Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеВ распоряжении финансовых организаций находятся конфиденциальные данные, не предназначенные для общего доступа. Например, персональная и коммерческая информация, сведения, подпадающие под понятие банковской тайны. Они могут заинтересовать злоумышленников или конкурентов, поэтому достаточно высоки риски их утечки. Чтобы сохранить конфиденциальность сведений и соблюсти законодательные требования, целесообразно эксплуатировать решения класса Data Leak Prevention (сокращенно – DLP), предназначенные для контроля данных в движении и контроля действий пользователей. Разберемся, какую роль эти продукты играют в защите конфиденциальной информации в банках.
Какая конфиденциальная информация банка может утечь
Примеры конфиденциальной информации банка:
- Персональные данные клиентов: ФИО, серия и номер паспорта, адреса и телефоны, место работы и должность.
- Номера клиентских банковских карт и счетов.
- Сведения об остатках средств на счетах.
- Данные о заработной плате клиентов финансовой организации.
- Данные контактных лиц, которых клиенты представляют в качестве поручителей или созаемщиков.
В первую очередь злоумышленников интересуют сведения финансового характера. Ценность базы данных с контактами клиентов на порядок ниже, но утечка такой информации может обернуться для учреждения серьезными штрафами и потерей репутации.
Виды и примеры утечек конфиденциальной информации банка
Утечки можно условно разделить на внутренние и внешние. Рассмотрим каждую категорию с примерами.
Внутренние утечки конфиденциальной информации банка
Внутренние утечки инициируются сотрудниками банка или подрядчиками (например, вендорами программного обеспечения, аудиторами), то есть людьми, которые уже имеют или могут получить доступ к охраняемым сведениям. Причины инцидентов:
- Намеренные злоумышленные действия, совершаемые из личной выгоды. В таких случаях нарушитель полностью отдает себе отчет о последствиях поступка и все равно крадет данные, чтобы перепродать конкурентам или использовать в личных целях.
- Небрежное отношение к служебным обязанностям. Здесь нет злого умысла, зато есть нарушение сотрудниками внутренних регламентов в силу влияния человеческого фактора или из-за недостаточной компетентности.
Пример намеренных злоумышленных действий – осознанный сбор конфиденциальной информации банка сотрудником, готовящимся перейти на работу в другую финансовую организацию. В таких случаях обычно происходит кража клиентской базы, которую нарушитель планирует использовать на новой должности.
Пример неумышленной утечки из-за халатности сотрудников – неисполнение инструкций, касающихся уничтожения старых кредитных договоров. В России известны случаи, когда бумаги не утилизировали должным образом, а просто выбрасывали. Персональные данные, часть которых была еще актуальной, попали в руки третьих лиц.
Внешние утечки
Внешние утечки инициируются лицами, не имеющими прямого отношения к банку-жертве. К этой группе угроз можно отнести:
- Действия конкурентов, желающих получить доступ к персональным данным клиентов финансовой организации.
- Деятельность хакеров, которые стремятся нанести банку репутационный и финансовый ущерб, получить доступ к счетам.
- Разведка, инициированная иностранными спецслужбами с целью получить информацию о контрактах с государственными организациями.
Из-за усиленной защиты конфиденциальной информации в банках хакерам не так просто взломать внутренние системы и подобраться к базам данных. Они эксплуатируют уязвимости банковских приложений, используют шпионское ПО, внедряют вредоносные коды в контейнеры – изолированные пользовательские среды.
Последствия утечки конфиденциальной информации для клиентов банка и самих финансовых организаций
Утечка данных для клиентов банка может обернуться серьезными последствиями, включая:
- Утрату конфиденциальности. Утечка данных может привести к раскрытию конфиденциальной информации клиентов, включая номера банковских счетов, пароли, адреса, номера телефонов и другие персональные данные. Это может привести к нарушению конфиденциальности и несанкционированному доступу к их финансовым активам.
- Финансовые потери. Утечка данных может привести к финансовым потерям для клиентов, если злоумышленники получат доступ к их банковским счетам и смогут совершить мошеннические операции. Клиенты могут потерять деньги, а также понести убытки от кражи личных данных.
- Кражу личности. Утечка данных может привести к краже личности клиентов, если злоумышленники получат доступ к их персональным данным. Это может привести к мошенничеству, несанкционированному получению кредитов, кредитных карт и других финансовых услуг.
Банки тоже серьезно страдают от утечек – как с финансовой, так и с точки зрения имиджевой составляющей. С репутацией все понятно – после обнародования инцидента клиенты и партнеры вряд ли захотят иметь дело с организацией, допустившей слив данных.
Катастрофичность финансовых убытков будет зависеть от того, какая именно конфиденциальная информация банка утекла и по каким причинам. Возможные последствия: штрафы, отток вкладчиков, возмещение ущерба клиентам, которые понесли финансовые потери. Также утечка сильно повлияет на банки, выпускающие ценные бумаги, поскольку стоимость активов после инцидента заметно упадет.
Законы и нормативные акты
Ниже перечислены некоторые из основных законов и нормативных актов, устанавливающих общие требования к защите данных, которые необходимо соблюдать банкам:
1. Закон о защите персональных данных в Российской Федерации (ФЗ-152): устанавливает требования к обработке персональных данных в Российской Федерации.
2. Закон о банковской тайне в Российской Федерации (ФЗ-395): устанавливает требования к сохранению банковской тайны и защите персональных данных клиентов банков.
3. Закон о защите прав потребителей в Российской Федерации (ФЗ-2300): устанавливает требования к защите прав потребителей при обработке их персональных данных.
4. Закон о национальной системе передачи данных в Российской Федерации (ФЗ-242): устанавливает требования к передаче персональных данных через национальную систему передачи данных.
5. Закон о защите критической информационной инфраструктуры в Российской Федерации (ФЗ-187): устанавливает требования к защите критической информационной инфраструктуры, включая банковскую сферу.
6. Положение о мерах по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (приказ ФСТЭК России от 18.02.2019 № 11): устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Эти законы и нормативные акты устанавливают общие требования к защите данных, которые необходимо соблюдать банкам для предотвращения утечек конфиденциальной информации и соответствия требованиям законодательства.
Меры предотвращения утечек данных в банках
В области специализированного ПО антивирусные программы остаются основой систем информационной безопасности. Они претерпели эволюцию от простых антивирусов до комплексных систем защиты и контроля рабочих станций. Современные антивирусы способны решать целый ряд задач, в том числе обеспечивать защиту от несанкционированного подключения внешних устройств и установки программ.
Защита банковской системы должна включать мощные средства аутентификации и контроля действий как внутренних пользователей, так и клиентов. Наиболее надежную защиту могут обеспечить средства двухфакторной аутентификации, такие как электронные ключи (токены) или генераторы одноразовых паролей.
Для обеспечения безопасности данных при хранении необходимо использовать средства шифрования. Они могут работать либо на уровне хранилищ данных, либо на уровне отдельных компонентов системы, таких как таблицы баз данных.
Защита персональных данных, в частности, осуществляется с помощью средств криптографической защиты для обеспечения зашифрованного хранения, а также специализированных решений класса DLP (Data Loss Prevention). Эти средства используются для предотвращения утечки конфиденциальной информации и обеспечения соответствия требованиям законодательства.
Средства криптографической защиты, такие как шифрование, помогают защитить персональные данные от несанкционированного доступа и утечки. Системы DLP, в свою очередь, позволяют контролировать и мониторить передачу данных, предотвращая их несанкционированное распространение или утечку.
Межсетевые экраны также являются неотъемлемой частью системы безопасности банков, поскольку помогают реализовать несколько мер безопасности: управление трафиком (фильтрация, маршрутизация, контроль соединений), управление взаимодействием с внешними информационными системами, сегментирование информационной системы и так далее.
Как DLP-система Solar Dozor защищает конфиденциальную информацию банка от утечки
Solar Dozor – первая российская DLP-система с уникальным модулем анализа пользовательского поведения UBA (User Behavior Analytics). С его помощью можно разделять сотрудников на группы по характеру их поведения, выявлять нетипичные действия и определять все контакты пользователей, что позволяет распознавать признаки корпоративного мошенничества и предотвращать внутренние утечки.
Еще несколько ключевых функций DLP-системы, направленных на предотвращение утечек:
- Создание подробного досье на каждого сотрудника с целью предотвратить нарушение политик безопасности и облегчить расследование инцидентов.
- Обнаружение несанкционированной передачи конфиденциальной информации банка, которая предварительно была подвергнута трансформации. Эта задача решается благодаря технологии Digital Fingerprints.
- Выявление в сообщениях признаков персональных и финансовых данных. Для этой цели в DLP-системе реализован алгоритм ID Identification.
- Контроль передачи информации в графических форматах с помощью технологии You Only Look Once.
- Контроль переписок сотрудников.
- Перехват нажатий клавиш с помощью кейлогера.
- Трансляция рабочих столов компьютеров, запись звука с микрофонов.
- Формирование детальной отчетности в удобном формате, что сильно облегчает работу сотрудников службы безопасности банков.
Solar Dozor удобен в использовании, подходит для импортозамещения, обладает интуитивно понятным интерфейсом. И главное – решение позволяет выстраивать систему безопасности, сфокусированную на человеке.
