8 мая 2013, 15:32
Количество просмотров 178

Системный подход к инсайду

Не секрет, что банковский сектор экономики – один из наиболее емких по количеству хранимой и обращающейся здесь информации...
Системный подход к инсайду

Согласно статистике, более 16% конфиденциальной информации в России утекает именно из банковской отрасли

Андрей Данкевич, руководитель отдела аналитики и специальных
проектов компании InfoWatch


Не секрет, что банковский сектор экономики – один из наиболее емких по количеству хранимой и обращающейся здесь информации конфиденциального характера. Иэто одна из причин, по которой финансовые организации являются нередким объектом интереса инсайдеров: ликвидность имеющейся в банках информации весьма высока.
Согласно глобальному исследованию компании InfoWatch по утечкам корпоративной информации в банковском сегменте (финансовые и кредитные учреждения) за первое полугодие 2012 г., доля случайных утечек здесь была значительно ниже, чем в целом по ряду различных отраслей (20% и 37% соответственно). По мнению аналитиков InfoWatch, соотношение случайных и злонамеренных утечек (крен в сторону последних) в совокупности с незначительной долей «популярных» каналов (Интернет, e-mail, мессенджеры и т. д.) говорит о безусловной осознанности действий сотрудников банка в момент копирования корпоративных данных для собственных целей. Если посмотреть на статистику только по России за 2012 г., то более 16% конфиденциальной информации утекает именно из банковской отрасли. При этом 60% составляют персональные данные, а 40%– коммерческая и банковская тайна. Что удивительно, все 100% инцидентов имели злой умысел с целью наживы и дальнейшей перепродажи информации.
Системный подход к инсайду - рис.1
Системы контроля информационных по- токов должны охватывать максимальное количество возможных каналов утечки



Визитная карточка


Клиентская база дороже золота

С точки зрения общего подхода к бизнесу, конечно, самым ценным активом любой компании являются ее клиенты. Утечка клиентских данных напрямую или косвенно всегда приводит к финансовым потерям. В то же время стоит отметить, что вероятность случайной потери такой информации чрезвычайно мала. В подавляющем большинстве случаев персональные данные клиентов «выносятся» из компании злонамеренно ее же сотрудниками.

Практика показывает, что все намеренные утечки можно разделить на те, которые происходят в основной период работы сотрудника в компании, и те, что происходят непосредственно перед его увольнением. Что касается действующих сотрудников банка, копирующих информацию с целью ее дальнейшей перепродажи, то выявить таких нарушителей и предотвратить инцидент можно еще в процессе их работы путем установки системы защиты корпоративной информации и данных от внутренних угроз. Если же возникает ситуация, когда сотрудник увольняется и уносит с собой базу данных или ее часть, то вероятны три сценария дальнейшего развития событий: 70% данных будет использовано конкурентом для продажи аналогичных услуг, 10% данных будет использовано для кросс-продаж, 20% данных использовано не будет. Очевидно, что наиболее ценной и потому особенно чувствительной для бизнеса является информация по VIP-клиентам.

В зависимости от привлекательности предлагаемых условий по конкретной услуге клиент с определенной долей вероятности перейдет к конкуренту. Украденные данные с большой долей вероятности будут качественно использованы конкурентами. Из 1 миллиона будет использовано порядка 30% украденных записей.

Страшно даже представить масштаб возможного ущерба в крупных финансовых учреждениях с огромными клиентскими базами, если утечка 1000 записей платежных карт оценивается аналитиками в среднем в 20 млн руб.! И это только прямые финансовые потери от ухода клиентов…

Системный подход к инсайду - рис.2

Репутационные потери

Как известно, психология человека устроена таким образом, что плохие новости распространяются быстрее, чем хорошие. Так, среднестатистический клиент, ставший жертвой утечки данных, расскажет о проблеме 8–16 знакомым. У каждого человека существует круг относительно близких знакомых – около 250 человек. Допустим, доля рынка банка составляет 5%, т. е. каждый 20-й из этой группы является целевой аудиторией данного банка. Порядка 2% (каждый 50-й) из этого круга больше никогда не будут иметь дело с данной компанией. Учитывая все вышеперечисленные факторы, репутационные потери от утечки всего одной тысячи записей платежных карт составят примерно 130 млн рублей.

Компенсация и устранение последствий

Одним из самых популярных информационных объектов кражи у мошенников, безусловно, является номер карты. Даже при очень небольшой утечке в размере 1000 записей затраты на устранение последствий составят почти миллион рублей. Эти средства пойдут на обнаружение инцидента и уведомление пострадавших клиентов (рассылка уведомительных писем и обзвон), а также на перевыпуск скомпрометированных карт. Отдельной строкой бюджета, в зависимости от масштабов распространения новостей об инциденте, будут стоять затраты на восстанавливающие и отвлекающие PR-акции, призванные снизить риски эскалации проблемы до более высокого уровня и отвлечь от нее внимание общественности.

Упущенная выгода

Запуск новой услуги или продукта всегда тщательно планируется и просчитывается. Банк ожидает получить отклик от новой рекламной акции в течение определенного периода. Например, предложение нового кредита с низкой процентной ставкой или депозита с более высокой доходностью.

Представим ситуацию, что об этих планах узнает конкурент. В кратчайшие сроки он выходит с аналогичным или более выгодным предложением для данной целевой аудитории. Результатом простой утечки конфиденциальной информации о планах банка станет: упущенная прибыль, потеря клиентов и затраты в виде рекламных бюджетов, ресурсов на разработку новой услуги, планов по ее запуску и продвижению.

В более сложных ситуациях также стоит принять в расчет расходы на судебные разбирательства, рассылку уведомлений, аудит и реструктуризацию систем информационной безопасности и т. п.

Защита от утечек конфиденциальной информации

Защита информации от утечек в результате действий сотрудников условно сводится к двум методам: ограничение доступа к корпоративным данным и отслеживание трафика (с помощью копирования или блокирующего режима работы, т. н. работы «в разрыв»). Очевидно, что наибольшая эффективность достигается при их совокупном использовании, для чего и применяются функциональные возможности систем защиты информации от утечек.

Системы контроля информационных потоков должны действовать комплексно и охватывать максимальное количество возможных каналов утечки, одновременно обеспечивая гибкость настройки в целях соответствия требованиям принятых в компании регламентов, отраслевых стандартов и регулирующих норм российского законодательства в сфере ИБ. Для решения данных задач разработаны и успешно применяются на практике технологии защиты конфиденциальной информации от утечки и несанкционированного распространения.

Системный подход к инсайду - рис.3

Гибридные технологии

Системы защиты конфиденциальной информации отслеживают и анализируют данные, отправляемые за пределы организации через корпоративную и веб-почту, Интернет (в том числе по защищенному протоколу HTTPS), а также системы мгновенного обмена сообщениями (instant messengers) и Skype. Кроме того, они позволяют офицеру безопасности контролировать отправку файлов на принтеры и копирование информации на съемные носители. При обнаружении нарушения политики безопасности процесс передачи документа и данных может быть заблокирован.

Технологии защиты конфиденциальной информации дают возможность с высокой точностью детектировать конфиденциальные данные и определять тематику документов и сообщений, передаваемых за пределы организации. Правда, на это способны лишь немногие системы, в основе которых лежит комплексный гибридный анализ, включающий лингвистический анализ, технологию эталонных документов, анализатор шаблонов. Использование гибридного анализа максимально повышает надежность и точность выявления конфиденциальной информации, что способствует более эффективной ее защите.

База контентной фильтрации

Лингвистический анализ осуществляется с использованием базы контентной фильтрации (БКФ), учитывающей особенности отраслевой специфики компании. База контентной фильтрации представляет собой иерархически организованный список (древо) категорий с произвольным количеством вложенных уровней. Она содержит слова и выражения, наличие которых в документе позволяет определить тематику и степень конфиденциальности информации.

Эталонные документы

Технология эталонных документов работает по следующему принципу: на этапе настройки системы формируется база конфиденциальных документов (устав компании, реестр держателей акций, финансовые документы, любые виды отчетов и пр.), для которых затем создаются цифровые отпечатки1 , включаемые в базу эталонных документов. Данная технология предназначена для защиты больших по объему документов, содержание которых не изменяется или меняется незначительно. Детектор цифровых отпечатков позволяет автоматически обнаруживать в анализируемом тексте цитаты из документов-образцов. В целях максимально надежной защиты персональных данных, хранимых и обрабатываемых компанией, могут использоваться технологии, определяющие передачу по сетевым каналам страниц паспорта гражданина РФ и анкет, содержащих персональные данные.

Анализатор шаблонов

Входящие в состав систем защиты конфиденциальной информации анализаторы шаблонов предназначены для детектирования объектов по шаблону данных (маске) и позволяют наиболее эффективно выявлять факты пересылки персональных данных или финансовой информации, в том числе номера платежных карт, паспортов, идентификационные коды банков (РФ и SWIFT), международные идентификационные коды ценных бумаг и т. п.

Совокупное применение перечисленных технологий позволяет с максимальной точностью находить конфиденциальные данные в общем хранилище неструктурированной информации, определять тип и тематику информации. Вся перехваченная информация сохраняется в системном хранилище, которое используется для последующего анализа при расследовании инцидентов и сборе доказательной базы.

Выводы

Анализ различных инцидентов утечки данных показывает, что ущерб от единичного случая утраты существенного объема критичной информации может составлять десятки и даже сотни миллионов рублей. В то же время стоимость внедрения и обслуживания системы защиты корпоративной информации и данных от внутренних угроз соизмерима с размером только прямых потерь от одного среднего инцидента. Следовательно, использование таких систем имеет ощутимый экономический эффект и поможет банкам серьезно сэкономить на ликвидации последствий инцидента.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube