Елена Черникова, «РТК-Солар»: Две трети утечек информации из банков являются умышленными
О последних тенденциях в структуре утечек информации из финансового сектора, других актуальных угрозах для банков и новых направлениях развития DLP-систем в интервью TAdviser рассказала Елена Черникова, старший бизнес-аналитик компании «РТК-Солар».
Принято считать, что банки – одна из самых защищенных сфер в плане ИБ. Это справедливо для сегодняшней ситуации? Утечки и другие внутренние угрозы в финансовом секторе встречаются нечасто?
Елена Черникова: Действительно, с одной стороны, финансовый сектор – одна из самых защищенных сфер в России с точки зрения информационной безопасности. Помимо существенных материальных возможностей, банки и другие организации из этой отрасли стимулирует активная позиция регулятора – Центрального Банка РФ. В 2017 году он совместно с НПФ «Кристалл» разработал национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Таким образом, финансовая сфера пока является единственной, где введены централизованные регулятивные требования по информационной безопасности.
В частности, в этих требованиях отражены директивы по защите информации от утечек. Кроме того, на ГОСТ Р 57580.1-2017 замыкаются другие документы ЦБ, например, постановление N 683-П от 17 апреля 2019 г. «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Согласно этому документу, к 1 января 2023 года все кредитные организации должны соответствовать четвертому уровню защищенности в соответствии с ГОСТом. Это означает, что у субъекта финансовой сферы должны быть реализованы все меры по защите информации, включая защиту данных от утечек.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы
Однако на другой чаше весов находится фактор ценности той информации, которой обладают банки: это данные о финансовых операциях и финансовом состоянии клиентов, сред которых физические и юридические лица. И данные эти, в зависимости от объема финансовых ресурсов клиентов, могут представлять исключительную ценность и интерес для злоумышленников. То есть, высокая степень защищенности информационных активов соответствует их крайне высокой стоимости и привлекательности для потенциальных злоумышленников.
Какова динамика утечек информации в финсекторе?
Елена Черникова: В последние два года компания «РТК-Солар» проводит довольно глубокие исследования по утечкам информации. Анализируя результаты опросов среди финансовых организаций, мы выявляем актуальное состояние систем контроля утечек данных.
В 2022 году мы опросили более 350 организаций. Согласно ответам респондентов, структура утечек существенно изменилась. Ранее, в 2021 году, и особенно – в 2020 году, мы говорили о том, что на динамику нарушений информационной безопасности главным образом повлиял массовый перевод сотрудников на удаленку, причем это касается не только финансовой сферы, но и любой другой отрасли. Такое изменение условий работы потребовало серьезной корректировки механизмов бизнес-процессов. Естественно, определенное время заняла перенастройка инфраструктуры организаций под новую реальность. С точки зрения ИБ прежде всего требовалось организовать контроль удаленного доступа.
В результате этого временного технологического и организационного «замешательства» в 2020-2021 годах количество утечек из финансовых учреждений, причем прежде всего утечек крупных, возросло. Представители двух банков из опрошенной нами выборки признались, что в 2021 году зафиксировали утечки данных, ущерб от каждой из которых составил свыше 100 млн рублей. В 2022 году, после того, как технологические процессы управления «удаленкой» были отлажены, а часть сотрудников вернулась в офисы – максимальный ущерб от утечек значительно снизился. Подтвержденных респондентами случаев утечек информации со «стоимостью» более 1 млн рублей не зафиксировано вовсе, то есть размер максимального ущерба снизился в 100 раз. Правда, при этом, согласно ответам участников опроса, увеличилось количество мелких утечек.
Как я сказала выше, банки приближаются к знаковой дате – 1 января 2023 года, когда им необходимо будет соответствовать более жестким требованиям по защите информации. На наш взгляд, это не могло не отразиться в лучшую сторону на уровне информационной безопасности в финансовой сфере. По состоянию на октябрь 2022 года, когда проходил наш опрос, половина респондентов считали, что в краткосрочной перспективе (до конца 2022 года) ситуация с утечками улучшится. В 2021 году оптимистов было всего 10%.
В 2023 году уровень контроля за утечками информации в банках станет еще выше, соответственно, при условии отсутствия технологических «черных лебедей» в части появления принципиально новых сценариев утечек, мы ожидаем дальнейшего уменьшения количества нарушений.
Каких утечек больше в банках – умышленных или случайных? Чем это вызвано?
Елена Черникова: В финансовом секторе кардинально изменилось соотношение утечек информации по характеру умысла. Если в 2021 году в банках превалировали случайные нарушения – их было 80% от совокупности утечек, то по итогам опроса 2022 года мы пришли к выводу, что доля случайных утечек снизилась до 33%. Соответственно, на первый план вышли утечки умышленного характера – их доля в этом году составила 67%.
На мой взгляд, в значительной мере снижение доли случайных нарушений в банках связано с более активным внедрением и использованием современных DLP-систем. Как правило, если организация использует такую систему, то сотрудники извещаются об этом. Соответственно, само присутствие в корпоративной среде системы предотвращения утечек позволяет повысить уровень дисциплины персонала. Добросовестные сотрудники становятся аккуратнее в работе: проверяют адреса, по которым собираются отправить ту или иную информацию, не выкладывают конфиденциальные данные в общие папки на файловом сервере или на Google Disc, не посылают рабочую документацию на личную почту и т.д. Люди начинают осознавать, что подобные действия – это серьезные нарушения политики ИБ, поэтому более внимательно относятся к своим обязанностям.
Кроме того, на резкое изменение соотношения случайных и умышленных утечек повлияло то, что сильно выросло количество именно мотивированных нарушений. Во-первых, это связано с резким ростом количества кибератак на фоне обострившейся политической борьбы в мире. Во-вторых, злоумышленники внутри компаний почувствовали, что в новой реальности можно извлечь серьезную выгоду из конфиденциальной информации. Немаловажно, что в последние годы рост зарплат явно не поспевает за ростом цен, то есть покупательная способность населения падает. В результате у некоторых сотрудников возникают соблазны подработать незаконным способом. Как правило, внутренние злоумышленники не пытаются добыть огромные объемы данных, понимая, что в такой ситуации трудно остаться незамеченными, а стремятся извлечь выгоду по-быстрому, украв определенные фрагменты записей персональных данных или другой конфиденциальной информации.
Также стоит отметить, что в последнее время стало намного больше возможностей по продаже данных. Сейчас практически любой человек может зайти в даркнет и оценить структуру предложения и спроса на информацию, понять, сколько стоит та или иная единица данных.
Что для банков является конфиденциальным информационным активом? Какая информация чаще утекает из финсектора?
Елена Черникова: Главные активы каждого банка – это данные платежных карт (их безопасность регламентируется стандартом PCI DSS), персональные данные клиентов и их финансовая информация, то есть сведения о вкладах, кредитах и других продуктах. Такая информация представляет очень большой интерес для злоумышленников и может быть довольно быстро продана на черном рынке. Кроме того, надо учитывать тот факт, что многие банки реализуют инвестиционные проекты в интересах самых разных организаций, а значит, защиты требуют и данные юридических лиц. Эти сведения скрупулезно категорируются и зачастую сопровождаются методикой оценки ущерба в случае утечки определенного документа. Это облегчает банкам расчет эффективности DLP-системы, поскольку они понимают, сколько стоит та или иная конфиденциальная информация.
Согласно нашему новому исследованию, из банков чаще стала утекать конфиденциальная информация категории «коммерческая тайна» (инвестиционные планы, результаты маркетинговых исследований, сведения о внутренних закупках и т.д.). Частота упоминания этой категории в ответах респондентов выросла с 10% в 2021 году до 30% в 2022 году. В том числе это может быть связано с тем, что в 2022 году произошел существенный отток из страны платежеспособных клиентов, сопровождающийся выводом денежных средств. В результате между кредитными организациями обостряется конкуренция за клиентов, а в конкурентной войне используются разные средства.
Какие еще внутренние угрозы, помимо утечек, характерны для финансовой отрасли?
Елена Черникова: Мы уже два года подряд проводим исследования по итогам пилотирования нашей DLP-системы Solar Dozor в организациях самых разных отраслей. В рамках этих отчетов представлены «портреты типичных нарушителей трудовой дисциплины» и определены наиболее распространенные внутренние нарушения. Так вот, среди финансовых организаций чаще всего по вине сотрудников случается неконтролируемый вывод конфиденциальной информации за периметр (36%) и нецелевое использование рабочего времени (25%), также выявляются признаки коммерческого сговора, нарушения ограничений и запретов, конфликт интересов (16%). Наиболее частые каналы нарушений – пересылка конфиденциальной информации на личные почтовые ящики (более 37%), копирование данных на флешки и слив данных в мессенджеры (по 17% каждый).
Поскольку самые жесткие требования ЦБ РФ распространяются именно на банковский сектор, нарушения в нем встречаются реже, чем в некредитных организациях финансовой сферы.
Современная DLP-система позволяет фиксировать самые разные внутренние нарушения. Помимо утечек конфиденциальной информации, коммерческого сговора и нецелевого использования ресурсов с ее помощью можно на ранних стадиях выявлять признаки конфликтов в коллективе, формирования внутренних группировок и т.д. Можно отслеживать эмоциональную реакцию коллектива на ключевые события во внутренней корпоративной жизни: громкие назначения, изменения корпоративных правил и т.д.
По траектории движения информации внутри организации также можно определять источники ее распространения. Это особенно важно для чувствительной внутренней информации, такой как данные о заработной плате, премированиях, других видах поощрений, распространение которой может вызывать значительные колебания настроений среди сотрудников. Часто по таким типам сведений с помощью DLP-системы можно отследить, что источниками являются поддерживающие подразделения организации – бухгалтерия, кадровая служба, секретариат.
Службы безопасности банков (информационная безопасность, экономическая безопасность, внутренняя безопасность) уже поняли, что DLP-система – это не только эффективное средство предотвращения утечек данных, но и надежный инструмент контроля коммуникаций сотрудников, который может служить источником информации при проведении расследований и установлении конкретных обстоятельств, в которых произошло нарушение. Здесь необходимо отметить, что законность использования DLP-систем как доказательной базы полностью определяется корректностью ее «прописывания» в локальных нормативных актах организации-работодателя. Нашим новым клиентам мы в обязательном порядке предлагаем услуги по легитимизации DLP-системы именно для таких целей.
Вообще, за последние несколько лет DLP-системы вышли на качественно новый уровень развития. Классические решения, которые можно отнести к условному классу DLP 1.0, умели контролировать периметр на предмет передачи конфиденциальной информации за его пределы и блокировать подобные попытки. Современные решения, входящие в класс DLP 2.0, имеют продвинутые аналитические функции – в частности, функциональность UBA (User Behavior Analitycs), позволяющую изучать поведение пользователей и выявлять аномалии на основе построения графа коммуникаций. Таким образом, DLP-системы нового поколения отлично справляются не только с контролем периметра, но и анализируют внутренние процессы в организации. Нарушение внутренних правил, случаи злоупотребления полномочиями, корпоративное мошенничество – все это находится в зоне внимания систем DLP 2.0. Поэтому службы экономической безопасности все чаще становятся второй большой группой пользователей DLP-систем и через поисковые вопросы выявляют «красные флажки» нарушения корпоративных стандартов, а затем незаметно проводят целевые расследования.
На пилотных проектах по внедрению системы Solar Dozor мы часто встречаем случаи, когда у пользователя на рабочей станции есть папка с названием «Подработка». Сканируя эту папку, модуль Dozor File Crawler порой находит печати, образцы подписи руководителей, доверенности и т.д. Это позволяет сотруднику оформлять различные документы с целью получения дополнительных доходов. На практике нам приходилось сталкиваться с тем, что пользователи злоупотребляют своими правами доступа в корпоративные системы. Например, недобросовестные менеджеры банков могут отслеживать неактивные клиентские счета и незаметно списывать с них небольшие суммы. Это уже стандартная схема внутреннего мошенничества, которая хорошо выявляется с помощью DLP-системы.
Есть также интересные кейсы, связанные с техническим (подставным) кредитованием. Это те случаи, когда менеджер банка в нарушение корпоративных стандартов выдает необеспеченный кредит либо имеет другие индикаторы риска. Часто так делают по просьбе «хороших знакомых». Естественно, такой кредит повышает уровень проблемных активов банка. В некоторых случаях менеджеры оформляют высокорисковые кредиты, чтобы выполнить свой план продаж банковских продуктов. Такие случаи также выявляются системой на основе анализа коммуникаций сотрудника.
Каков уровень проникновения DLP-систем в финансовом секторе? Есть ли здесь место для развития?
Елена Черникова: В 2022 году более 75% участников нашего исследования сообщили, что их организации используют «надежные средства защиты от утечек», в первую очередь DLP-системы. Годом ранее доля банковских респондентов, которые подтверждали наличие систем предотвращения утечек информации, составляла 70%. Такую динамику я связываю с приближением 1 января 2023 года, когда вступят в силу новые требования регулятора к ИБ в финансовой сфере.
Почему доля проникновения DLP среди финансовых организаций до сих пор составляет не 100%? Я связываю это с тем, что в некредитном секторе финансового рынка системы предотвращения утечек используются значительно реже. Речь о страховых компаниях, негосударственных пенсионных фондах, паевых инвестиционных фондах, где требования Центробанка не столь жесткие, как в кредитных организациях. Здесь мы видим серьезные перспективы роста для направления продаж наших DLP-продуктов. Наша задача – убедить те организации, где внедрение DLP-систем пока не является обязательным, что такие решения способны удовлетворить самые разные потребности в сфере безопасности, пусть пока далеко не все заказчики эти потребности ощущают.
Какие внутренние угрозы будут актуальны для финсектора в 2023 году? С чем это будет связано? Что смогут противопоставить этому разработчики систем защиты от внутренних угроз?
Елена Черникова: Принципиального изменения ландшафта внутренних угроз мы не ожидаем. Если и возникнут новые угрозы, то они окажутся из разряда «черных лебедей», то есть будут спровоцированы факторами, которые невозможно спрогнозировать. Но, конечно, в перспективе появление новых угроз вполне возможно, поскольку варианты реализации известных угроз все лучше контролируются благодаря развитию DLP, то есть у злоумышленников становится все меньше возможностей для реализации своих схем.
Например, в 2022 году злоумышленники стали пытаться сливать информацию через такой нетрадиционный канал, как чаты на корпоративных порталах. Но наши разработчики были готовы к этому и заблаговременно реализовали в системе Solar Dozor соответствующую функцию. Таким образом, все наши заказчики могут успешно контролировать данные, которые передаются через их порталы.
К счастью, несмотря на рост уровня зрелости преступников растет и квалификация специалистов по информационной безопасности, поэтому мы как разработчики ПО для защиты информации можем покрывать новые риски максимально оперативно. В частности, в Solar Dozor есть модуль, который полностью контролирует файловые хранилища. Здесь речь идет не о том, чтобы предотвратить утечки информации на периметре, а сделать так, чтобы все документы в компании хранились в нужных местах и была возможность превентивного предотвращения самой возможности утечки.
Происходят объективные изменения технологического ландшафта коммуникационных платформ в российских организациях. На а волне импортозамещения Zoom активно меняется, например, на TrueConf и другие отечественные ВКС-системы. Вместо WhatsApp сотрудники начинают использовать платформы для корпоративных коммуникаций eXpress, Вк и другие. Мы сами – «Ростелеком-Солар» - находимся внутри аналогичных процессов, поэтому проблематика контроля новых каналов коммуникаций для нас совершенно очевидна, мы здесь полностью идем в ногу со временем.
Какие возможности DLP-систем, появившиеся в последнее время, могут быть полезны для банков?
Елена Черникова: Безусловно, новые возможности в системах предотвращения утечек информации возникли благодаря развитию интеграционного взаимодействия. Поскольку в банках довольно много внутренних систем, которые участвуют в хранении информации, ее обработке, поддерживают коммуникации, то вполне логично интегрировать эти системы с DLP с целью предупреждения случаев передачи конфиденциальной информации и выявления рисков. Заказчики Solar Dozor могут работать в двух режимах. Первый режим – это блокировка, когда система может ждать полную обработку файла, получать ответ о недопустимости передачи данных и блокировать ее. Второй режим – наблюдение, когда решение системы о наличии в файле конфиденциальной информации выносится постфактум.
Системы уровня DLP 2.0 имеют широкие аналитические возможности. Благодаря наличию специальных модулей такие решения позволяют поддерживать расследования, обеспечивать различную визуализацию. Все это повышает скорость реагирования на инциденты и помогает снизить ущерб от них.
Важно отметить, что интеграционные возможности сегодня необходимы для DLP с целью успешного встраивания в систему общей безопасности организации. Если несколько лет назад реализацию широких интеграционных возможностей DLP рассматривал только корпоративный сегмент, то сейчас это является нормой для всех. Заказчики вполне осознают преимущества автоматизации всех процессов. Например, DLP-система может обогащать решение SIEM, в результате чего выявляются новые корреляции и различные риски.
Можно уверенно говорить о том, что DLP-системы не достигли предела в своей эволюции, у них есть различные векторы развития. Много лет назад на одном из форумов по информационной безопасности участник всерьез отвечали на вопрос «Что умрет быстрее – антивирус или DLP?» Но мы видим, что DLP не только не канула в Лету, но продолжает развиваться семимильными шагами, обрастая новыми модулями и помогая заказчикам решать все более серьезные задачи.
В каких направлениях будут развиваться DLP-системы в ближайшее время?
Елена Черникова: Ближайшее будущее DLP – это прежде всего продолжение развития аналитического направления. Системы будут обогащаться различными инструментами анализа коммуникаций. Модули UBA начали появляться в системах около трех лет назад, и соответствующий модуль в Solar Dozor является одним из самых продвинутых на рынке и при этом постоянно совершенствуется. Кроме того, будут развиваться инструменты выявления конфиденциальных данных в потоках информации. В нашем новом релизе Dozor 7.8 внедрены абсолютно новые средства контроля для агентских решений, когда можно автоматизировать сценарий работы по противодействию утечкам.
Приведу конкретный пример. Сотрудник отправляет с корпоративной почты на внешний адрес какой-либо файл, содержащий конфиденциальную информацию. В стандартном режиме DLP-система блокирует эту попытку и оповещает офицера безопасности. Начиная с версии Solar Dozor 7.8 есть возможность сделать так, чтобы данный сотрудник автоматически получил запрет действий на своей рабочей станции по итогам реагирования DLP-системы по конкретному каналу. То есть, попытавшись отправить конфиденциальный документ за периметр, сотрудник получает блокировку всех USB-портов, лишается возможности передавать данные через интернет. Таким образом, офицер безопасности имеет сценарий противодействия утечке. При этом своеобразным источником для DLP-системы служит наш продукт Solar webProxy, который отлично анализирует сетевой трафик.
Важно, что в центре DLP остается человек. Эта система позволяет контролировать конкретного сотрудника на предмет его отношений с информационной безопасностью, соблюдения им трудовой дисциплины. Одним из перспективных направлений развития DLP я вижу настройку обмена информацией с кадровыми системами, в фокусе внимания которых тоже находится человек.