8 (800) 302-85-23

16.04.2024

Намеренная утечка данных в банках

Намеренная утечка данных в банках
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Одна из ключевых задач, стоящих перед банками, – оправдать доверие клиентов, которые предоставляют им свои персональные данные. Эти данные очень привлекательны для злоумышленников, поскольку их легко монетизировать или использовать в других корыстных целях. Не менее важно охранять коммерческую информацию и другие засекреченные сведения, имеющиеся в распоряжении финансовых организаций. Чтобы обезопасить значимые данные, необходимо выстраивать надежную защиту, в том числе организовывать контроль за внутренними сотрудниками, которые могут стать источником как намеренной, так и случайной утечки данных в банках. Рассказываем, что понимается под такими утечками и как минимизировать риски с помощью организационных и технических мер. 

Что такое утечка данных 

Под утечкой подразумевают раскрытие конфиденциальной информации, то есть действия, в ходе которых секретные сведения попадают в третьи руки. Подобное чаще всего происходит из-за слабой защиты данных или в результате неграмотного обращения с ними. Также возможен намеренный слив информации при участии лиц, имеющих к ней легальный доступ, который может грозить репутационными и финансовыми потерями, ухудшением отношений с клиентами и партнерами, а также повлечь негативные юридические последствия. Утечка конфиденциальной информации может привести к потере конкурентных преимуществ и ущербу для бизнес-процессов. Даже если банки ответственно относятся к хранению и обработке данных, им не всегда удается избежать инцидентов, связанных с утечкой конфиденциальных данных по вине сотрудников. 

Что такое намеренная и ненамеренная утечка данных в банках

Утечка данных в банках может быть намеренной или ненамеренной.

Намеренные утечки происходят, когда внутренние злоумышленники крадут или сливают информацию, прекрасно осознавая последствия своих действий. Это могут быть действующие или бывшие сотрудники, у которых остался доступ к конфиденциальным данным. Причины намеренной утечки данных в банках разные, это и финансовая выгода, и личная месть, и злоупотребление доступом к конфиденциальной информации. К примеру, сотрудник банка может продать конфиденциальную информацию о клиентах конкурирующей компании или использовать ее для совершения мошенничества.

Ненамеренная утечка данных может произойти в результате небрежности, ошибок или технических неполадок. Так, сотрудник может случайно отправить конфиденциальную информацию на неправильный адрес электронной почты или потерять ноутбук с конфиденциальными данными.

способы слива конфиденциальной информации

Способы слива конфиденциальной информации

Сотрудник банка может сливать конфиденциальную информацию различными способами, включая:

  • Использование электронной почты или мессенджеров для отправки конфиденциальной информации третьим лицам.
  • Копирование конфиденциальной информации на флеш-накопители или другие внешние носители информации и передачу ее третьим лицам.
  • Предоставление несанкционированного доступа к конфиденциальной информации в результате передачи паролей или кодов доступа третьим лицам.
  • Распечатку конфиденциальной информации и передачу ее третьим лицам.
  • Использование конфиденциальной информации для личной выгоды или передачу ее конкурирующим компаниям.
  • Ненадлежащее хранение конфиденциальной информации, например, на незащищенном компьютере или в облачном хранилище без должной защиты.
  • Использование небезопасных сетей или устройств для доступа к конфиденциальной информации, в частности открытых Wi-Fi-сетей или общедоступных компьютеров.
  • Злоупотребление правами доступа к конфиденциальной информации с целью просмотра или копирования информации, не относящейся к непосредственным обязанностям сотрудника.
  • Использование социальной инженерии для получения доступа к конфиденциальной информации, например прибегая к обману других сотрудников или клиентов банка.

Какие данные могут заинтересовать злоумышленников

Банки собирают сведения, по которым можно безошибочно идентифицировать клиентов. Это:

  • Паспортные данные, место регистрации и фактического проживания. 
  • Сведения об образовании, месте работы, доходе.
  • Семейное положение.
  • Контактные данные клиента, его работодателей и близких людей.

Также у банков есть информация о наличии у клиентов кредитов и открытых счетов, о совершенных платежных операциях и номера их банковских карт. Именно эти данные интересуют злоумышленников в первую очередь. Благодаря персональной информации злоумышленники составляют детальный портрет жертв, чтобы затем в корыстных целях воздействовать на их слабые стороны. 

Конкурентов может заинтересовать информация коммерческого характера, которая дает представление о положении дел внутри финансовой организации. К таким сведениям относятся бизнес-планы, договоры, отчеты о финансах, данные об используемых решениях и технологиях, списки партнеров, клиентов, инвесторов и др. 

Как предотвратить утечку данных в банках

Предотвращение намеренной утечки данных в банках требует комплексного подхода, включающего как технические, так и организационные меры защиты. Одним из важных ее инструментов является DLP-система (Data Loss Prevention), которая позволяет контролировать и предотвращать утечки конфиденциальной информации.

DLP-система может автоматически обнаруживать и блокировать попытки отправки конфиденциальной информации за пределы банка, а также предотвращать копирование конфиденциальных данных на внешние носители информации. Кроме того, DLP-система может контролировать печать конфиденциальной информации и тем самым предотвращать ее распространение.

Однако DLP-система – это только один из инструментов защиты от утечки данных. Для полноценной защиты необходимо применять и другие средства, такие как шифрование конфиденциальной информации, контроль доступа к ней, мониторинг сетевой активности и проведение регулярных аудитов и проверок.

Кроме того, необходимо регулярно обучать сотрудников, повышая уровень их практических знаний в области политик и процедур безопасности, а также контролировать их деятельность для предотвращения намеренной или ненамеренной утечки данных. Сотрудники должны быть проинформированы о рисках и последствиях утечки конфиденциальной информации и обязаны соблюдать все меры безопасности, установленные банком.

Предотвращение намеренной утечки данных в банках требует комплексного подхода, включающего использование DLP-систем и других средств защиты, регулярное обучение сотрудников и контроль их деятельности, а также применение строгих политик и процедур безопасности. Только комплексное применение всех этих мер может обеспечить надежную защиту конфиденциальной информации банка и его клиентов.

защита от намеренной утечки данных в банках

Как Solar Dozor предотвращает намеренную утечку данных в банках

Продуманная и удобная в эксплуатации DLP-система Solar Dozor помогает банкам бороться с утечками данных благодаря:

  • Блокировке утечек в реальном времени;
  • Созданию детального и единого досье на каждого сотрудника.
  • Выявлению всех личных и рабочих контактов сотрудников.
  • Анализу поведения пользователей с целью выявления аномалий и предотвращения инцидентов (эти задачи решает уникальный модуль UBA — User Behavior Analytics). 
  • Онлайн-мониторингу экрана рабочей стронции, видеозаписям, записям с микрофонов для облегчения проведения расследований. 

Использование Solar Dozor — эффективная профилактическая мера против утечек данных в банках. DLP-система обеспечивает непрерывный контроль движения данных и мониторинг коммуникаций персонала. Таким образом, получается обнаруживать потенциальных нарушителей, отслеживать поведение сотрудников из групп риска (например, ранее нарушивших политики безопасности, готовящихся на увольнение и т.д), выявлять корпоративное мошенничество и случаи несанкционированных взаимодействий с конфиденциальной информацией. 

Выводы

Комплексная многоуровневая защита данных банка должна быть в первую очередь направлена на минимизацию рисков намеренных и ненамеренных сливов информации и выявление признаков корпоративного мошенничества. Выполнить эти задачи поможет российское DLP-решение с широким функционалом Solar Dozor, которое позволит контролировать все пути передачи данных и блокировать утечки в реальном времени. 

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.