© 1995-2021 Компания «Инфосистемы Джет»
Cпособы противодействия внутренним угрозам в банковском секторе
Информационная безопасность

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях

Информационная безопасность Тема номера

Практические способы противодействия внутренним угрозам в банковском секторе

Автор
Всеволод Иванов Исполнительный директор компании InfoWatch

22.09.2015

Посетителей: 64

Просмотров: 60

Время просмотра: 1 мин.

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях. В итоге сегодня в европейских компаниях, в том числе финансового сектора, DLP-решения призваны обеспечить соответствие нормам регуляторов (compliance). Такой формальный подход понятен, но не очень интересен, т.к. он не помогает бизнесу, а лишь позволяет соответствовать определенным правилам на бумаге.

 

 

Российский же путь развития хотя и учитывал нормы регуляторов, был более ориентирован на потребности бизнеса. В результате сегодня российский рынок DLP включает маленькую часть compliance (например, помогая в выполнении № 152-ФЗ и СТО БР ИББС) и огромную, сложнейшую часть, которая защищает банки уже не только от утечек информации, но и от прочих внутренних угроз, таких как мошенничество, коррупция, сговоры и т.п.

 

Я бы хотел подробнее остановиться на типичных внутренних угрозах в банках и рассказать о том, какая функциональность DLP-решений позволяет снизить экономические риски, избежать потерь, спасти деньги.

 Воровство базы данных клиентов. Разумеется, предотвратить данный инцидент можно даже с помощью базовых технологий DLP, таких как цифровые отпечатки. После внесения базы в список защищаемых документов DLP-решение будет уведомлять офицера безопасности о таких событиях, как пересылка по почте, вывод на печать, копирование на флешку базы данных. Однако сегодня существуют и более сложные технологии анализа, такие как выявление слишком частого обращения к базе данных или выгрузки большого массива БД на жесткий диск. Сами по себе эти события не являются утечкой информации и, следовательно, инцидентом для DLP-системы, однако очевидно, что все это – тревожные звоночки, признаки планируемого нарушения политики безопасности, поэтому современная система должна их учитывать.

 

Если чаще всего предметом кражи становятся персональные данные (сюда входят и случаи воровства баз данных клиентов), то на втором месте, безусловно, воровство платежных данных клиентов. Две эти категории информации обладают наибольшей ликвидностью на черном рынке. Банку потеря этих данных грозит серьезным ущербом: в случае с базой клиентов это их массовый отток к конкурентам, в случае с платежными данными – затраты на эмиссию новых карт, а также огромные репутационные потери.

 

Сговоры с физическими лицами на получение кредита. Самый частый случай – кредитное мошенничество, при котором инспектор одобряет выдачу кредита человеку, который не должен и не может его получить легальным образом. Например, если кредит пытаются оформить на фальшивый паспорт. Поскольку данный тип мошенничества подразумевает сговор между кредитным инспектором и заемщиком, необходимой мерой противодействия является контроль возможных каналов коммуникации – как служебной, так и личной почты сотрудника банка. Для анализа трафика используются лингвистические возможности решения, так что они должны быть реализованы на высоком уровне. Лингвистические технологии должны не только учитывать и «понимать» словоизменение, опечатки, транслитерацию, но и «знать» специфические термины, часто употребляемые в отрасли.

 

Технология, отвечающая за это, – отраслевая база контентной фильтрации (БКФ), и если банк внедряет решение для защиты от внутренних угроз, он должен убедиться, что эта технология реализована в выбранном продукте на высоком уровне.

 

Другой вариант описанного типа мошенничества – сговоры с физическими лицами на получение потребительского кредита. В этом случае банковский сотрудник выдает кредит подставному лицу, с которым он предварительно вступил в сговор. Покупатель забирает товар, купленный в кредит, перепродает его, делит выручку с кредитным инспектором и скрывается. По нашему опыту, противодействовать таким ситуациям помогают не только отслеживание и анализ почтового трафика банковских служащих, но и контроль информации на мобильных устройствах. Эти технологии пока только развиваются и есть далеко не во всех решениях, но уже очевидно, что их использование станет настоящим прорывом в области противодействия внутренним угрозам.

 

Подобным образом решение обнаруживает сговоры с корпоративными клиентами, когда менеджер банка за вознаграждение помогает корпоративному клиенту фальсифицировать его отчетность так, чтобы компания могла пройти кредитный комитет и получить финансирование.

 

Соучастие в преступлениях. Частый сценарий: сотрудник банка, зная, в какой день клиент получит крупную сумму наличных, сообщает об этом грабителям. Преступники, работая по наводке, подстерегают жертву и совершают ограбление. Предотвращение подобных инцидентов также возможно с помощью базы контентной фильтрации, содержащей ключевые слова, употребление которых характерно для лиц, готовящих такое преступление. Сценарий очень типовой, поэтому мы заложили алгоритмы его выявления в универсальную банковскую БКФ, которую предлагаем всем клиентам финансового сектора.

 

Очень часто наша система используется для обнаружения внутренних сговоров. Например, когда началось падение рубля, мы раскрыли ряд мошенничеств в сфере private banking. Утром, якобы по поручению клиента, рубли переводились в доллары, а вечером обратно. При этом на счет клиента возвращалась та же рублевая сумма, а разница шла мошенникам в карман. Наше решение выявило это благодаря лингвистическим технологиям, анализирующим сообщения менеджеров банка в различных мессенджерах и Skype. Поэтому при выборе решения для защиты от внутренних угроз рекомендуется ориентироваться не на общее количество контролируемых каналов передачи данных, а на то, будут ли под контролем все каналы, используемые конкретно вашими сотрудниками.

 

Аналогичным образом неоднократно выявлялись случаи коррупции внутри банка, нечестного проведения тендеров, откатных схем. Банковский инсайд – еще одна серьезная угроза, способная «на пустом месте» нанести серьезный вред. Клиентам сообщается информация, часто ложная, о том, что банк сталкивается с серьезными трудностями. В результате испуганные вкладчики срезают депозиты и уменьшают ликвидность банка. Система для защиты от внутренних угроз перехватывает переписку как с корпоративных, так и с личных ящиков в рабочее время, детектируя фразы, высказывания, свидетельствующие о нарушении.

 

Сегодня DLP-система предсказывает события. Отметим, что раньше единственным функционалом решений этого класса был контроль или запрет нелегитимной передачи конфиденциальных данных, сейчас же большинство инцидентов связано с раскрытием мошеннических схем, в которых собственно передача конфиденциальных данных не задействована. Именно поэтому мы говорим, что современные системы, и InfoWatch Traffic Monitor в частности, переходят от мониторинга утечек к выявлению и предотвращению всего комплекса внутренних угроз, существующих в каждой компании.

Однако чтобы выявлять намерения сотрудников совершить мошеннические действия, решение для защиты от внутренних угроз должно оперировать достаточно сложными технологиями. Для банков мы разработали модель угроз, выстроили алгоритмы возможных видов мошенничества и выделили сопутствующие им признаки, после чего все это было заложено в нашу систему таким образом, чтобы возникновение таких атрибутов интерпретировалось как событие информационной безопасности. Эти технологии уже активно используются заказчиками и успешно выявляют мошенников. Таким образом, в банках решение для защиты от внутренних угроз уже выступает в качестве части антифрод-системы, реагируя на аномалии и заблаговременно предупреждая офицера безопасности о возможных инцидентах.

Уведомления об обновлении тем – в вашей почте

Сохранить и не преумножить

Сегодня ни для кого не секрет, что объем хранимой информации во всем мире ежегодно увеличивается, причем рост данных происходит экспоненциально. Например, согласно исследованиям аналитического агентства Enterprise Strategy Group, объемы хранимой в мире почтовой переписки ежегодно удваиваются, и в 2012 году суммарный объем превысит 13 ПБ данных.

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

Заставьте вашу DLP-систему работать

Об основных причинах возникновения проблем с DLP и способах их устранения

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

Одинаково разное мошенничество

Мошенничество многолико – оно принимает различные формы в зависимости от компании, в которой имеет место

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

О каналах скрытых, потайных, побочных и не только

Пик исследований в области скрытых каналов приходится на середину 1980-х годов, когда была опубликована "Оранжевая книга" Министерства обороны США, в которой, начиная с класса безопасности B2, было введено требование анализа скрытых каналов.

Сплошная фальшь, или Стоит ли доверять доверенности

Насколько сложно изготовить фальшивые паспорта и доверенности для получения SIM-карт и дальнейшего осуществления мошеннических действий, что для этого нужно? Как банкам обезопасить своих клиентов от подобного рода мошенничества? Как должны действовать сотовые операторы, чтобы подобных нарушений не было? На эти вопросы отвечает наш эксперт Василий Сергацков.

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня