В Издательском доме «Регламент-Медиа», в который входит журнал «Банковское обозрение», разработали новые онлайновые сервисы, облегчающие подписчикам на банковские издания получение сопроводительных документов. Однако при внедрении новшеств выяснилось, что такая автоматизация клиентского сервиса для многих подписчиков в банках попросту недоступна, потому что… они не имеют доступа в Интернет. Или имеют доступ, но не могут заходить на сайты по своему усмотрению. Когда стали разбираться, выяснилось, что тенденция пятилетней давности, связанная с полной интернетизацией рабочих мест, все увереннее меняется на противоположную — банки вводят все больше технических и дисциплинарных ограничений на пользование Интернетом.

На подобные темы банковские специалисты общаются неохотно — не хотят раскрывать подробности своей внутренней «кухни». К тому же регламент большинства кредитных организаций не побуждает к откровенности. На вопрос «есть ли в вашем банке ограничения при пользовании Интернетом?» сотрудники IT-службы отвечают примерно так: «Про себя сказать ничего не можем, но вот в остальных банках…». Соответственно, и те эксперты, которые согласились отвечать на вопросы, говорили преимущественно об общепринятой в банках практике, а не об особенностях своего банка. Понять можно.

По данным исследовательского центра портала SuperJob, 52% российских компаний так или иначе ограничивают доступ в Интернет для своих сотрудников. По банковскому сектору точной статистики нет — как раз из-за политики конфиденциальности. Однако, по мнению экспертов, контроль за использованием Интернета встречается едва ли не в каждом банке.

 Правила пользования 

Андрей Веневцев, начальник управления вычислительных систем и телекоммуникаций банка «Союз»:

— Обычно в обязательном порядке вводится запрет на следующие виды и направления интернет-трафика:

• любой трафик из локальной сети банка в Интернете, за исключением http/https через прокси-сервер;
• любой трафик из сети Интернет в локальную сеть банка (за исключением отдельных сервисов, расположенных в так называемой демилитаризованной зоне);
• доступ на скачивание исполняемых файлов любого типа, пиринговым сетям;
• доступ ко всем сайтам развлекательного содержания, социальным сетям, почтовым системам, торговым системам.

В опасности

В большинстве случаев решение ограничить доступ в Интернет продиктовано соображениями безопасности — делается это в рамках защиты вычислительных ресурсов банка от вредоносных программ, вирусных атак, несанкционированного проникновения извне и хищения информации.

Начальник отдела защиты информации Связь-Банка Дмитрий Карпенко отметил, что в связи с вступлением в действие 1 января 2010 года Федерального закона № 152-ФЗ «О персональных данных» особенно актуальной становится задача противодействия утечке данных. Соответственно, все больше внимания приходится уделять защите и контролю «исходящего трафика» банковской информации.

Помимо информационной безопасности IT-контроль часто связывают и с оптимизацией рабочего процесса. Многие руководители убеждены, что высокая производительность труда и возможность беспрепятственно «бороздить просторы» Интернета — вещи несовместимые. В этом случае создается и поддерживается список сайтов, соединение с которыми запрещено на техническом уровне.

Еще одна причина ограничений —стремление банковской IT-службы снизить нагрузку на сеть и серверное оборудование. Интересно, что этим наблюдением поделился представитель одного из госбанков.

А вот забота о снижении расходов на связь становится аргументом для ограничения доступа в Сеть все реже. Связано это с тем, что в современных условиях стоимость использования интернет-ресурсов в большинстве банков определяется без учета объемов трафика.

Свидетельские показания

Источник: По данным опроса банковских специалистов на портале Банкир.ру, проведенного совместно с «БО». 14–18 ноября 2009 года, приняли участие 311 человек.

Знай меру

Как именно ограничивать доступ сотрудников в Интернет, в каждом банке решают по-своему. «Выбор решения связан с поисками компромисса в извечной «борьбе» между IT-специалистами, старающимися максимально минимизировать свои трудозатраты на сопровождение информационных систем, бизнеса, не желающего тратить деньги на «ненужные проекты», и службы безопасности, желающей «защитить все ото всех», — признается Дмитрий Карпенко (Связь-Банк).

Обычно способы контроля использования Интернета делятся на организационные и технические. Организационные меры предполагают обязательное ознакомление каждого сотрудника с общим порядком использования интернет-ресурсов. Согласно нормативным документам большинства банков сотрудники вправе использовать публичные сети только для решения производственных вопросов. «Любой руководитель подразделения банка, заполняя заявку на предоставление тому или иному сотруднику возможности доступа к сети Интернет, должен понимать, для каких целей этот доступ предоставляется, — говорит Евгений Модин, руководитель направления консалтинга компании Aladdin (разработка и поставка средств информационной безопасности). — Ограничения, задаваемые по умолчанию, обычно касаются сайтов развлекательного характера, к которым чаще всего относятся социальные сети, азартные игры, неэтичные сайты. Остальные ограничения в части URL-фильтрации обычно задаются на основе данных мониторинга и аудита посещаемых сайтов: высокий уровень потребляемого трафика с нецелевого для банков ресурса, скорее всего, приведет к закрытию доступа на этот ресурс».

При этом специфика банка часто определяет тематику доступных сайтов. Допустим, банк, занимающийся автокредитованием, вряд ли будет закрывать для своих сотрудников сетевые авторесурсы.

Технические способы, применяемые в банках для регулировки использования Интернета, обычно заключаются в применении специализированного фильтрующего ПО. Как заметил начальник управления вычислительных систем и телекоммуникаций банка «Союз» Андрей Веневцев, при этом типовой для отбора является схема «запрещено все, что не разрешено».

В большинстве случаев внутренняя сетевая инфраструктура банка подключена к Интернету через специальное оборудование защиты (firewall, proxy-server, deep packet inspector), которое осуществляет контроль потока данных по заданным сценариям. Старшему менеджеру отдела по развитию продуктов и услуг для бизнес-рынка компании «Билайн» Олегу Степанову известны прецеденты, когда банковская локальная сеть физически отделена от Интернета. В этом случае на столе у пользователя имеется два кабеля: при необходимости доступа в ту или иную сеть сотрудник включает необходимый кабель в свой компьютер.

По словам Максима Рябочкина, начальника департамента информационных технологий Собинбанка, в их организации емкость канала общего пользования ограничена до 10 Мбит. Однако в банках скорость Интернета снижают редко. По словам экспертов, гораздо чаще можно встретить схему, когда сеть просто физически разделена на две и более «подсети» с разными уровнями безопасности. При такой схеме доступ в Интернет есть только в тех отделах, где запрещен доступ к автоматизированной банковской системе (АБС). Таким образом, сеть, где с АБС работают операционисты и кассиры, никак не связана с Интернетом, и, соответственно, доступа в Интернет у них нет.

Интересно, что еще недавно сотрудникам IT-отделов составлять список запрещенных сайтов приходилось «вручную». Системные администраторы ставили фильтр на все слова, которые, по их мнению, часто встречаются в названиях сайтов, не относящихся к работе. Однако в последнее время на рынке появились технологии, благодаря которым появилась возможность блокировать нежелательные категории сайтов, такие как «Знакомства», «Социальные сети», «Путешествия» и другие, целиком. Такой усовершенствованный подход к фильтрации позволяет получить в распоряжение администратора постоянно обновляемую базу сайтов, насчитывающую более 450 млн интернет-страниц на всех языках, сгруппированных в 70 категорий.

Еще одна головная боль банковской службы безопасности — это интернет-пейджеры. Использование ICQ на рабочем месте под запретом, например, в Альфа-Банке. По словам специалистов, поток информации, посылаемой с помощью подобных программ, просто невозможно проконтролировать. В одном из банков решение закрыть ICQ привело к тому, что сотрудники в массовом порядке стали регистрироваться на сайтах знакомств — специально для общения с коллегами. Впрочем, доступа к этим ресурсам в большинстве банков уже нет. Так, в Связь-Банке любое использование интернет-сервисов публичных систем обмена экпресс-сообщениями с прямым подключением к серверам данных систем запрещено.

 Правила пользования 

Максим Рябочкин, начальник департамента информационных технологий Собинбанка:

— В качестве примера наиболее распространенных ограничений доступа можно привести блокировку отдельных сайтов (сайты знакомств, хэдхантинговые ресурсы, социальные сети, торренты и файловые серверы), блокировку передачи видео- и аудиопакетов.

Каждому по потребностям

Уровень доступа к сетевым ресурсам, как правило, определяется в зависимости от должностных обязанностей пользователя — от «полного доступа» до режима «только электронная почта». «У сотрудников многих подразделений, включая бухгалтерию, финансовую службу, депозитарий и другие службы бэк-офиса, либо совсем нет выхода в Интернет, либо есть ограниченный доступ, — говорит Антон Куприянов, ведущий специалист по подбору персонала кадрового центра «Юнити». — Связано это прежде всего с особой ценностью той информации, которой располагают данные подразделения». Например, в Собинбанке платные сайты по поиску работы доступны для сотрудников управления персоналом, аналитические — для финансового отдела, мировые торговые площадки — для инвестиционного департамента.

Самыми широкими возможностями использования всемирной паутины обладают сотрудники кадровой службы. Дело в том, что в процессе поиска необходимого специалиста бывает полезно использовать социальные сети. Поэтому в некоторых банках доступ на такие ресурсы, как «Одноклассники» и «Вконтакте», для сотрудников HR-службы разрешен — для выполнения ими своих прямых обязанностей. «Если вы хотите иметь возможность регулярно захаживать на «Одноклассники», задумайтесь о том, в каком подразделении вам будет лучше работать», — шутят в рекрутинговых агентствах.

Наконец, встречаются и совсем нетипичные ситуации, когда ограничения налагаются не по указанию сверху, а, наоборот — по заявке от пользователей. Андрей Веневцев (банк «Союз») приводит пример: «Иногда сотрудник настолько увлекается чем-либо в Интернете, что перестает справляться со своими обязанностями. В этом случае его руководитель вынужден просить о временном блокировании доступа данного сотрудника в публичные сети».

 Правила пользования 

Заместитель начальника управления обеспечения безопасности одного из коммерческих банков:

— Вот основные правила пользования Интернетом, принятые в нашем банке:

• технически запрещено использование некоторых портов и протоколов;
• значительной части сотрудников доступ в Интернет предоставляется в терминальном режиме;
• доступ в Интернет предоставляется не всем сотрудникам, а только тем, кому он необходим для выполнения служебных обязанностей;
• доступ в Интернет предоставляется на основании заявки установленной формы, согласованной и утвержденной руководителями соответствующих подразделений;
• в нормативных документах банка содержится запрет на использование Интернета в целях, не связанных с выполнением служебных обязанностей;
• в нормативных документах банка содержится ряд ограничений по использованию Интернета (запрещено передавать и получать информацию определенных категорий, использовать некоторые сервисы, технологии, системы передачи данных и т.п.).
• список сайтов, соединение с которыми запрещено, постоянно обновляется.

На каждое действие есть противодействие

Эксперты убеждены, что техническими мерами и запретами проблему нецелевого использования Интернета решить — по крайней мере, полностью — не удастся. Максим Рябочкин (Собинбанк) говорит: «Зачастую, особенно в случае недостаточной занятости или недостаточной мотивации персонала, меры по ограничению Интернета приводят к появлению у сотрудников других развлечений, а также ведут к расширению спектра знаний в области обхода подобной защиты. А так как используемые для обхода средства загружаются с хакерских сайтов, то это может нанести еще более ощутимый вред информационной безопасности, чем открытый доступ». А значит, сотрудников нужно не только ограничивать, но и правильно мотивировать, считают эксперты и представители кадровых служб. По их мнению, есть масса способов помочь работнику сконцентрироваться на профильных обязанностях.

Но в банках техническими средствами ограничения Интернета пока интересуются больше, чем новинками в области управления персоналом.

 Мнение интернета 

Какова политика ограничения Интернета в банках?

Комментарии на форуме Банкир.ру

George-on-Don:

Самый оптимальный путь — разделить всех пользователей на группы:

Группа 1 — интернет нужен только для осуществления расчетных операций (переводы WU, Migom, банк-клиент и т. д). Для таких юзеров перечень доступных сайтов строго ограничен (шаг вправо, шаг влево — расстрел).

Группа 2 — торговля на forex или ценными бумагами. Для таких юзеров нужен еще доступ к определенному (ограниченному) числу информационно-новостных сайтов. Но перечень этих сайтов тоже имеет конечную величину.

Группа 3 — всякие риск-аналитики + руководство. Могут ходить в принципе куда угодно, НО их можно ограничить «черным» списком.

Fox1k:

На уровне «прокси» закрыты многие сайты... Соцсети разрешены только в обеденное время (надо же мозг разгружать). В «проксе» существует несколько групп, в зависимости от потребностей доступа (ICQ, Internet, FTP). Каждый пишет заявку, заверенную начальником отдела, на доступ к тем либо иным ресурсам... Все отчеты по посещаемости предоставляются начальству в конце месяца и каждому из руководителей подразделений...

malotavr:

У нас лазанье по знакомствам и использование Инета в личных целях к информационной безопасности отношения не имеет. Это вопрос непосредственного начальника сотрудника. Слив конфиденциальной информации карается увольнением, слив банковской тайны — статьей УК. Промежуточные нарушения докладываются руководителям подразделений, они сами разбираются.

Свидетельские показания

Источник: По данным опроса банковских специалистов на портале Банкир.ру, проведенного совместно с «БО». 14–18 ноября 2009 года, приняли участие 311 человек.