Банковское обозрение

Сфера финансовых интересов

24.11.2017 Аналитика
Маленькие утечки, огромный ущерб

Факт утечки конфиденциальной информации порой трудно обнаружить, а ущерб от нее скрыть невозможно



Как отмечают многие исследовательские центры, до 80% всех инцидентов, связанных с нарушением режима ИБ, вызваны внутренними угрозами, источниками которых являются сами пользователи и администраторы информационных систем.

Доказано, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри конфиденциальной и персональной информации. Как правило, источниками таких угроз становятся недобросовестные или обиженные сотрудники, которые своими действиями стремятся нанести организации финансовый или материальный ущерб.

Риск не новый, но креатив удивляет

Эта угроза не нова, с ней пытаются бороться уже много лет. Однако инциденты, к сожалению, продолжаются, а ущерб от них увеличивается, ведь в информационных системах хранится все больше приватных данных. Этот факт подтверждается приведенными ниже списками «свежих» утечек.

По данным аналитического центра InfoWatch, доля утечек из финансового сектора в последние годы остается достаточно стабильной (соответственно 8,6% в 2015 году и 8% в 2016 году от совокупного количества зарегистрированных утечек). Большинство инцидентов связано с компрометацией персональных данных (64% в 2015 году и 70% в 2016-м). Но платежная информация также утекает довольно часто (30% случаев в 2015 году и 22,6% в 2016-м).

Несмотря на то что объем скомпрометированной информации в банках по итогам 2016 года оказался ниже, чем годом ранее, уровень стоящих перед ними угроз постоянно растет. Чтобы соответствовать новым вызовам, компании финансовой отрасли в борьбе как с внешними, так и внутренними угрозами должны действовать проактивно, постоянно совершенствуя свои системы безопасности.

Таблица 1. Топ-5 выявленных утечек конфиденциальной информации в мировых финансовых компаниях в июне—августе 2017 года


Месяц

Фигуранты

Описание

Октябрь

Equifax,
США

Бюро кредитных историй Equifax сообщило о взломе, в результате которого неизвестные получили доступ к конфиденциальным данным около 143 млн клиентов. Кибератака продолжалась с середины мая. В ходе атаки хакеры использовали уязвимость в web-приложении Equifax и смогли получить доступ к некоторым файлам, содержавшим имена, номера социального страхования и водительских удостоверений клиентов. Кроме того, в руки неизвестных попали номера кредитных карт около 209 тыс. американцев, а также документы, содержавшие персональную информацию примерно 180 тыс. клиентов компании. Акции компании на этой информации рухнули «в моменте» на 14%

Август

UniCredit,
Италия

Биографические и кредитные данные 400 тыс. клиентов были похищены из крупнейшего итальянского банка UniCredit (входит в одноименную финансовую группу). Компрометация данных произошла в результате двух хакерских атак, первая из которых случилась еще в сентябре-октябре 2016 года, а вторая — в июне-июле 2017 года. Нарушения произошли по вине «итальянского внешнеторгового партнера» и никак не связаны с внутренними провалами в безопасности, подчеркивают в финансово-кредитном учреждении. Пока неясно, с каким типом хакерской атаки пришлось столкнуться Банку

Август

SEC,
США

Комиссия по ценным бумагам США (Securities and Exchange Commission) обвинила семь человек в инсайдерской торговле. Они разработали схему, благодаря которой получили незаконную прибыль 5 млн долларов на конфиденциальной информации о десятках грядущих слияний и поглощений. Данные были получены у банка, работодателя одного из обвиняемых. Для расследования был задействован SEC Market Abuse Unit’s Analysis and Detection Center, использовавший поведенческие факторы и факты о подозрительно успешной торговле ценными бумагами. SEC упоминает о том, что Даниэль Ривас (Daniel Rivas), бывший вице-президент по IT Bank of America, оказался среди подозреваемых в мошенничестве

Август

FFrees,
Великобритания

Клиенты британской фирмы FFrees, специализирующейся на оказании финансовых услуг, узнали об утечке их конфиденциальной информации спустя четыре месяца от анонимного специалиста по киберраследованиям, который до того раскрыл аналогичный случай в Ffrees Family Finance. Из FFrees утекло почти 95 тыс. почтовых адресов и других персональных данных о клиентах, а также данные о 300 тыс. транзакций

Июнь

Saga Bank,
Япония

Из японского банка Saga похищены данные 169 клиентов, на счетах которых находилось более 100 млн йен. Бывший сотрудник Ацуси Есида проходит по делу о краже информации из базы данных Банка. Он передал информацию членам преступной группы, которые ранее задерживались за разбойные нападения на филиалы Saga. Украденные данные включают имена, адреса, счета и телефонные номера клиентов. Задержаны 11 человек, которые к тому же подозреваются в участии в двух грабежах в банке Saga в августе прошлого года, когда было похищено более 54 млн йен

Источник: компания InfoWatch, 2017 год

Таблица2. Топ-5 выявленных утечек конфиденциальной информации в финансовых компаниях в России в июле—августе 2017 года


Месяц

Фигуранты

Описание

Август

Банк в Якутске

В конце августа в полицию Якутска обратился пожилой мужчина с сообщением о том, что со счета его социальной карты были похищены денежные средства. В ходе реализации оперативной информации сотрудниками уголовного розыска был установлен факт мошеннических действий со стороны сотрудника одного из коммерческих банков. Подозреваемым оказался 23-летний уроженец Якутска. Выяснилось, что злоумышленник похитил денежные средства пенсионера, воспользовавшись его персональными данными после того, как потерпевший посетил Банк. По данному факту возбуждено уголовное дело по ч. 2 ст. 159 Уголовного кодекса «Мошенничество», санкциями которой предусмотрено наказание в виде лишения свободы на срок до пяти лет

Июль

Межрегиональный Центр Финансирования,
город Ядрин

В суд направлено уголовное дело в отношении 28-летней жительницы Ядринского района республики Чувашия. Она обвиняется в хищении чужого имущества путем обмана и злоупотребления доверием, совершенным лицом с использованием служебного положения и в крупном размере. Установлено, что, будучи менеджером компании «Межрегиональный Центр Финансирования», женщина обладала полномочиями по подписанию от имени компании договоров займа, поручительства, залога, имела доступ к персональным данным клиентов. В целях хищения денежных средств общества она оформляла фиктивные договоры потребительского займа на других лиц и подделывала их подписи. После этого оформленные договоры представлялись ей в компанию для получения денежных средств. В надзорном ведомстве отмечают, что за период работы в течение года путем обмана и злоупотребления доверием ею похищены денежные средства на общую сумму около 700 тыс. рублей

Июль

Банк в Омске

Полиция завела уголовное дело на банковского специалиста, который трудится в отделе обслуживания вызовов контактного центра одного из омских банков. По версии следствия, 12 июля сотрудник со своего рабочего места через Интернет отправил третьему лицу сведения о персональных данных клиента. За это специалисту заплатили 7 тыс. рублей. Прокуратура Омска признала, что постановление о возбуждении дела законно и обоснованно. Гражданину грозит уголовная ответственность по статье «Незаконное разглашение сведений, составляющих банковскую тайну, без согласия их владельца, лицом, которому она была доверена или стала известна по работе, совершенное из корыстной заинтересованности». Банковскому специалисту грозят штраф до полутора миллионов рублей, дисквалификация на срок до трех лет или принудительные работы на срок до пяти лет

Июль

Банк
«Русский Стандарт»

Вячеслав Морару установил программу на замок двери контрольно-кассового офиса банка «Русский Стандарт» в Петербурге и получал всю информацию с магнитных полос пластиковых карт. Мужчина признан виновным в незаконном получении и разглашении банковской тайны, а также в неправомерном доступе к компьютерной информации. Кроме устройства для чтения информации с магнитных полос пластиковых карт злоумышленник поставил на банкоматы камеры, которые снимали процесс нажатия на клавиши. Позже все собранную информацию фигурант передал неустановленному лицу.
В качестве вознаграждения за эту «работу» Морару получил 40 тыс. рублей, а в качестве наказания — год лишения свободы в колонии-поселении

Апрель

Россельхозбанк

Сотрудники УФСБ по Тамбовской области пресекли противоправную деятельность сотрудницы регионального филиала Банка. Установлено, что сотрудница имела доступ к банковской информации о коммерческих организациях Тамбовской области. Эти сведения она передавала представителям конкурирующих структур. Возбуждено уголовное дело по статье «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Санкция предусматривает лишение свободы на срок до трех лет либо штраф в размере до 1 млн рублей

Источник: компания InfoWatch, 2017 год

Кто виноват, понятно, а что делать?

«В первую очередь стоит отметить, что с каждым годом неумолимо растет общая заинтересованность бизнеса в том, чтобы заниматься обеспечением “осознанной” безопасности, а не простановкой галочек в очередном отчете перед регуляторами. Важным аспектом при таком подходе является обеспечение комплексной безопасности, которая подразумевает защиту всех потенциальных каналов утечки информации», — высказал свою позицию в комментарии для «Б.О» Артем Погребняк, менеджер по продвижению направления DLP Центра информационной безопасности компании «Инфосистемы Джет».

Интересными в данной ситуации становятся аналитические отчеты компаний, занимающимися реагированием на инциденты ИБ, согласно которым на внутренние утечки информации приходится около 60–70% всех инцидентов ИБ. При этом большая часть внимания и бюджетов компаний все еще тратится на противодействие внешним угрозам, при этом зачастую полностью игнорируются внутренние угрозы.

«Можно тратить любые деньги на обеспечение защиты от новых эпидемий Petya, но при этом не заметить, как в то же самое время ваш коллега Петя выносит ценную информацию прямо у вас под носом на флешке или недавно переслал ее кому-то по почте. Основными проблемами в борьбе с внутренними нарушителями в компании являются постоянно растущее количество каналов коммуникаций и угроз, с ними связанных, а также общий объем информационных потоков, среди которого сотрудникам подразделений ИБ необходимо осуществлять поиск возможных утечек», — продолжил эксперт.

Таким образом, на первый план выходят технологии, которые смогут помочь специалистам по безопасности своевременно реагировать на зарождающийся или случившийся инцидент. К ним можно отнести технологии, появившиеся благодаря Big Data и машинному обучению, — решения, которые дают возможность работать с большими и зачастую неструктурированными объемами данных, распознавать в них потенциальные угрозы безопасности и успешно их нейтрализовывать.

«People Centric Security»: фокус на пользователе

Артем Погребняк, касаясь технологических тенденций, отмечает: «В части новых и активно развивающихся трендов в области борьбы с внутренними нарушениями и утечками конфиденциальных данных я бы отметил технологию User Behavior Analytics (UBA), использующуюся в большинстве современных систем класса SIEM/SOC и Endpoint Detection and Recognition (EDR) и вобравшую в себя много от DLP- и SIEM-систем. Помимо сказанного можно выделить интересную концепцию, называемую «People Centric Security», когда во главу угла становится пользователь. При этом поиск аномалий и нарушений начинает производиться не вокруг какой-то конкретной утечки, а вокруг потенциальных нарушителей. На деле данная концепция при правильном подходе позволяет по косвенным признакам выявлять потенциальные утечки информации еще до того, как сам инцидент ИБ будет совершен».

Отдельным важным аспектом в борьбе с внутренними утечками является необходимость консолидации данных, собранных по всем корпоративным каналам коммуникаций. Зачастую именно благодаря тому, что информация об инцидентах хранится и обрабатывается в одной системе, становится возможным обнаружить зарождающуюся угрозу ИБ или собрать полную информацию о свершившемся событии. Интересным здесь является вопрос о том, возможно ли бороться с внутренними нарушениями только при помощи систем класса DLP или же вся информация должна передаваться в SIEM наряду с другими источниками информации для создания общей картины состояния ИБ внутри компании.

«Универсального ответа на этот вопрос нет, и зачастую у каждого из этих решений есть своя индивидуальная “предыстория”. У кого-то DLP-система стоит уже много лет, и все механизмы по предотвращению утечек в ней давно отлажены; таким образом, система является достаточно самобытной и не требует дополнительного анализа. Кто-то же, наоборот, активно эксплуатирует SIEM и держит всю информацию по всем инцидентам в ней. В этом случае появление дополнительного “интерфейса” в виде DLP будет лишь раздражающим фактором, и естественным желанием станет перенести всю информацию в одну систему», — таково мнение экспертов из компании «Инфосистемы Джет».

Впрочем, важно всегда помнить, что никакие новейшие и/или дорогостоящие ИБ-решения, внедряемые в инфраструктуру, не смогут сохранить конфиденциальную информацию внутри компании, если обеспечение и эксплуатация данных решений будет производиться без должного внимания к ним и понимания того, как данные системы должны работать.

МНЕНИЕ ЭКСПЕРТА

Дмитрий Князев, заместитель директора департамента розничных продуктов Компании BSS

 

По данным InfoWatch, количество утечек конфиденциальной информации в России за последний год возросло почти в два раза. Стоит говорить о безусловном тренде — постоянном ежегодном росте утечек конфиденциальной информации, основной причиной которых, скорее всего, является распространение диджитализации.

Особенно утечкам подвержены персональные данные, платежная информация, информация, составляющая коммерческую тайну, а основные каналы утечек по результатам анализа российского рынка — почта, внешние носители, документы в печать (наша особенность), мессенджеры и облачные хранилища.

Как неоднократно говорилось, любые технические и программные средства бесполезны без соблюдения элементарных правил безопасности и принятия организационных мер. В случае внутреннего мошенничества, как и в случае внешнего с помощью методов социального инжиниринга, человеческий фактор становится самым слабым звеном в цепи.

Причины утечек далеко не всегда чисто технические, и опасность не всегда приходит извне. По некоторым данным, около половины российских компаний сталкивались с попытками кражи информации бывшими сотрудниками.

По информации представителей Газпромбанка, занимающихся проектом мониторинга и минимизации внутреннего мошенничества, внутренние угрозы — один из главных фокусов в этом году, так как большинство крупных хищений, по их мнению, происходят внутри. В банке реализуют комплекс организационных мер и внедряют ПО, позволяющие выявлять поведенческие отклонения сотрудников, имеющих доступ к финансовой информации и персональным данным.

Только комплекс организационно­технических мер позволит снизить риски как внутреннего, так и внешнего мошенничества. Компания BSS как поставщик банковского ПО уделяет вопросам безопасности пристальное внимание. Наши решения CORREQTS Retail и CORREQTS Corporate проходят аудит безопасности, а система противодействия мошенничеству «FRAUD­Анализ» — одна из самых востребованных на рынке.

Реклама



Сейчас на главной