Российский же путь развития хотя и учитывал нормы регуляторов, был более ориентирован на потребности бизнеса. В результате сегодня российский рынок DLP включает маленькую часть compliance (например, помогая в выполнении № 152-ФЗ и СТО БР ИББС) и огромную, сложнейшую часть, которая защищает банки уже не только от утечек информации, но и от прочих внутренних угроз, таких как мошенничество, коррупция, сговоры и т.п.
Я бы хотел подробнее остановиться на типичных внутренних угрозах в банках и рассказать о том, какая функциональность DLP-решений позволяет снизить экономические риски, избежать потерь, спасти деньги.
Воровство базы данных клиентов. Разумеется, предотвратить данный инцидент можно даже с помощью базовых технологий DLP, таких как цифровые отпечатки. После внесения базы в список защищаемых документов DLP-решение будет уведомлять офицера безопасности о таких событиях, как пересылка по почте, вывод на печать, копирование на флешку базы данных. Однако сегодня существуют и более сложные технологии анализа, такие как выявление слишком частого обращения к базе данных или выгрузки большого массива БД на жесткий диск. Сами по себе эти события не являются утечкой информации и, следовательно, инцидентом для DLP-системы, однако очевидно, что все это – тревожные звоночки, признаки планируемого нарушения политики безопасности, поэтому современная система должна их учитывать.
Если чаще всего предметом кражи становятся персональные данные (сюда входят и случаи воровства баз данных клиентов), то на втором месте, безусловно, воровство платежных данных клиентов. Две эти категории информации обладают наибольшей ликвидностью на черном рынке. Банку потеря этих данных грозит серьезным ущербом: в случае с базой клиентов это их массовый отток к конкурентам, в случае с платежными данными – затраты на эмиссию новых карт, а также огромные репутационные потери.
Сговоры с физическими лицами на получение кредита. Самый частый случай – кредитное мошенничество, при котором инспектор одобряет выдачу кредита человеку, который не должен и не может его получить легальным образом. Например, если кредит пытаются оформить на фальшивый паспорт. Поскольку данный тип мошенничества подразумевает сговор между кредитным инспектором и заемщиком, необходимой мерой противодействия является контроль возможных каналов коммуникации – как служебной, так и личной почты сотрудника банка. Для анализа трафика используются лингвистические возможности решения, так что они должны быть реализованы на высоком уровне. Лингвистические технологии должны не только учитывать и «понимать» словоизменение, опечатки, транслитерацию, но и «знать» специфические термины, часто употребляемые в отрасли.
Технология, отвечающая за это, – отраслевая база контентной фильтрации (БКФ), и если банк внедряет решение для защиты от внутренних угроз, он должен убедиться, что эта технология реализована в выбранном продукте на высоком уровне.
Другой вариант описанного типа мошенничества – сговоры с физическими лицами на получение потребительского кредита. В этом случае банковский сотрудник выдает кредит подставному лицу, с которым он предварительно вступил в сговор. Покупатель забирает товар, купленный в кредит, перепродает его, делит выручку с кредитным инспектором и скрывается. По нашему опыту, противодействовать таким ситуациям помогают не только отслеживание и анализ почтового трафика банковских служащих, но и контроль информации на мобильных устройствах. Эти технологии пока только развиваются и есть далеко не во всех решениях, но уже очевидно, что их использование станет настоящим прорывом в области противодействия внутренним угрозам.
Подобным образом решение обнаруживает сговоры с корпоративными клиентами, когда менеджер банка за вознаграждение помогает корпоративному клиенту фальсифицировать его отчетность так, чтобы компания могла пройти кредитный комитет и получить финансирование.
Соучастие в преступлениях. Частый сценарий: сотрудник банка, зная, в какой день клиент получит крупную сумму наличных, сообщает об этом грабителям. Преступники, работая по наводке, подстерегают жертву и совершают ограбление. Предотвращение подобных инцидентов также возможно с помощью базы контентной фильтрации, содержащей ключевые слова, употребление которых характерно для лиц, готовящих такое преступление. Сценарий очень типовой, поэтому мы заложили алгоритмы его выявления в универсальную банковскую БКФ, которую предлагаем всем клиентам финансового сектора.
Очень часто наша система используется для обнаружения внутренних сговоров. Например, когда началось падение рубля, мы раскрыли ряд мошенничеств в сфере private banking. Утром, якобы по поручению клиента, рубли переводились в доллары, а вечером обратно. При этом на счет клиента возвращалась та же рублевая сумма, а разница шла мошенникам в карман. Наше решение выявило это благодаря лингвистическим технологиям, анализирующим сообщения менеджеров банка в различных мессенджерах и Skype. Поэтому при выборе решения для защиты от внутренних угроз рекомендуется ориентироваться не на общее количество контролируемых каналов передачи данных, а на то, будут ли под контролем все каналы, используемые конкретно вашими сотрудниками.
Аналогичным образом неоднократно выявлялись случаи коррупции внутри банка, нечестного проведения тендеров, откатных схем. Банковский инсайд – еще одна серьезная угроза, способная «на пустом месте» нанести серьезный вред. Клиентам сообщается информация, часто ложная, о том, что банк сталкивается с серьезными трудностями. В результате испуганные вкладчики срезают депозиты и уменьшают ликвидность банка. Система для защиты от внутренних угроз перехватывает переписку как с корпоративных, так и с личных ящиков в рабочее время, детектируя фразы, высказывания, свидетельствующие о нарушении.
Сегодня DLP-система предсказывает события. Отметим, что раньше единственным функционалом решений этого класса был контроль или запрет нелегитимной передачи конфиденциальных данных, сейчас же большинство инцидентов связано с раскрытием мошеннических схем, в которых собственно передача конфиденциальных данных не задействована. Именно поэтому мы говорим, что современные системы, и InfoWatch Traffic Monitor в частности, переходят от мониторинга утечек к выявлению и предотвращению всего комплекса внутренних угроз, существующих в каждой компании.
Однако чтобы выявлять намерения сотрудников совершить мошеннические действия, решение для защиты от внутренних угроз должно оперировать достаточно сложными технологиями. Для банков мы разработали модель угроз, выстроили алгоритмы возможных видов мошенничества и выделили сопутствующие им признаки, после чего все это было заложено в нашу систему таким образом, чтобы возникновение таких атрибутов интерпретировалось как событие информационной безопасности. Эти технологии уже активно используются заказчиками и успешно выявляют мошенников. Таким образом, в банках решение для защиты от внутренних угроз уже выступает в качестве части антифрод-системы, реагируя на аномалии и заблаговременно предупреждая офицера безопасности о возможных инцидентах.