Специфика защиты банковской тайны

- Мария, расскажите, пожалуйста, из чего состоит система защиты банковской информации от несанкционированного доступа?
- Система защиты банковской информации от несанкционированного доступа - это огромный многоуровневый комплекс, состоящий из организационных процессов, технологических решений и сопутствующих процедур обеспечения ИБ.

Защита банковской информации начинается с получения ответов на следующие вопросы:

• Что конкретно необходимо защищать?
• Какую ценность представляет данная информация?
• Где хранится?
• Кто имеет к ней доступ?
• Как перемещается?

На основании ответов на эти вопросы формируется реестр информационных активов, подлежащих защите, карта информационных потоков и сама модель угроз. При этом, когда рассматривается риск несанкционированного доступа к банковским информационным активам, речь идет не только о несанкционированной передаче информации ограниченного доступа за пределы контролируемого периметра (банка) сотрудниками, имеющими легитимный доступ к этой информации, но и о внешних угрозах, таких как взлом банковских систем, баз данных, каналов передачи информации и т.д. Следующим этапом является анализ и оценка рисков: по каждой категории информационных активов принимается решение, каким же именно образом обеспечивать состояние защищенности. В финансовых организациях для максимальной защиты информационных активов необходимо применять комплексный набор мер. На практике требуется закрытие как внешних, так и внутренних угроз и такие меры, как передача информации по шифрованным каналам связи, защищенный периметр и отсутствие открытого доступа к банковским ресурсам извне, наличие программных и программно-аппаратных средств защиты информации, коррелируют с мерами, обеспечивающими невозможность ухода информации за пределы контролируемого периметра изнутри.

– Могли бы вы охарактеризовать наиболее распространенные способы кражи конфиденциальной информации?
– Стандартный и наиболее популярный способ кражи конфиденциальной информации – утечка, организованная самим сотрудником организации. Как правило, в банковской сфере наиболее интересными для краж являются такие категории информационных активов, как персональные данные клиентов, коммерческая тайна, финансовая информация (банковская тайна), также другие нормативные документы, регламентирующие внутренние процессы и распорядки.

Обычно информацию сотрудник похищает либо "про запас" (например, для нового места работы, если речь идет о клиентских данных), либо под заказ. Способы вывода информации из организации вовне разнообразны и зависят от того, какие средства защиты уже внедрены в компании. В случае, когда в организации внедрена система DLP (Data Leak/Loss Prevention), контролирующая стандартные каналы, такие как почта, Интернет, съемные носители, принтеры, разнообразные мессенджеры, количество возможностей утечки информации существенно снижается: ее уже нельзя направить по почте или скачать на USB-носитель. Если в дополнение к DLP-системе запретить использование мобильных девайсов или внедрить специализированное решение по защите и контролю мобильных устройств MDM (Mobile Device Management), риски возникновения утечек станут еще ниже. При запрете удаленного доступа к инфраструктуре или его контроле с помощью систем класса NAC (Network Access Control) риски снова снизятся. А установка видеокамер в местах, где ведется работа с конфиденциальной информацией, и размещение оператора, отслеживающего все факты фотографирования экрана компьютера, практически сведет вероятность утечек на нет, хотя не стоит забывать, что все эти меры индивидуальны для каждой конкретной компании.

Еще один, более затратный и поэтому менее популярный в настоящий момент способ хищения конфиденциальной информации – глубоко продуманные многоходовые атаки на системы извне. Взлом производится, как правило, посредством эксплуатации имеющихся в системе уязвимостей или при помощи рассылки писем, содержащих вредоносное ПО либо ссылку на него. Далее осуществляются сбор и кража информации, причем векторы развития атак и используемые методы в каждом случае крайне индивидуальны. Так, по мнению экспертов, ведущих расследования подобных преступлений, две одинаковые, как под копирку, атаки – это уже пережиток прошлого, настолько современные мошенничества стали "продвинутыми" и технологичными. Наиболее часто подобным образом похищаются данные банковских карт.

– Каков порядок работы персонала с конфиденциальными документами в ФГ Лайф?
– Что касается так называемого режима коммерческой тайны – простановка грифов на документы, содержащие конфиденциальную информацию, в настоящий момент в ФГ Лайф не практикуется. Все остальные необходимые мероприятия выполняются. Главное и основное – разграничение доступа к конфиденциальной информации. Здесь хорошо работает принцип need to know ("необходимо знать"), который говорит о том, что сотрудник должен иметь доступ только к той информации, которая ему необходима для выполнения его должностных обязанностей, и ни в коем случае не шире. Выделены основные категории информационных активов, подлежащих защите: клиентская и финансовая информация, персональные данные. К клиентской информации относится все то, что может охарактеризовать клиента: название организации, географическое месторасположение, юридические и контактные данные, сведения о деятельности, сегмент рынка, тип оказываемых клиенту услуг, условия их предоставления, отображающие историю работы с клиентом транзакционные данные, досье клиента, запланированные сделки, ценность клиента, данные о нем, представляющие конкурентное преимущество и мн.др. Финансовая информация включает данные по вкладам, счетам, переводам, кредитам, также по платежным картам. К ПДн отнесено все то, что необходимо защищать в соответствии с Федеральным законом 152-ФЗ "О персональных данных". При приеме на работу до каждого сотрудника под роспись доводится информация о том, что является конфиденциальной информацией, о правилах обращения с ней, об ответственности, наступающей в случае нарушения этих правил. Кроме того, для отдельных категорий сотрудников дополнительно проводятся обучающие семинары по данной тематике.

– Российская экономика, и в частности – российская банковская система, стремится приблизиться к мировым стандартам качества. И потому при регулировании деятельности за основу часто берутся мировые стандарты. Как это отражается на регулировании деятельности банка и на стандартах качества по безопасности?
– Мировые стандарты качества в области ИТ и ИБ появились давно, в них собраны лучшие практики и опыт мировых специалистов. Справедливо встает вопрос: "Что плохого в том, чтобы брать за основу лучшее из мировых практик?". Рассмотрим, например, стандарт Банка России по информационной безопасности (СТО БР ИББС), который, как показывает статистика, является обязательным для выполнения более чем в половине кредитных организаций России. Ни для кого не секрет, что он создавался на основе мировых стандартов в области ИБ и лучших отраслевых практик, при этом в стандарте также были учтены отечественная специфика отрасли и российское законодательство. В итоге на выходе получился вполне качественный продукт, у которого, однако, есть потенциал для совершенствования. Помимо этого, в настоящий момент большое количество банков сертифицировано или планирует сертифицироваться по стандарту PCI DSS. Для тех организаций, которые должным образом соблюдают требования актуальных версий СТО БР ИББС, подобное мероприятие с высокой долей вероятности будет менее затратным, поскольку большая их часть будет реализована. На мой взгляд, аналогичным образом будет обстоять дело и с сертификацией по ISO 27001, и со многими другими международными стандартами. В целом, до тех пор, пока международные стандарты, требования которых обязаны выполнять российские финансовые организации, не начнут противоречить российским стандартам, стандартизация на основе мирового опыта является скорее положительной тенденцией.

– На что нужно обратить внимание финансовым организациям при выборе средств защиты?
– Если целью организации является приобретение качественного продукта, максимально соответствующего заявленным задачам, с легкостью интегрируемого в существующую инфраструктуру, по адекватной стоимости и с хорошей поддержкой от вендора и интегратора, то обращать внимание надо на все. Начинать всегда нужно с так называемого предпроектного или исследовательского этапа, в результате которого происходит определение внутренних потребностей и, как следствие, требований к продукту, причем составлению требований нужно уделить значительное внимание, т.к. дальнейшие доработки системы с целью добавления в нее забытого функционала могут значительно повысить стоимость владения. На следующем этапе необходимо разобраться с заявленным функционалом рассматриваемых средств защиты, причем делать это надо не по презентациям, любезно предоставляемым менеджерами по продажам, а по спецификации продукта, не забывая параллельно отслеживать коммерческое предложение на предмет наличия в нем конкретной функции. Это позволит сформировать четкое представление о продукте и его функциональности, о вариантах поддержки, других дополнительных опциях и выбрать именно то, что будет необходимо для достижения заранее определенных целей. Далее необходимо принять решение о варианте внедрения, потому что перед покупкой средства защиты необходимо наличие четкого понимания, что именно и как будет интегрироваться в инфраструктуру, с какими сервисами и системами оно должно взаимодействовать и какими способами. При рассмотрении нескольких похожих по функционалу средств защиты от разных производителей важно учитывать индивидуальные нюансы внедрения, поэтому схемы интеграции должны прорабатываться индивидуально для каждого из решений.

Затем реализуется пилотный проект. Этот этап часто опускается многими компаниями из-за сжатых сроков, когда на выбор решения вместе с конкурсом отводится не более 2–3 месяцев. Но тем не менее, только в результате пилота можно до конца понять, насколько вам подходит то или иное решение, и выяснить, все ли заявленные функции действительно могут быть реализованы в вашей инфраструктуре и будут ли выдержаны заявленные характеристики будущего сервиса. Возвращаясь же к конкретным требованиям и критериям, которые будут полезными при выборе практически любого средства защиты, можно озвучить примерно следующий набор: системные требования, производительность, возможность самостоятельной настройки/донастройки, возможность дальнейшего масштабирования, наличие глубокого логирования, наличие нескольких ролевых моделей доступа к системе, совместимость с имеющимися системами/сервисами, возможность обогащения данными из внешних ЦОДов, наличие полноценной поддержки в России, стоимость владения на 3–5 лет. Кроме того, к важным аспектам принятия решения относится положительный опыт поставщика по внедрению данного средства защиты в других компаниях в России и возможность организации в них референс-визита.

– Какие специфические факторы должна учитывать информационная безопасность банка?
– Наиболее "горячий" фактор в связи с возросшим с начала 2015 г. объемом мошенничества в целом по банковской отрасли в сфере дистанционных платежных технологий – наличие каналов дистанционного банковского обслуживания. Это область высокого уровня риска: в настоящий момент существует большое количество угроз, способных воздействовать на каналы ДБО, вследствие чего они требуют огромного внимания со стороны ИБ.

Помимо этого в качестве особенности банковской отрасли можно выделить значительный объем клиентских данных и другой чувствительной информации, составляющей коммерческую и банковскую тайну: важно гарантировать их конфиденциальность, целостность и доступность. Информация, в свою очередь, обрабатывается в большом количестве систем, и здесь на первый план выходит надежность и необходимость поддержания непрерывности их деятельности. Эти требования актуальны и для огромного множества бизнес-процессов, обеспечивающих банковскую деятельность, ведь они должны работать как единый механизм, без каких-либо сбоев и погрешностей.

Если говорить непосредственно о ФГ Лайф, то к специфическим особенностям группы можно отнести непрерывную проектную деятельность и большое количество цифровых и инновационных сервисов. Проекты в большинстве своем направлены на улучшение качества текущих сервисов и проектированию новых; это, в свою очередь, ведет к изменению существующих или созданию новых процессов и технологических платформ. Такая ситуация накладывает свой отпечаток на работу подразделения ИБ: любые изменения прорабатываются на предмет обеспечения должного уровня информационной безопасности в сервисах и обслуживающей их инфраструктуре.

Кроме того, в целом для отрасли важно выделить человеческий фактор. Для банковской сферы он специфичен тем, что сотрудники имеют доступ к системам, данным, производят операции, дорабатывают и поддерживают необходимые сервисы. В руках у каждого из них сконцентрирован критичный функционал, способный в той или иной степени влиять на банковскую деятельность. После внедрения многоэшелонных систем защиты банковской инфраструктуры и сервисов именно сотрудник становится слабым звеном. Под воздействием умелых методик социальной инженерии сотрудник может сам рассказать свой пароль для входа в банковские системы, проведет необходимые транзакции, пройдет по непонятной ссылке пришедшего вроде бы от регуляторов письма, запустив при этом вредоносное ПО. Поэтому вопрос повышения осведомленности сотрудников в области ИБ также очень важен, и не стоит про него забывать.

– Как можно оценить риски массовых нарушений?
Классическая оценка рисков ИБ состоит из разработки актуальной модели угроз, оценки каждой угрозы на предмет вероятности ее реализации для данной организации, расчета ущерба от реализации угрозы. Причем ущерб может быть оценен гипотетически, например по шкале "высокий", "средний", "низкий", в этом случае оценка рисков является качественной. Для перехода к количественной оценке рисков информационной безопасности необходимы количественные данные об ущербе, которые чаще всего рассчитываются исходя из собственной накопленной статистической информации по ущербу от реализации подобного вида риска. Иногда за основу берутся среднеотраслевые данные, но в таком случае количественная оценка риска может быть менее точной. С массовыми нарушениями ситуация абсолютно аналогична: есть угроза – массовое нарушение информационной безопасности, например массовые утечки информации. Требуется рассчитать вероятность ее возникновения, которая будет зависеть как от внутренних факторов (наличие доступа к имеющей ценность информации, степень лояльности и мотивированности сотрудников, наличие систем контроля информации, уже произошедшие инциденты и т.п.), так и от внешних (ситуация на рынке, в стране). Если у большинства сотрудников имеется доступ к информации, отсутствуют какие-либо системы контроля утечек, в стране кризис и среди персонала ходят слухи, что в ближайшее время в компании начнутся сокращения, то риск массовых утечек можно оценить как высокий, следовательно, необходимо принимать скорейшие меры по его снижению.

– Какие угрозы (внешние или внутренние) представляют наибольшую опасность для банка и почему?
– Однозначно нельзя ответить на этот вопрос, потому что и те, и другие представляют большую опасность для банков. Для каждого банка это индивидуально и определяется оценкой рисков информационной безопасности в определенный момент времени. Угрозы, реализовавшиеся в финансовой сфере за последние пару лет, доказывают это утверждение. Происходили и утечки информации, и взломы Web-приложений, баз данных за счет эксплуатации всевозможных уязвимостей в ОС, приложениях и протоколах. Были зафиксированы кражи денежных средств через многочисленные каналы ДБО, с корсчетов банков, из банкоматов, физические кражи самих банкоматов, массовые заражения инфраструктуры вредоносным ПО с целью создания ботнет-сетей, DDoS-атаки, спам-атаки, внутренние мошенничества. Думаю, что каждый банк найдет в этом списке критичные для себя угрозы.

В последнее время в банковской сфере крайне активно развивается область ДБО – это и возможность оплаты практически чего угодно, переводы денежных средств P2P и на многочисленные кошельки, мобильный банкинг, SMS-банкинги. С развитием технологий ДБО растут и угрозы хищения денежных средств в этой области. Это угроза и вызов, причем как для банков, так и для клиентов, потому что максимальная безопасность может быть достигнута только при наличии на стороне банка необходимых и достаточных средств защиты и при обязательном соблюдении клиентами правил безопасного использования технологий ДБО. А с учетом последней тенденции хищения денежных средств через дистанционные каналы, которая заключается в незаконном перевыпуске злоумышленниками SIM-карты клиента, на номер которой отправляются SMS-сообщения с одноразовыми паролями, являющиеся дополнительным каналом аутентификации действий клиента в интернет- или мобильном банкинге, последующей смене пароля в системе ДБО и выводе денежных средств со счетов клиента, к работе по снижению рисков мошеннических действий в данной области подключились и операторы связи.

– Формально для защиты конфиденциальной информации нет обязательного требования по сертификации средств защиты, на практике же в основном применяются именно сертифицированные средства. Можно ли достигнуть баланса между формальным соответствием требованиям нормативных документов, с одной стороны, а с другой – функциональностью, производительностью, удобством работы и обеспечением защиты от реальных угроз?
– В Постановлении Правительства № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Получается, что для защиты персональных данных от актуальных угроз необходимо применять сертифицированные средства защиты информации, хотя экспертным сообществом в области информационной безопасности до сих пор высказываются разные мнения по вопросу, что же считать оценкой соответствия для средств защиты информации. На практике же стоимость сертифицированных средств защиты информации выше, и возможность их выбора ограничена. Кроме того, сертифицированные средства защиты накладывают ограничения на обновления, связанные с возможной потерей статуса сертификации, т.к. чаще всего обновленная система – это новая система.

Какие риски могут возникнуть при использовании средств защиты, не прошедших обязательную сертификацию? Это наличие в системе недекларированных возможностей, несоответствие заявленного функционала действительному и отсутствие таким образом должного уровня защищенности. С другой стороны, реальная функциональность, производительность, удобство работы и свойства защиты лучше всего проверяются в условиях эксплуатации в конкретной инфраструктуре, а перечисленные свойства могут обеспечиваться как сертифицированными, так и несертифицированными средствами защиты. Использовать сертифицированные средства защиты или нет, каждая организация решает для себя сама, такое решение должно приниматься исходя из требований законодательства, существующей модели угроз, возможности приобретения сертифицированных средств и наличия на рынке определенного типа средств защиты под конкретную цель обеспечения защищенности.