Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Риски утечек конфиденциальной информации увеличиваются. Финансовый сектор и раньше входил в тройку отраслей с самым большим количеством таких инцидентов, а теперь еще и лишился возможности использовать иностранные средства защиты информации. Чем банкам ответить на новые вызовы?
Обострение геополитической ситуации неизменно сопровождается ростом киберугроз. Многие из таких угроз, реализованные в виде мощных DDoS-атак, ведущие российские банки уже испытали на себе. «Для достижения преступных целей в ход идет все: эксплуатация уязвимостей, подкуп сотрудников, методы социальной инженерии, активация ранее неизвестных “закладок” в ПО», — отметил Алексей Антонов, управляющий партнер Swordfish Security.
Иностранные вендоры под давлением властей могут перевести незаявленные функции ПО в «боевой режим», открывающий доступ хакерам в корпоративные информационные системы. Также в распоряжении злоумышленников имеются базы с уязвимостями «нулевого дня».
«Новые риски утечек связаны прежде всего с кратным ростом спроса на конфиденциальную информацию. Самыми востребованными остаются персональные данные, которые используются не только в различных мошеннических схемах, но в социальной инженерии», — рассказала Виолетта Красова, эксперт департамента информационной безопасности Softline.
При этом киберпреступники прибегают к помощи изнутри, которая требует гораздо меньше финансовых затрат и усилий. Активизации инсайдеров, по мнению эксперта, способствуют усиление конкуренции на рынке труда и неуверенность сотрудников в завтрашнем дне. В этих условиях наличие базы данных клиентов, условий их обслуживания и так далее дает специалисту конкурентное преимущество при поиске работы.
Хакеры собирают и техническую информацию. Их интересуют структура сети организации, средства защиты, которые в ней используются, технологические учетные данные. «Добывают эти сведения как в ходе целенаправленных атак, так и у бывших сотрудников, владеющих такими данными», — констатировал Дмитрий Горлянский, руководитель службы технического сопровождения продаж «Гарда Технологии».
Дополнительный вызов для служб ИБ банков — уход с рынка зарубежных поставщиков ПО и «железа», с которым раньше никто не сталкивался. «Условно, еще вчера файрвол мог работать, а сегодня вендор не продлил лицензию и у ИБ-специалиста возникла “дыра в безопасности” на ровном месте», — признал трудности Алексей Парфентьев, руководитель отдела аналитики Searchinform.
Для инфраструктуры ИБ банков, которые всегда старались внедрять современные программные продукты (преимущественно зарубежного производства), это может стать серьезной проблемой.
Задачи минимизации рисков возникновения инцидентов по компрометации данных внутри организации решают DLP-системы. Защита от внутренних инцидентов по компрометации данных, сбор доказательств нарушений в работе с конфиденциальной информацией, а также контроль соответствия требованиям регулятора и риск-менеджмент стали основными задачами российских систем этого класса.
Три российских разработчика и поставщика DLP-систем были включены в 2017 году компанией Gartner в исследовании Magic Quadrant for enterprise data loss prevention в раздел «Нишевые игроки»: Zecurion, InfoWatch и Searchinform.
Во время пандемии коронавируса у российских систем DLP появились новые функции, к примеру контроль за использованием рабочего времени «удаленными» сотрудниками. И последние события, признал Дмитрий Горлянский, потребовали от сотрудников служб безопасности пересмотра текущих настроек и адаптации политик DLP к новым рискам.
По словам Алексея Парфентьева, «любая хорошая, правильно настроенная DLP-система позволяет нейтрализовать риски внутренней безопасности, связанные с человеческим фактором, в том числе риск утечки конфиденциальной информации. Отечественные системы этого класса без проблем справляются с ними».
Однако, как показало проведенное компанией Searchinform исследование, такие системы использует только треть российских компаний, а в организациях, где DLP-системы применяются, количество лицензий не покрывает всего парка компьютерного оборудования. «Именно это негативно сказывается на защите данных, а также увеличивает количество внутренних инцидентов в банках», — считает эксперт.
По словам Виолетты Красовой, современные DLP-системы имеют модульную структуру, и банк выбирает технологии и каналы самостоятельно. Таким образом, покрытие может быть неполным. Она рекомендует провести инвентаризацию и в случае необходимости расширить систему путем дозакупки модулей и технологий. «Если банк использует полноценную DLP-систему, а также произведена ее тонкая актуальная настройка, то покрытие можно считать достаточным», — заявила Виолетта Красова. И наоборот, даже если приобрести DLP-систему в максимальной комплектации, но регулярно не проводить инвентаризацию ее политик и их тонкую настройку, то реализовать весь ее функционал на 100% не получится.
DLP-система — это всего лишь инструмент, который нужно уметь использовать. «Для эффективной работы таких систем необходимо, во-первых, разобраться в том, какие файлы являются для компании конфиденциальными, а во-вторых, понять, кто к этим файлам может иметь доступ и как должен быть организован процесс обмена такой информацией», — рассказал Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности». Иными словами, в DLP-системах должны использоваться простые правила контроля, настроенные с учетом специфики бизнеса компании.
У систем этого класса важная роль в архитектуре ИБ компании: это основа для реагирования на внутренние инциденты по компрометации данных. Но их возможности небезграничны. «Даже самые продвинутые DLP-системы не способны предотвратить утечки данных, которые происходят напрямую через сотрудников, в том числе менеджеров высшего звена», — заявил Алексей Антонов. По его словам, в ответ на комплексные кибератаки сегодня необходимо так же комплексно подходить к обеспечению ИБ — развивать процессы, осуществлять полный мониторинг инфраструктуры, защищать ее и выстраивать безопасный процесс разработки.
Как показало исследование «Особенности защиты информации в финансовом секторе», проведенное компанией «Ростелеком-Солар» в 2021 году, 90% утечек конфиденциальной информации из банков и страховых компаний — это персональные данные клиентов и сотрудников (60%), а также данные платежных карт (30%).
Больше трети утечек приходится на интернет (личная почта, внешние облачные хранилища), чуть меньше трети — на мессенджеры и корпоративную электронную почту. Также для компрометации внутренней информации используются съемные носители, печать на принтере и специальные информационные системы организации.
И DLP-системы должны перехватывать трафик по всем этим каналам и применять к нему инструменты поведенческого анализа (User Behavior Analitics, UBA).
Функции защиты от передачи конфиденциальных файлов по электронной почте, в мессенджерах, на съемных носителях, а также через AirDrop- и Bluetooth-соединения в современных системах уже реализованы, применяются на практике и хорошо зарекомендовали себя. И сейчас, когда риски утечек внутренних данных стали выше, у банков и финансовых организаций появилась потребность в решениях, защищающих от копирования документов путем сканирования, фотографирования, распечатывания. Они могут строиться на использовании специальных меток, которые наносятся на документы, или на разграничении доступа, отметил Алексей Антонов.
В новых условиях службы информационной безопасности банков стали больше внимание уделять кадровой безопасности, поскольку именно сотрудники умышленно или случайно становятся субъектами инцидентов по компрометации конфиденциальных данных компании. «Также в банках стали больше обращать внимание на предупреждение внешних рисков: на входящую почту и сообщения с предложениями от сторонних HR служб, а также на рассылки с призывами и так далее», — констатировал Дмитрий Горлянский.
Еще один запрос кредитно-финансовых организаций назвал Павел Коростелев. По его словам, сегодня востребован динамический анализ документов, при котором обеспечивается их автоматическая категоризация с низким уровнем ошибки. «Второй запрос — это снижение вероятности ложных срабатываний, потому что это самая большая боль в современных DLP-системах», — считает он.
В связи с уходом зарубежных вендоров компаниям финансового сектора требуются доработки поддержки отечественной инфраструктуры: от мессенджеров до операционных систем и даже отечественного «железа», где его используют, отметил Алексей Парфентьев. «Разработчикам сейчас хватает забот и, к сожалению, они в большей степени направлены не на развитие функционала DLP-систем, дополнения их новыми возможностями, а на повторную реализацию тех функций, которые уже есть, но для нового окружения», — отметил эксперт.
Хотя российские программные продукты этого класса по уровню проникновения в компании опережают зарубежные, для их адаптации к результатам импортозамещения во всех сегментах IT-рынка потребуется немало времени и средств разработчиков.
Российский рынок систем предотвращения утечек информации достиг зрелости. Зрелыми с технологической точки зрения являются и представленные на нем программные продукты, построенные на технологиях ИИ, машинного обучения, анализа больших данных и предиктивной аналитики. Некоторые из них известны не только в России, но и за ее пределами. К примеру, cистема DeviceLock DLP (с конца 2021 года продвигается под брендом «Кибер Протего») используется в 90 странах.
Сегодня российские разработчики DLP-систем, по словам Павла Коростелева, держат руку на пульсе — отслеживают появление у клиентов, в том числе из банковского сектора, новых запросов.
«Отечественные разработчики не могут не удовлетворить новые запросы клиентов: у них нет выхода. Либо они подстраиваются под заказчиков и остаются на российском рынке, либо переориентируются на западные рынки и клиентов и направляют все свои действия в ту сторону, — считает Алексей Парфентьев. — Но последнее сложно реализовать: во многих западных странах отечественные ИБ-продукты в последние годы встречают прохладно. Так что переориентация на эти рынки выглядит крайне неперспективной».
Несмотря на необходимость вписывать свои готовые системы в ландшафт софта и «железа» российского происхождения, разработчики продолжают создавать новые решения. По оценке Алексея Антонова, их появления можно ждать в течение 12–15 месяцев.
Надо ли задумываться о переходе на российские DLP-системы банкам и другим игрокам финансового рынка? Мнения экспертов по этому вопросу разделились. Дмитрий Горлянский видит несколько причин для перехода. Во-первых, зарубежные вендоры в любой момент могут объявить о прекращении поддержки своих клиентов в России, во-вторых, совокупная стоимость владения (TCO) такими системами уже выросла, в-третьих, нельзя исключать риски появления программных закладок в ПО из недружественных стран. И все это сказывается на доверии к зарубежным DLP-системам.
Три российских разработчика и поставщика DLP-систем были включены в 2017 году компанией Gartner в исследовании Magic Quadrant for enterprise data loss prevention в раздел «Нишевые игроки»
«Тенденция внедрения доступного на рынке ПО, в том числе и российского, наблюдается у всех банков, и DLP — не исключение, — отметила Виолетта Краснова. — Приостановка технической поддержки рядом производителей критична для обслуживания систем». Павел Коростелев не уверен в том, что переход банков на отечественные системы предотвращения утечек — вопрос ближайшего будущего, поскольку сейчас речь идет о миграции на российскую инфраструктуру. «И только потом начнется внедрение каких-то прикладных вещей», — считает эксперт.
Некоторые банки идут на замену импортного поставщика. Россельхозбанк завершил внедрение системы предотвращения утечек конфиденциальной информации и системы для обеспечения безопасности веб-доступа от компании Zecurion. Внедрение заняло меньше пяти месяцев, так что свой выбор банк сделал еще до того, как попал под санкции США и Великобритании.
«Тем кредитным организациям, которые сейчас экстренно переходят на российские решения, приходится сложно, — констатировал Алексей Парфентьев, — поэтому некоторые вендоры помогают упростить этот процесс. Мы запустили акцию по переходу на наши SIEM- и DCAP-системы за цену техподдержки без оплаты лицензий».
Также особые условия перехода на решения класса DLP предлагает компания Zecurion. Воспользоваться предложением могут любые организации с действующей подпиской на аналогичные иностранные продукты. Комфортные условия перехода с зарубежных систем предотвращения утечек конфиденциальной информации готов предоставить клиентам еще один вендор.
Перед зарубежными аналогами у российских DLP-систем есть ряд преимуществ, напомнил Дмитрий Горлянский: словари, списки, категории и русскоязычная поддержка. С поддержкой вендоров банкам будет проще решиться на переход, на который их нацеливает регулятор. И хотя, как считает Алексей Антонов, полностью отказаться от иностранного ПО пока не удастся, доверие к зарубежным вендорам в области ИБ безнадежно подорвано.
Создание цифровых валют центральных банков — один из важнейших трендов в цифровизации банковского сектора во всем мире. Более 100 стран ведут работу по их запуску. В их числе такие государства, как Китай, Объединённые Арабские Эмираты, ЮАР, Швеция, Франция, Канада, Южная Корея и др.