для продажи аналогичных услуг, 10% данных будет использовано для кросс-продаж, 20% данных использовано не будет. Очевидно, что наиболее ценной и потому особенно чувствительной для бизнеса является информация по VIP-клиентам.
В зависимости от привлекательности предлагаемых условий по конкретной услуге клиент с определенной долей вероятности перейдет к конкуренту. Украденные данные с большой долей вероятности будут качественно использованы конкурентами. Из 1 миллиона будет использовано порядка 30% украденных записей.
Страшно даже представить масштаб возможного ущерба в крупных финансовых учреждениях с огромными клиентскими базами, если утечка 1000 записей платежных карт оценивается аналитиками в среднем в 20 млн руб.! И это только прямые финансовые потери от ухода клиентов…
Репутационные потери
Как известно, психология человека устроена таким образом, что плохие новости распространяются быстрее, чем хорошие. Так, среднестатистический клиент, ставший жертвой утечки данных, расскажет о проблеме 8–16 знакомым. У каждого человека существует круг относительно близких знакомых – около 250 человек. Допустим, доля рынка банка составляет 5%, т. е. каждый 20-й из этой группы является целевой аудиторией данного банка. Порядка 2% (каждый 50-й) из этого круга больше никогда не будут иметь дело с данной компанией. Учитывая все вышеперечисленные факторы, репутационные потери от утечки всего одной тысячи записей платежных карт составят примерно 130 млн рублей.
Компенсация и устранение последствий
Одним из самых популярных информационных объектов кражи у мошенников, безусловно, является номер карты. Даже при очень небольшой утечке в размере 1000 записей затраты на устранение последствий составят почти миллион рублей. Эти средства пойдут на обнаружение инцидента и уведомление пострадавших клиентов (рассылка уведомительных писем и обзвон), а также на перевыпуск скомпрометированных карт. Отдельной строкой бюджета, в зависимости от масштабов распространения новостей об инциденте, будут стоять затраты на восстанавливающие и отвлекающие PR-акции, призванные снизить риски эскалации проблемы до более высокого уровня и отвлечь от нее внимание общественности.
Упущенная выгода
Запуск новой услуги или продукта всегда тщательно планируется и просчитывается. Банк ожидает получить отклик от новой рекламной акции в течение определенного периода. Например, предложение нового кредита с низкой процентной ставкой или депозита с более высокой доходностью.
Представим ситуацию, что об этих планах узнает конкурент. В кратчайшие сроки он выходит с аналогичным или более выгодным предложением для данной целевой аудитории. Результатом простой утечки конфиденциальной информации о планах банка станет: упущенная прибыль, потеря клиентов и затраты в виде рекламных бюджетов, ресурсов на разработку новой услуги, планов по ее запуску и продвижению.
В более сложных ситуациях также стоит принять в расчет расходы на судебные разбирательства, рассылку уведомлений, аудит и реструктуризацию систем информационной безопасности и т. п.
Защита от утечек конфиденциальной информации
Защита информации от утечек в результате действий сотрудников условно сводится к двум методам: ограничение доступа к корпоративным данным и отслеживание трафика (с помощью копирования или блокирующего режима работы, т. н. работы «в разрыв»). Очевидно, что наибольшая эффективность достигается при их совокупном использовании, для чего и применяются функциональные возможности систем защиты информации от утечек.
Системы контроля информационных потоков должны действовать комплексно и охватывать максимальное количество возможных каналов утечки, одновременно обеспечивая гибкость настройки в целях соответствия требованиям принятых в компании регламентов, отраслевых стандартов и регулирующих норм российского законодательства в сфере ИБ. Для решения данных задач разработаны и успешно применяются на практике технологии защиты конфиденциальной информации от утечки и несанкционированного распространения.
Гибридные технологии
Системы защиты конфиденциальной информации отслеживают и анализируют данные, отправляемые за пределы организации через корпоративную и веб-почту, Интернет (в том числе по защищенному протоколу HTTPS), а также системы мгновенного обмена сообщениями (instant messengers) и Skype. Кроме того, они позволяют офицеру безопасности контролировать отправку файлов на принтеры и копирование информации на съемные носители. При обнаружении нарушения политики безопасности процесс передачи документа и данных может быть заблокирован.
Технологии защиты конфиденциальной информации дают возможность с высокой точностью детектировать конфиденциальные данные и определять тематику документов и сообщений, передаваемых за пределы организации. Правда, на это способны лишь немногие системы, в основе которых лежит комплексный гибридный анализ, включающий лингвистический анализ, технологию эталонных документов, анализатор шаблонов. Использование гибридного анализа максимально повышает надежность и точность выявления конфиденциальной информации, что способствует более эффективной ее защите.
База контентной фильтрации
Лингвистический анализ осуществляется с использованием базы контентной фильтрации (БКФ), учитывающей особенности отраслевой специфики компании. База контентной фильтрации представляет собой иерархически организованный список (древо) категорий с произвольным количеством вложенных уровней. Она содержит слова и выражения, наличие которых в документе позволяет определить тематику и степень конфиденциальности информации.
Эталонные документы
Технология эталонных документов работает по следующему принципу: на этапе настройки системы формируется база конфиденциальных документов (устав компании, реестр держателей акций, финансовые документы, любые виды отчетов и пр.), для которых затем создаются цифровые отпечатки1 , включаемые в базу эталонных документов. Данная технология предназначена для защиты больших по объему документов, содержание которых не изменяется или меняется незначительно. Детектор цифровых отпечатков позволяет автоматически обнаруживать в анализируемом тексте цитаты из документов-образцов. В целях максимально надежной защиты персональных данных, хранимых и обрабатываемых компанией, могут использоваться технологии, определяющие передачу по сетевым каналам страниц паспорта гражданина РФ и анкет, содержащих персональные данные.
Анализатор шаблонов
Входящие в состав систем защиты конфиденциальной информации анализаторы шаблонов предназначены для детектирования объектов по шаблону данных (маске) и позволяют наиболее эффективно выявлять факты пересылки персональных данных или финансовой информации, в том числе номера платежных карт, паспортов, идентификационные коды банков (РФ и SWIFT), международные идентификационные коды ценных бумаг и т. п.
Совокупное применение перечисленных технологий позволяет с максимальной точностью находить конфиденциальные данные в общем хранилище неструктурированной информации, определять тип и тематику информации. Вся перехваченная информация сохраняется в системном хранилище, которое используется для последующего анализа при расследовании инцидентов и сборе доказательной базы.
Выводы
Анализ различных инцидентов утечки данных показывает, что ущерб от единичного случая утраты существенного объема критичной информации может составлять десятки и даже сотни миллионов рублей. В то же время стоимость внедрения и обслуживания системы защиты корпоративной информации и данных от внутренних угроз соизмерима с размером только прямых потерь от одного среднего инцидента. Следовательно, использование таких систем имеет ощутимый экономический эффект и поможет банкам серьезно сэкономить на ликвидации последствий инцидента.