Финансовая сфера

Банковское обозрение


  • Большие данные для борьбы с утечками
14.05.2022 FinSecurityFinTechАналитика

Большие данные для борьбы с утечками

Ценность информации, которая циркулирует и хранится в информационных системах финансовых организаций, постоянно растет, как и риски ее утечек


По данным экспертно-аналитического центра ГК InfoWatch, в России отмечается рост количества утечек конфиденциальной информации, произошедших по вине внутренних нарушителей, а также случаев умышленного хищения данных. Например, в сентябре 2021 года в интернете в свободном доступе оказались данные более 150 тыс. россиян, которые подавали онлайн-заявки на получение кредитов в Совкомбанке в 2019-2020 годах. Данные в Сеть выгрузил недобросовестный сотрудник внешнего колл-центра. Он же попытался сделать это повторно после первого задержания полицией.

Не менее показательный кейс вскрылся в январе 2022 года: сотрудник кредитной организации в Челябинской области почти два года «сливал» данные клиентов. Он действовал через коллегу. Всего была скомпрометирована информация более 100 клиентов.

После 24 февраля 2022 года финансовый сектор оказался в условиях еще более интенсивных внешних кибератак, эффективность которых серьезно повышается при наличии внутри кредитных организаций злоумышленников. Все эти обстоятельства заставляют ИБ-службы финансовых организаций, Банк России и иных регуляторов заняться переоценкой риска от действий внутренних нарушителей, а также повышением эффективности управления этим риском при помощи DLP-систем.

Больше данных — меньше рисков

Почему именно DLP-системы в финансовых организациях способны минимизировать последствия действий внутренних нарушителей или вовсе их не допустить? 

Сегодня в рамках цифровой трансформации бизнеса появляются все новые вызовы для обеспечения безопасности. Кроме того, пандемия COVID-19 окончательно «утвердила» удаленный формат работы сотрудников, что повлекло изменение формата коммуникаций, а непрерывно изменяющиеся бизнес-процессы привели к тому, что службе ИБ не всегда удается вовремя узнать о происшедших изменениях.

А вот что касается DLP-системы, то, чем бОльшее покрытие каналов передачи и мест хранения данных в цифровом формате она обеспечивает, тем более надежно выявляются попытки противоправных действий собственных сотрудников компании. Кроме того, собранные данные могут служить и для других целей.

Деятельность современного цифрового банка, страховой компании или МФО невозможна без обработки огромного массива конфиденциальной информации: персональных данных физических лиц, договоров с клиентами и их финансовых транзакций, а также данных, относящихся к коммерческой и другим видам тайн. Причем, так как объем информации непрерывно растет, растут и риски ее утечки через новые каналы.

Поэтому версия DLP-системы InfoWatch Traffic Monitor 7.3 обогащена новым механизмом управления на основе технологии машинного обучения, при помощи которого можно обеспечить возможность оперативного и гибкого подстраивания политик DLP под изменяющиеся условия передачи и работы с данными в компании. Дополнительный модуль системы, предназначенный для выявления нарушений трудовой дисциплины, позволяет оценить эффективность работы сотрудников, а также значительно упростить процесс расследования инцидентов информационной безопасности и злоупотребления доступом к конфиденциальным данным.

Почему без применения технологий ИИ невозможно обеспечить достаточный уровень контроля информационной безопасности? Наравне с технологическим функционалом особенно важную роль для обеспечения эффективной работы DLP-системы играют настройки мониторинга, в соответствии с которыми система определяет, является ли какое-либо событие инцидентом безопасности или нет. Довольно дефицитные на сегодняшний день ИБ-специалисты организаций зачастую физически не в состоянии разметить сотни терабайт данных, которые собирает система. Кроме того, динамика финансовой отрасли такова, что постоянные изменения бизнес-процессов и трансформация организационной структуры бизнеса здесь являются нормой. Без учета этих фактов и реакции на них часть данных довольно быстро оказывается в «серой зоне». DLP-система не может их классифицировать как нарушение, потому что правила для этого бизнес-процесса ИБ-сотрудники вручную физически не успевают составить. В итоге решение начинает «защищать вчерашний день».

Как способ решения этой проблемы InfoWatch предлагает автоматизацию множества рутинных ручных операций за счет использования ИИ. Технология машинного обучения показывает высокую эффективность при, например, первичной кластеризации документов новым модулем InfoWatch Data Explorer: сейчас на это необходимо не более одного рабочего дня. Дальнейшее автоматическое обучение системы документам новой тематики и конфигурирования политик займет не более одного часа против обычных 10 дней. При этом не требуется особая квалификация сотрудников.

Что это дает? У банка и небанковской кредитной организации всегда будет актуальная конфигурация системы предотвращения утечек, соответствующая текущим условиям работы с информацией при минимальном использовании ручного труда. Это, естественно, положительно сказывается на риск-профиле организации и является весомым аргументом для снижения нормы резервирования по операционным рискам.

Продвинутая аналитика DLP-системы

Таким образом, классический функционал DLP-системы при работе с большими данными при использовании искусственного интеллекта переходит на новый качественный уровень. Как уже отмечалось, собранные данные дают аналитическим модулям системы возможность, например, осуществлять мониторинг коммуникаций сотрудников, в том числе находящимся на «удаленке».

Зачем это нужно? Во многих крупных финансовых организациях на регулярной основе готовятся аналитические срезы, по которым можно судить о том, как выглядит компания с точки зрения информационных потоков, циркулирующих внутри нее. Например, отлично видно, какие политики и правила ИБ нарушаются, в какие часы и откуда именно работают сотрудники как на «удаленке», так и в офисе, какие IT-ресурсы они при этом используют, как «путешествуют» документы по компании и т.д. В больших территориально распределенных компаниях — это рутинная работа, требующая серьезных трудозатрат.

Лучшей практикой отработки бизнесом новых вызовов становится использование BI-платформ и инструментов визуализации данных. Этот класс решений ненов, однако их реальный потенциал раскрывается только сейчас. InfoWatch Vision и InfoWatch Prediction — BI-модули DLP-системы InfoWatch Traffic Monitor, которые в режиме реального времени выстраивают информационно-аналитические выкладки: карту коммуникаций того или иного объекта, отчетность и визуализацию по различным срезам данных. Модули позволяют анализировать происходящее не как череду разрозненных и малосвязанных между собой событий, а выявлять новые тренды и осуществлять поиск мер для оперативного реагирования на них.

Таким образом, InfoWatch Vision анализирует оперативную обстановку, ускоряет проведение расследований, составление отчетов и отвечает на вопрос: почему это случилось? InfoWatch Prediction как средство автоматизации управления рисками на базе технологий предиктивной аналитики с применением ИИ, в свою очередь, отвечает на вопрос: что может произойти?

Невозможно, однажды установив решение и настроив политики безопасности, решить проблему с утечками конфиденциальной информации

Какие практики использования BI-модулей востребованы? Во-первых, это мониторинг поведения сотрудников и формирование групп риска (увольнение, переманивание всей команды или ее части, сговор, воровство данных и др.). 

На основании чего система делает свои выводы?

 Во-первых, на основе собираемых фактов, например пересылка самому себе или коллегам на личную почту документов, скачивание больших объемов данных на съемные носители и другие нетипичные действия. Кроме того, модуль InfoWatch Prediction способен выстраивать динамические модели поведения и формировать группы риска каждого сотрудника на основе индивидуального скоринга.

Во-вторых, интересные данные могут дать списки новых посещаемых ресурсов и сервисов: рано или поздно через эти неизвестные ранее службе ИБ каналы может произойти утечка информации. Лучше готовиться к этому заранее.

В-третьих, значительно упрощается сбор статистики руководителями ИБ-службы. Офицер безопасности может оперативно получить объективную картину по любому филиалу из единой консоли управления. Это стало возможным за счет автоматизированного контроля актуальных политик в филиалах, делегирования расследований специалистам на местах, а также эскалации сложных кейсов на руководство в головном офисе.

Наконец, функционал BI-систем помимо ИБ-специалистов полезен и востребован HR-департаментами и линейными менеджерами, заинтересованными в точном, полном и своевременном анализе показателей эффективности работы и путей коммуникаций определенных филиалов, отделов, групп сотрудников или конкретных специалистов.

Консалтинг позволит избежать ошибок

Как довольно сложный и комплексный продукт DLP-система не сможет быть эффективной без комплекса организационно-правовых мер как на этапе внедрения, так в процессе эксплуатации.

Без разработки и внедрения соответствующей организационно-распорядительной документации в каждой конкретной организации будет гораздо сложнее расследовать инциденты ИБ и факты экономических правонарушений в будущем.

Поэтому в компании InfoWatch советуют специалистам прибегать к услугам консалтинга. Это позволит избежать типичных ошибок, например, при управлении инцидентами информационной безопасности, при этом соблюдая нормы действующего законодательства, подзаконных актов, ГОСТов и других требований Банка России и других регуляторов.

Кроме того, этот сектор экономики подпадает под действие ГОСТ 57580.1-2017 и Гост 57580.2-2018. Это стандарты, определяющие уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты информации, а также методику оценки соответствия финансовых организаций данным требованиям. Особое внимание следует уделить тому, что в ГОСТ 57580 есть конкретные меры по предупреждению утечек информации, которые должны быть предприняты финансистами.

«Минимизировать регуляторные риски при эксплуатации DLP-системы можно при помощи систематического обучения офицеров безопасности. В частности, такое обучение может помочь научить легитимно формировать доказательства в суде из информации, собранной средствами защиты информации», — полагает Ирина Зиновкина, директор по консалтингу ГК InfoWatch.

В качестве вывода необходимо отметить, что ценность информации, которая циркулирует и хранится в информационных системах финансовых организаций, постоянно растет. При этом невозможно, однажды установив решение и настроив политики безопасности, решить проблему с утечками конфиденциальной информации. Банк — это живой организм, в нем постоянно происходят изменения, на которые его собственные ИБ-службы не всегда могут оперативно реагировать. Поэтому так важна совместная с вендором работа по сопровождению и обновлению DLP-системы.

Кроме того, данные из DLP-системы помогают другим службам финансовых организаций, например HR, управлять в текущих непростых условиях самым ценным ресурсом любого банка — квалифицированным персоналом!  







Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ