logo
Диплом / 18

1.6 Инсайдеры

Исследование, проведенное компанией Perimetrix, показало, что по данным опроса, в 2007 году лишь 5% компаний избежали инсайдерских утечек. 19% респондентов лишались информации от 6 до 25 раз, а 7% - более 25. Специалисты и руководители отделов ИТ и ИБ называют утечки самой большой (76%) угрозой электронной безопасности.

Основная причина заключается в том, что лишь немногие организации (24%) используют системы защиты от утечек.

На настоящий момент угроза инсайда является угрозой номер один, для безопасности АБС. В связи с этим, предлагаю ознакомится с документами, которые либо пресекают деятельность инсайдеров на законодательном уровне, либо вводят нормативные акты, значительно ужесточающие требования к операционной деятельности банков. О двух из них уже говорилось в пункте 1.3 данной дипломной работы.

Федеральный закон «О персональных данных». Этот закон предъявляет целый ряд требований к безопасности персональных данных, а также предусматривает ответственность для тех лиц, которые украли информацию или пытаются ею злоупотреблять. Все эти требования вступили в силу в феврале 2007 года.

Стандарт Банка России по ИТ-безопасности. В область его действия попадают все предприятия кредитно-финансовой сферы. Стандарт выдвигает большое количество требований к системе ИТ-безопасности финансовых компаний, объединяя положения международных нормативов и передовой опыт (best practices). Помимо всего прочего, норматив предусматривает внедрение системы защиты от инсайдеров и механизмов контроля над чувствительной информацией.

Не менее важным нормативным актом для кредитно-финансовых организаций является соглашение Basel II, которое выдвигает целый ряд требований к резервированию капитала для покрытия рисков, системе управления рисками и т.д. В частности, оно предписывает всем банкам взять под контроль операционные риски, в состав которых входит угроза утечки и злонамеренных действий инсайдеров. Более того, положения соглашения Basel II являются обязательными для исполнения, хотя и с 2009 года. 

Соглашение Basel II «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.

Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. Исходя из ряда исследований российского кредитно-финансового сектора и опыта стран «большой десятки» именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Это определение включает юридический риск, но исключает стратегический и репутационный риски. Таким образом, под определение операционных рисков попадают прежде всего действия инсайдеров - кража конфиденциальной информации, мошенничество, халатность и безалаберность. Разобраться в структуре операционных рисков позволяют результаты исследования «Соглашение Basel II в России 2006: операционные риски — основная проблема банков», при проведении которого компания InfoWatch и «Национальный Банковский Журнал» опросили более 30 российских банков и установили наиболее опасные компоненты операционного риска. Заметим, что варианты ответов были составлены точно в соответствии со структурой операционного риска в пункте 644 соглашения Basel II (Рисунок - 1).

 

Рисунок - 1

Данное исследование показало, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием за ними следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, поскольку кредитно-финансовые организации традиционно являются уязвимыми именно по отношению к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. То же самое относится к внутренним процессам, которые выступают в роли связующего звена между техникой (системами — на них пришлось 35%) и персоналом (который представляет основную угрозу — так считает 91% респондентов).

Можно сделать вывод, что именно угрозы ИT-безопасности, в особенности действия инсайдеров, представляют собой наиболее важную составляющую операционных рисков. При этом начиная с 2009 года каждая российская кредитно-финансовая организация должна внедрить систему управления данным видом рисков и резервировать под них капитал. Специфика нынешнего положения дел такова, что внешними угрозами для банков, по сути, являются только DOS-атаки. Злоумышленники в подавляющем большинстве случаев не тратят силы на преодоление системы защиты информации банков, которые обычно находятся все же на достаточно приличном уровне. А вот внутренние, инсайдерские атаки представляют действительно серьезную угрозу. Как правило, к защите от внутреннего нарушителя банки относятся достаточно небрежно. А зря, поскольку инсайдер может нанести весьма существенный урон. Методы борьбы с инсайдом существуют. Использование технических средств: • строгая аутентификация сотрудников (например, с помощью USB-ключа или биометрии); аудит всех действий всех пользователей включая администраторов в сети; • использование средств защиты конфиденциальной информации от инсайдеров; • шифрование конфиденциальных данных. Использование организационных мер: • обучение сотрудников, отвечающих за информационную безопасность; • повышение личной ответственности сотрудников; • постоянная работа с персоналом, имеющим доступ к конфиденциальной информации инструктаж, обучение, проверка знания правил и обязанностей по соблюдению информационной безопасности.