Инсайдеры - главная угроза банковских информационных систем

Инсайдеры - главная угроза для банковских информационных систем

Грициенко Андрей Александрович, начальник Службы информационной безопасности банка "Возрождение", рассказал редакции, насколько актуальна сейчас проблема инсайда, какие меры необходимо предпринимать для предотвращения этой угрозы, а также о проблемах, существующих в этой области

- Многие эксперты тверждают, что место "популярных" ранее внешних угроз постепенно занимают угрозы внутренние. Согласны ли Вы с этим утверждением?

- Такое смещение акцентов произошло уже достаточно давно. На сегодняшний день именно инсайдеры являются главной угрозой практически для любой системы, в которой обрабатывается информация, имеющая конфиденциальный характер, или другими словами - информация ограниченного доступа.

Сегодня злоумышленники пытаются не просто что-то взломать и посмотреть на результат, а именно заработать деньги.

В стандарте Банка России СТО БР ИББС-1.0-2006 четко прописано, что инсайдеры являются лавной угрозой для банковских информационных систем. Поэтому, естественно, основные усилия мы сосредотачиваем на предупреждении возможных хищений, искажений, удаления информации, в том числе и платежной. Статитика по всему миру свидетельствует о том, что угроза инсайда на сегодняшний день - наиболее опасная угроза, с которой становится все труднее бороться. Согласно исследованию IDC Group и их ежегодному отчету за 2006 г., угрозы, связанные с инсайдом, составляют примерно 87% от всех угроз.

Инсайдер - это, как правило, пользователь, который имеет легальные полномочия для доступа к информации конфиденциального характера. Естественно, для инсайдера хищение информации представляется делом гораздо более легким, чем для внешнего хакера, которому надо сначала проникнуть в информационно-телекомму-никационую сеть организации и выполнить ряд действий, требующих, как правило, высокой квалификации. От инсайдера такой квалификации не требуется.

- Каковы основные принципы защиты от инсайда в банке "Возрождение"?

- Я предпочел бы говорить о банковской системе РФ в целом, потому что угроза инсайда существует не только в нашем банке. Например, в Банке России уже имело место хищение базы данных, да и ряд других госучреждений подвержен утечкам информации: как известно, на лотке около входа в метро "Лубянка" базы данных различных госструктур как продавались, так и продаются.

Для того чтобы предупредить действия инсайдеров, мало применять только технические средства. Необходимо проводить целый комплекс не только организационных и технических мероприятий, определенных Стандартом Банка России по информационной безопасности (ИБ), но и в соответствии с Федеральным законом от 27.07.06 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" еще принимать и правовые меры по защите информации.

Во-первых, надо повышать осведомленность пользователей. Кто предупрежден, тот обережен. Если человеку периодически напоминают о различных видах ответственности (дисциплинарной, административной, гражданско-правовой, уголовной) за действия, связанные с хищением информации, в том числе представляющей коммерческую ценность, то, наверное, он десять раз подумает, прежде чем предпринимать какие-либо противоправные действия. Уже на этом уровне можно снизить вероятность внутренней атаки на информационный ресурс организации.

Во-вторых, необходим периодический мониторинг действий пользователя. При этом пользователь должен быть осведомлен о том, что обладатели (владельцы) информационных ресурсов контролируют его деятельность.

В-третьих, должно быть четкое разделение доступа к приложениям. Об этом прямо говорится в новом стандарте международных платежных систем Payment Card Industry (PCI) Data Security Standard. Пользователю должны предоставляться минимально необходимые права для выполнения его служебных обязанностей. Отслеживание минимально необходимого набора прав и недопущение его расширения являются одной из важнейших задач любых служб ИБ. Речь идет о разграничении доступа пользователей к информационным ресурсам. Если у сотрудника организации будут излишние права на осуществление того или иного воздействия на защищаемую информацию, то это может привести к очень печальным последствиям.

В-четвертых, необходимо применение программно-аппаратных комплексов, которые позволяют плотно контролировать работу пользователей, в том числе имеющих администраторские полномочия.

У нас в банке развернута система "Антарес Про", позволяющая контролировать работу пользователей на уровне запуска приложений, клавиатурного ввода, контроля портов, типов обрабатываемых файлов. Система позволяет оперативно доводить информацию о нарушениях до должностных лиц, которые связаны с деятельностью ИБ. "Антарес Про" мы разрабатывали два года. Принимая во внимание печальный опыт других организаций, где происходили утечки информации, мы очень серьезно отнеслись к проблеме инсайда, и на сегодняшний день решили многие вопросы, связанные с внутренними угрозами.

Конечно, угрозу инсайда ликвидировать в принципе невозможно, но совокупность правовых, организационных и технических мер и регулярная кропотливая работа сотрудников службы ИБ могут существенно снизить ее вероятность.

- Каковы Ваши прогнозы развития рынка систем защиты от инсайдеров на ближайшие год-два?

Прогноз простой - информацию как воровали, так и будут воровать. В этом плане ничего утешительного сказать не могу. С другой стороны, конечно, будет развиваться нормативная и техническая базы противодействия инсайдерам. На сегодняшний день уже есть несколько интересных программно-аппаратных комплексов, которые позволяют достаточно плотно контролировать работу пользователей в сети.

Я думаю, будет совершенствоваться и нормативно-правовая база, касающаяся внутренних угроз. Очень бы хотелось, чтобы законодательно увеличилась ответственность за хищение информации. Люди воруют базы данных стоимостью в несколько миллионов долларов, а наказание за такие преступления предусматриваются более легкие, чем за кражу трех мешков картошки.

Тем не менее не могу не повторить, что как бы ни совершенствовались средства контроля работы пользователей, природа инсайдера, увы, не изменится.

- Какие проблемы для развития систем защиты от инсайдеров существуют?

- Основную проблему я вижу в том, что руководители организаций зачастую просто не уделяют проблеме инсайда должного внимания. Защита информации требует довольно серьезных материальных вложений. Надо содержать штат специалистов по ИБ, закупать и внедрять технические средства, вести мониторинг работы пользователей, - другими словами, проводить дорогостоящий комплекс мероприятий. Когда инсайдеры не наносят ущерб организации, может показаться, что деньги потрачены впустую. Как только прекращается выделение средств, и руководство перестает уделять внимание этому вопросу, возникают серьезные проблемы. И в дальнейшем те, как правило, кто подвергся воздействиям этих угроз, научившись на горьком опыте, начинают вкладывать деньги в комплекс мер по защите информации от внутренних угроз.