С 1 мая для российских банков начнут действовать
рекомендации по борьбе с внутренними нарушителями, составленные ЦБ. Как говорится в документе, больше всего возможностей нанести ущерб любому финансовому учреждению сейчас есть именно у инсайдеров. Проще говоря, у сотрудников самих банков.
Банк России дает подробные инструкции, как вести себя банкам, чтобы не стать жертвами внутренних нарушителей. Например, предлагается следить за письмами, пересылаемыми на внешние электронные адреса, контролировать использование личных гаджетов и отслеживать копирование информации на внешние носители. Кроме этого, предлагается заблокировать основные популярные мессенджеры.
Пока документ носит рекомендательный характер, но
известно о планах Банка России сделать требования обязательными к исполнению. Чтобы выяснить, насколько эффективным будет нововведение, и нужно ли оно банковской сфере, мы опросили специалистов по информационной безопасности и сотрудников банков.
Большинство опрошенных экспертов соглашаются, что рекомендации ЦБ пойдут только на пользу информационной безопасности российских банков.
<p>«Рекомендации в части борьбы с внутренними нарушителями, которые с 1 мая начнут действовать в рамках СТО БР ИББС, – логичное развитие действий ЦБ в части снижения рисков в кредитных организациях. Формализация требований к защите информации занимает время, и не во всех организациях есть люди и ресурсы для того, чтобы построить их самостоятельно.</p>
<p>Наличие готового документа, построенного на многолетнем опыте противодействия угрозам, должно в разы облегчить построение и усовершенствование политик и регламентов в коммерческих банках. Термин «слежка за сотрудниками», вольно используемый в ряде публикаций, я считаю не совсем подходящим — речь идет не о проведении оперативно-розыскных мероприятий, а о контроле соблюдения мер безопасности и соответствующих регламентов сотрудниками банка, что является частью эффективного процесса обеспечения информационной безопасности»</p>
<p>«Уровень защищенности российских банков можно оценить как высокий. В отношении защиты от внутренних нарушителей, или инсайдеров большинство крупных банков уже приняло организационные меры и внедрило соответствующие решения. Однако, несмотря на эти достижения, любые системы и внутренние политики пользователи могут сознательно обходить. Новые рекомендации призваны свести на нет такие случаи. Комплексное решение данной проблемы можно только приветствовать. </p>
<p>Исходя из указанных в документе схем, служба безопасности банка сможет существенно повысить уровень защищенности банка и обеспечить сохранность средств вкладчиков, а на руководство банка будет возложена ответственность за реализацию схем безопасности на соответствующем уровне. Новый документ дает конкретные инструкции по работе с конфиденциальной информацией. Крупные банки смогут скорректировать свою работу, а мелкие – построить ее с опорой на рекомендации Банка России»</p>
«Большинство российских банков уже используют те или иные подходы к защите конфиденциальной информации, так что мы не предсказываем бурной реакции рынка на опубликованные рекомендации. Однако документ по своей сути может существенно улучшить и структурировать подходы, используемые в различных банках. Документ подробно и системно описывает необходимые методы и практики для развертывания системы контроля и защиты конфиденциальной информации, так что даже те организации, в которых решения
уже внедрены, могут еще раз пересмотреть свой подход и найти что то новое»
«Во-первых, я думаю, что все, что делается для повышения защиты информации в банках – это хорошо. Пока сложно сказать, насколько эти рекомендации будут эффективными, но они должны помочь.
<p>Что касается нынешней ситуации… По крайней мере, требования, выполненные в положении Банка России номер 382-П выполняются. Мы стремимся выполнить их на 100%, но все, конечно, зависит от самооценки банком своего соответствия информационной безопасности по стандартам Банка России. А так, каких-то ярых вещей сейчас не происходит. Вы когда-нибудь слышали, чтобы из российского банка крали какие-то данные?»
«Насколько мне известно, все подразделения информационной безопасности крупных банков давно работают по направлению защиты от внутренних угроз и предотвращения утечек информации, применяют специализированные технические средств защиты. Ситуация в кредитных организациях, не входящих в ТОП-200, выглядит по-другому.</p>
<p>К сожалению, на сегодняшний день, уровень осознания менеджментом необходимости обеспечения защиты информации не достиг того уровня, при котором менеджмент готов выделять ресурсы на обеспечения реальной информационной безопасности. Зачастую они ограничиваются формальным подходом. На практике это приводит к инцидентам, в чем многие убедились на примере банков, пострадавших от хищения денежных средств, реализованных через атаки на платежные сегменты информационной инфраструктуры.</p>
<p>Стандарт Банка России РС БР ИББС-2.9-2016 «Предотвращение утечек информации» – качественный документ. В этом документе описаны как базовые тезисы, так и рекомендации, которые готовы к применению на практике в любой кредитной организации. Данный документ можно рекомендовать как практическое пособие по организации работы в области предотвращения утечек информации. Хочу отметить, что Банк России в этом документе отразил модели внутренних нарушителей, что будет очень полезно небольшим банкам при организации обработки конфиденциальной информации»</p>
Впрочем, Иван Новиков из компании Wallarm опасается, что снижение рисков утечек от инсайдеров приведет только к активизации хакеров.
«Одна из главных проблем банков – сетевой периметр. Внимание часто уделяется только основным ресурсам, таким как клиент-банки (ДБО), второстепенные же проекты остаются без защиты. Хакеры никогда не выбирают путь через самую крутую гору, предпочитая ходить вокруг, поэтому второстепенные с точки зрения безопасности ресурсы банка – лакомый кусочек. Такие ресурсы подключены ко внутренней сети банка, и после взлома, фактически, являются плацдармом для проведения новых атак уже внутри инфраструктуры.
<p>Приведенные же документы призваны снизить риски от внутренних нарушителей и атак социальной инженерии и фишинга. Такие риски действительно могут уйти на второй план, если всем рекомендациям будут следовать. Но это, опять же, приведет к увеличенному интересу атакующих к изучению сетевого периметра банка»
Сегодня большинство атак совмещают в себе несколько методов, отмечает гендиректор Qrator Labs Александр Лямин. Борьба с инсайдерами решит только часть проблемы, предупреждает он: расслабляться специалистам по банковской ИБ рано, даже при условии, что внутренние утечки действительно сократятся.
<p>«Вкладывать усилия в борьбу с инсайдерами равносильно тому, что заткнуть одну дыру в заборе, в котором ещё может быть сотня дыр. Большинство атак сегодня – комбинированные: DDoS-атаки часто используют для отвлечения внимания, чтобы иметь возможность тихо взломать сетевые приложения и затем получить дистанционный доступ к ресурсам банковской информационной системы. Есть случаи, когда такие дыры эксплуатировались злоумышленниками годами, и никто этого не замечал.</p>
<p>Для внедрения зловредных программ могут использоваться также и инсайдеры, и методы социальной инженерии. Именно поэтому нельзя делать акцент только на защите от инсайдеров. На информационную безопасность необходимо смотреть комплексно и относиться к этому, как к процессу. Прошли те времена, когда можно было купить железку или специальный софт для защиты и спать спокойно. Каждый день методы и инструменты киберпреступников меняются»</p>