Защита конфиденциальной информации в банках
Узнать большеУтечки информации – громадная проблема для большинства организаций независимо от сферы деятельности. При таком сценарии развития ситуации последствия утечки могут обернуться для компании огромными потерями: финансовым ущербом, утратой репутации и конкурентных преимуществ, оттоком клиентской базы. Вероятность утечки данных в крупных компаниях, где персонал регулярно обрабатывает значительные объемы конфиденциальной информации, многократно возрастает. Отсутствие должного внимания к проблеме, игнорирование мониторинга деятельности персонала делают невозможным предотвращение неблагоприятных ситуаций, повышают сопутствующие риски.
В качестве решения проблемы утечки информации чаще всего применяют DLP-системы. К примеру, Solar Dozor, разработанный компанией «Ростелеком-Солар». С его помощью проводят мониторинг действий сотрудников на рабочем месте, обнаруживают группы риска и потенциально опасные ситуации, ведут анализ архива коммуникаций для дальнейшего расследования инцидентов. DLP-система отслеживает любую подозрительную активность в сети компании и может помешать злоумышленникам украсть корпоративную информацию, например конфиденциальные документы или данные клиентов. Благодаря внедрению DLP-системы, компании могут быть уверены, что их цифровые активы надежно защищены от внутренних угроз.
Разберем детально, как с помощью Solar Dozor защитить конфиденциальную информацию и избежать ее утечек в разных отраслях деятельности.
Пример 1. Практическое применение DLP-системы в банке (предотвращение утечек баз данных клиентов)
В связи с расширением штата персонала банка «Б» появилась объективная необходимость обновить текущую модель безопасности, расширить ее функционал, чтобы успешно противостоять возросшему количеству инцидентов. Руководство банка «Б» отдавало себе отчет в том, что решать этот вопрос придется в ближайшее время и отсутствие громких инцидентов с серьезными последствиями лишь вопрос времени. На это указывало общее ухудшение ситуации по безопасности в банковском секторе, а также совсем недавно произошедшая крупная утечка персональных данных у банка-конкурента.
В ходе пилотирования проекта Solar Dozor руководители банка «Б» пришли к выводу, что своевременно озаботились вопросом выбора DLP-системы, и тем самым смогли не допустить крупный инцидент безопасности, связанный с утечкой.
Инцидент
17 января 2020 года работник кредитного отдела банка «А» Иванов предпринял попытку скопировать на личный съемный носитель документацию с персональными данными свыше 120 клиентов – заемщиков банка, относящихся к среднему бизнесу. Параллельно с этим Иванов поддерживал переписку со своим бывшим и уволенным коллегой – Петровым, который устроился в банк-конкурент «Б». Петров активно приглашал Иванова перейти на работу в банк «Б», давая понять, что база клиентов с прошлого места работы станет преимуществом Иванова при устройстве на новую работу.
Одним из главных инструментов Solar Dozor является контроль коммуникаций персонала по каналам корпоративной почты. Также выполняется проведение сквозных расследований согласно архивам данных. Они помогают офицеру безопасности изучить, оценить поведение каждого сотрудника, собрать детальные сведения о его действиях: загрузка и передача информации, список адресатов, коммуникаций, а также максимально оперативно отреагировать на инцидент (рис. 1).
Рисунок 1. Полная карточка с информацией о персоне
Проанализировав архив данных и последние коммуникации Иванова офицеру службы безопасности банка удалось добраться до истины, подтвердить активные действия Иванова против банка, где он работает. База данных Solar Dozor подтвердила, что Петров был уже занесен в группу риска как опасный адресат. Также граф связей показал, что коммуникация между бывшими коллегами велась продолжительное время и началась еще до увольнения Петрова.
Иванов не подозревал, что Solar Dozor ведет архив переписки, который при необходимости досконально изучают офицеры ИБ. Он был уверен, что никакой связи с бывшим коллегой и корыстного интереса не будет выявлено и он спокойно скопирует, передаст важные данные конкуренту.
Результат
Рисунок 2. Карточка события
Solar Dozor незамедлительно среагировал на действия Иванова по копированию конфиденциальных данных на сменный носитель (рис. 2). Иванов остался без списка надежных заемщиков банка «А», который он предполагал использовать при смене места работы в корыстных целях. Подавляющее число клиентов Иванова представляли компании среднего бизнеса, берущие кредиты на десятки и сотни миллионов рублей регулярно. Наверняка многие из них сменили бы кредитующую организацию, если бы им предложили сниженную ставку по кредиту или улучшенные условия сотрудничества. При таком сценарии все участники получили бы желаемое: клиенты – выгодные условия кредитования, Иванов – премиальные и поддержку руководства банка, банк «Б» – новых клиентов. Только банк «А» потерял бы клиентов, понес репутационный, финансовый ущерб.
Своевременное внедрение DLP-системы в работу банка «А» помогло вовремя обнаружить канал утечки информации, не дать уйти данным за периметр компании. Также были собраны сведения о действиях собственного персонала, выявлены группы риска и наиболее уязвимые места в работе. Детальные и прозрачные отчеты, аналитика от DLP-системы дали руководителям банка «А» объективное понимание картины происходящих рабочих процессов, принципов работы с конфиденциальной информацией, механизмов защиты данных и роли ИБ-службы банка.
Пример 2. Практическое использование DLP-системы в фармдистрибьюторе (предотвращение слива секретной информации конкурентам)
Компания-поставщик фармацевтической продукции внедрила DLP-систему Solar Dozor для отслеживания подозрительной активности в сети компании, а также защиты ценных активов от внутренних угроз. По истечении определенного времени в компании приняли решение начать использовать технологию поведенческой аналитики UBA для обнаружения аномалий и принятия превентивных мер защиты.
Инцидент
Сотрудники безопасности решили проанализировать действия работников, которых DLP-система поместила по паттерну поведения в категорию «Отсутствие». Данная аномалия поведения присуща сотрудникам, у которых долгое время не было коммуникаций в корпоративной почте и мессенджерах. По этой причине в этом списке оказались сотрудники из отдела продаж.
Рисунок 3. Менеджеры отдела продаж, попавшие в категорию «Отсутствие»
Даже если сотрудники были на различных встречах с заказчиками, то факты обсуждения этих встреч и даты фиксируются в корпоративных коммуникациях.
Результат
По результатам проведенного расследования выяснилось, что работники не общались с существующими партнерами, не занимались поиском новых, а предпочитали получать вознаграждение от текущих контрактов. Помимо этого, дополнительный доход они получали за отправку секретной корпоративной информации конкурентам. Также DLP-система обнаружила, что эти сотрудники отправляли на личную почту списки наименований продуктов и услуг, которые компания планировала поставлять клиентам с применением различных скидок и бонусов.
Рисунок 4. Пример того, как менеджер, находящийся в категории «Отсутствие», отправляет себе на личную почту конфиденциальную информацию
Выявить подобное нарушение без анализа поведения сотрудников было бы в разы сложнее, так как офицеры безопасности не настраивали политики DLP под этот тип документов, потому что их отправка поставщикам была общепринятой практикой для компании.
Рисунок 5. Пример отправки менеджером по продажам закрытой корпоративной информации себе на личную почту и партнерам
После проведенного расследования компания решила переформировать отдел продаж и перестроить бизнес-процессы.
Пример 3. Практическое применение DLP-системы в ретейле (спасение сотрудников от руководителя)
Ведущая розничная компания внедрила DLP-систему Solar Dozor во все региональные офисы для защиты информации о клиентах и коммерческих секретов от внутренних угроз. Благодаря развитым и гибким инструментам аналитики, мониторингу действий пользователей, компания имела полную видимость происходящего в условиях реального времени.
Инцидент
Всплеск внешней активности руководителя регионального склада компании послужил поводом провести расследование со стороны офицеров безопасности. По итогам расследования обнаружилось, что среди сотрудников склада разгорелся конфликт. Разногласия были вызваны недовольством подчиненных методами управления своего руководителя и их решением уволиться, если последний не изменит своего подхода к работе. Начальник склада, чтобы не подвергать свою должностную позицию опасности и избежать негативных последствий от возможного сбоя в бизнес-процессах, принял решение не уведомлять высшее руководство о конфликте и вероятном уходе всех сотрудников склада из компании. Вместо того чтобы попробовать решить возникшую проблему, он начал искать новых сотрудников, для чего рассылал потенциальным кандидатам предложения о работе на «освобождающиеся» позиции через корпоративную почту.
Рисунок 6. Нехарактерный для сотрудника всплеск внешней активности, обусловленный самостоятельным подбором персонала
Результат
Важно понимать, что эффективное функционирование крупного склада невозможно без организации бесперебойного процесса отгрузки и выгрузки продукции с вовлечением в него квалифицированного персонала. Одномоментная замена команды опытных сотрудников новичками повышает риск ошибок и снижения производительности подразделения, что может привести к серьезным сбоям в бизнес-процессах компании.
Благодаря DLP-системе была получена информация о рабочей активности руководителя склада. Как оказалось, большую часть рабочего времени он посвящал отправке электронных писем потенциальным кандидатам, остальное время проводил за онлайн-играми. Кроме того, он был пойман на попытке скопировать базу данных клиентов компании на флеш-накопитель, что нарушало политику информационной безопасности компании.
Выявленный инцидент позволил предотвратить потенциальные финансовые потери компании. К счастью, команда опытных сотрудников смогла остаться на своих местах и продолжить работу. В итоге руководство решило, что начальник склада склада, который не смог найти общий язык со своими подчиненными, должен покинуть компанию.
Рисунок 7. Стандартное времяпрепровождение руководителя регионального склада
Рисунок 8. Копирование клиентской базы и показателей всех филиалов на USB
ВЫВОДЫ
Сценарии применения DLP-системы не ограничиваются только выявлением утечек конфиденциальных данных, но также включают в себя поиск поведенческих аномалий, которые косвенно свидетельствуют о готовящихся утечках или мошенничестве со стороны сотрудников. Наш опыт внедрения Solar Dozor в различных отраслях свидетельствует о том, что практика применения DLP-систем выходит за пределы информационной безопасности и затрагивает также интересы и задачи служб экономической и внутренней безопасности.
При наличии DLP-системы организации могут быть уверены, что их корпоративная информация надежно защищена. Обезопасив информацию от возможных утечек и приняв соответствующие меры, организации сохранят и преумножат свою репутацию, а также обеспечат доверие клиентов, партнеров, а также собственных сотрудников.
