Спецпроекты

Потеря информации: способы борьбы

Интеграция ИТ в банках
Информация – жизненно важный ресурс в банковском деле. Она хранится и обрабатывается в вычислительных системах банков, а потоки данных перемещаются по внутренним и внешним коммуникациям: где контролируемо, а где совершенно бесконтрольно. Безопасность ее использования в банках порой оставляет желать лучшего. Выходом может стать применение комплекса предупредительных мер.

Без вины виноватые

"Запретительная" политика не учитывает, что некоторая доля рисков в процессе эксплуатации КИС возникает не только из-за несанкционированных действий, но и в случае непреднамеренных ошибок сотрудников. Они также могут привести к несанкционированному изменению информации и причинить ущерб финансово-кредитной организации.

Например, большинство сотрудников одного из банков завели обычай хранить пароли на липком листочке бумаги, приклеенном снизу к клавиатуре. При таком подходе руководству организации остается лишь уповать на лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов.

Поэтому, помимо внедрения технических и программных средств, необходимы комплексные меры предупредительного характера. Они позволяют информировать служащих о недопустимых действиях с информацией ограниченного использования. Хороши все средства: законодательные инициативы, в арсенале которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последнее случается даже не злонамеренно, а просто потому, что есть возможность обработки данных в домашних или других условиях. Тут вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от несанкционированного доступа.

Однако в банках часто применяется сразу несколько информационных систем, и их сотрудникам физически трудно, почти невозможно запомнить аутентификаторы всех своих аккаунтов. Особенно если сотрудники ИТ-департамента включают режим периодической смены паролей с проверкой на уникальность и надежность. "Сотрудники будут использовать "подручные средства", чтобы облегчить себе жизнь. Это повлечет вероятность использования аккаунтов других сотрудников, злоупотребление доверием коллег, а при наихудших сценариях – хищение и утечку информации под прикрытием чужих рабочих профилей. По сути, несанкционированный доступ к данным", – отметил генеральный директор компании "Индид" Алексей Баранов.

Значительную часть вопросов по ИБ могут разрешить новейшие программные и аппаратные технологии и комплексы. Можно использовать такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами: многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам банка.

Цена вопроса

Осмысленность внедрения подобных технологий обусловливается экономическим фактором. В таблице приведен расчет возврата инвестиций от внедрения программного комплекса Indeed-Id Enterprise ESSO.

Параметр экономии Рублей в год Часов в год на пользователя, в соответствии с применением технологии строгой аутентификации Indeed-Id
Доступ пользователя к рабочему столу Windows 598 1,8
Доступ пользователя в ИТ-системы 2992 8,8
Периодическая смена пароля учетной записи Windows 17 0,05
Периодическая смена пароля учетных записей ИТ-систем 85 0,25
Блокировка рабочего стола Windows 149 0,44
Инцидент "Забытый пароль" учетной записи Windows 119 0,34
Инцидент "Забытый пароль" учетной записи ИТ-системы 119 0,34
Post Single Sign-On Automation 498 1,5
Итого на одного пользователя в год 4580 13,52
Итого на всех пользователей в год 9159133 27040

Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб, на которых, согласно расчетам компании, возможна экономия средств. В правой – результаты этой экономии в течение одного года.

Как следует из приведенной таблицы, при количестве пользователей КИС около 2 тыс. сотрудников и средней зарплате в компании 60 тыс. руб., цифра экономии средств на разрешение инцидентов и проведение периодических мероприятий ИТ-отдела, только по этому аспекту обеспечения ИБ банка, в течение года может превысить 9 млн руб. Вряд ли в банковском бизнесе найдется руководитель, решающий игнорировать источник потерь такого масштаба в долгосрочной перспективе. Тем более если сумма соотносится с размером годового ИТ-бюджета банка на реализацию мер по защите корпоративной информации.

Технический консультант компании Symantec Олег Головенко отметил, комментируя исследование, проведенное его компанией в 2011 году, что объемы утечек данных в российских компаниях увеличиваются год от года. "Результаты проведенного нами исследования наглядно показывают, что из-за действий инсайдеров (умышленных или совершенно невинных) конфиденциальные данные компаний беспрепятственно покидают корпоративные сети и утекают во внешний мир", – подчеркнул он.

Технологии на рынке существуют, а руководителям банковских учреждений стоит сделать выбор: будут сотрудники банка клеить под панель рабочих столов стикеры с паролями или начнут применять безопасные технологии в работе с информацией. Принятые в этом направлении решения окажут значительное влияние на качество, безопасность и, как следствие, успешность в банковском бизнесе. Выражение "деньги предпочитают тишину" имеет непосредственное отношение к происходящему сегодня в круговороте банковских информационных потоков и бурному развитию мобильного банкинга.

Сергей Мажаров


Точки роста

BIM в России. Что его стимулирует, а что — тормозит

Информационное моделирование приходит в строительную отрасль.

Стратегия месяца

LegalTech грозит заменить юристов

Средства искусственного интеллекта все чаще используются для обработки обращений за юридической помощью.