Cпособы противодействия внутренним угрозам в банковском секторе
Информационная безопасность Информационная безопасность

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях

Главная>Информационная безопасность>Практические способы противодействия внутренним угрозам в банковском секторе
Информационная безопасность Тема номера

Практические способы противодействия внутренним угрозам в банковском секторе

Дата публикации:
22.09.2015
Посетителей:
188
Просмотров:
153
Время просмотра:
2.3

Авторы

Спикер
Всеволод Иванов Исполнительный директор компании InfoWatch
С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях. В итоге сегодня в европейских компаниях, в том числе финансового сектора, DLP-решения призваны обеспечить соответствие нормам регуляторов (compliance). Такой формальный подход понятен, но не очень интересен, т.к. он не помогает бизнесу, а лишь позволяет соответствовать определенным правилам на бумаге.

 

 

Российский же путь развития хотя и учитывал нормы регуляторов, был более ориентирован на потребности бизнеса. В результате сегодня российский рынок DLP включает маленькую часть compliance (например, помогая в выполнении № 152-ФЗ и СТО БР ИББС) и огромную, сложнейшую часть, которая защищает банки уже не только от утечек информации, но и от прочих внутренних угроз, таких как мошенничество, коррупция, сговоры и т.п.

 

Я бы хотел подробнее остановиться на типичных внутренних угрозах в банках и рассказать о том, какая функциональность DLP-решений позволяет снизить экономические риски, избежать потерь, спасти деньги.

 Воровство базы данных клиентов. Разумеется, предотвратить данный инцидент можно даже с помощью базовых технологий DLP, таких как цифровые отпечатки. После внесения базы в список защищаемых документов DLP-решение будет уведомлять офицера безопасности о таких событиях, как пересылка по почте, вывод на печать, копирование на флешку базы данных. Однако сегодня существуют и более сложные технологии анализа, такие как выявление слишком частого обращения к базе данных или выгрузки большого массива БД на жесткий диск. Сами по себе эти события не являются утечкой информации и, следовательно, инцидентом для DLP-системы, однако очевидно, что все это – тревожные звоночки, признаки планируемого нарушения политики безопасности, поэтому современная система должна их учитывать.

 

Если чаще всего предметом кражи становятся персональные данные (сюда входят и случаи воровства баз данных клиентов), то на втором месте, безусловно, воровство платежных данных клиентов. Две эти категории информации обладают наибольшей ликвидностью на черном рынке. Банку потеря этих данных грозит серьезным ущербом: в случае с базой клиентов это их массовый отток к конкурентам, в случае с платежными данными – затраты на эмиссию новых карт, а также огромные репутационные потери.

 

Сговоры с физическими лицами на получение кредита. Самый частый случай – кредитное мошенничество, при котором инспектор одобряет выдачу кредита человеку, который не должен и не может его получить легальным образом. Например, если кредит пытаются оформить на фальшивый паспорт. Поскольку данный тип мошенничества подразумевает сговор между кредитным инспектором и заемщиком, необходимой мерой противодействия является контроль возможных каналов коммуникации – как служебной, так и личной почты сотрудника банка. Для анализа трафика используются лингвистические возможности решения, так что они должны быть реализованы на высоком уровне. Лингвистические технологии должны не только учитывать и «понимать» словоизменение, опечатки, транслитерацию, но и «знать» специфические термины, часто употребляемые в отрасли.

 

Технология, отвечающая за это, – отраслевая база контентной фильтрации (БКФ), и если банк внедряет решение для защиты от внутренних угроз, он должен убедиться, что эта технология реализована в выбранном продукте на высоком уровне.

 

Другой вариант описанного типа мошенничества – сговоры с физическими лицами на получение потребительского кредита. В этом случае банковский сотрудник выдает кредит подставному лицу, с которым он предварительно вступил в сговор. Покупатель забирает товар, купленный в кредит, перепродает его, делит выручку с кредитным инспектором и скрывается. По нашему опыту, противодействовать таким ситуациям помогают не только отслеживание и анализ почтового трафика банковских служащих, но и контроль информации на мобильных устройствах. Эти технологии пока только развиваются и есть далеко не во всех решениях, но уже очевидно, что их использование станет настоящим прорывом в области противодействия внутренним угрозам.

 

Подобным образом решение обнаруживает сговоры с корпоративными клиентами, когда менеджер банка за вознаграждение помогает корпоративному клиенту фальсифицировать его отчетность так, чтобы компания могла пройти кредитный комитет и получить финансирование.

 

Соучастие в преступлениях. Частый сценарий: сотрудник банка, зная, в какой день клиент получит крупную сумму наличных, сообщает об этом грабителям. Преступники, работая по наводке, подстерегают жертву и совершают ограбление. Предотвращение подобных инцидентов также возможно с помощью базы контентной фильтрации, содержащей ключевые слова, употребление которых характерно для лиц, готовящих такое преступление. Сценарий очень типовой, поэтому мы заложили алгоритмы его выявления в универсальную банковскую БКФ, которую предлагаем всем клиентам финансового сектора.

 

Очень часто наша система используется для обнаружения внутренних сговоров. Например, когда началось падение рубля, мы раскрыли ряд мошенничеств в сфере private banking. Утром, якобы по поручению клиента, рубли переводились в доллары, а вечером обратно. При этом на счет клиента возвращалась та же рублевая сумма, а разница шла мошенникам в карман. Наше решение выявило это благодаря лингвистическим технологиям, анализирующим сообщения менеджеров банка в различных мессенджерах и Skype. Поэтому при выборе решения для защиты от внутренних угроз рекомендуется ориентироваться не на общее количество контролируемых каналов передачи данных, а на то, будут ли под контролем все каналы, используемые конкретно вашими сотрудниками.

 

Аналогичным образом неоднократно выявлялись случаи коррупции внутри банка, нечестного проведения тендеров, откатных схем. Банковский инсайд – еще одна серьезная угроза, способная «на пустом месте» нанести серьезный вред. Клиентам сообщается информация, часто ложная, о том, что банк сталкивается с серьезными трудностями. В результате испуганные вкладчики срезают депозиты и уменьшают ликвидность банка. Система для защиты от внутренних угроз перехватывает переписку как с корпоративных, так и с личных ящиков в рабочее время, детектируя фразы, высказывания, свидетельствующие о нарушении.

 

Сегодня DLP-система предсказывает события. Отметим, что раньше единственным функционалом решений этого класса был контроль или запрет нелегитимной передачи конфиденциальных данных, сейчас же большинство инцидентов связано с раскрытием мошеннических схем, в которых собственно передача конфиденциальных данных не задействована. Именно поэтому мы говорим, что современные системы, и InfoWatch Traffic Monitor в частности, переходят от мониторинга утечек к выявлению и предотвращению всего комплекса внутренних угроз, существующих в каждой компании.

Однако чтобы выявлять намерения сотрудников совершить мошеннические действия, решение для защиты от внутренних угроз должно оперировать достаточно сложными технологиями. Для банков мы разработали модель угроз, выстроили алгоритмы возможных видов мошенничества и выделили сопутствующие им признаки, после чего все это было заложено в нашу систему таким образом, чтобы возникновение таких атрибутов интерпретировалось как событие информационной безопасности. Эти технологии уже активно используются заказчиками и успешно выявляют мошенников. Таким образом, в банках решение для защиты от внутренних угроз уже выступает в качестве части антифрод-системы, реагируя на аномалии и заблаговременно предупреждая офицера безопасности о возможных инцидентах.

Уведомления об обновлении тем – в вашей почте

Одинаково разное мошенничество

Мошенничество многолико – оно принимает различные формы в зависимости от компании, в которой имеет место

«ИТ — это не конкурентное преимущество, а конкурентное требование»

Мы побеседовали с Максимом Белоусовым о том, какие задачи ставит перед ИТ-подразделением новый владелец Банка, почему ИТ не должно быть просто конкурентным преимуществом, а также какую угрозу в себе несет повальное увлечение Agile.

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Непрерывность бизнеса. Подходы к использованию нового Указания ЦБ РФ 21946У: поиск «золотой середины»

Выход нового указания послужил причиной появления множества вопросов относительно необходимости и глубины внесения изменений в уже имеющуюся документацию в части внутреннего контроля и управления непрерывностью бизнеса (НБ) кредитных организаций, которая требовались ранее в Положении 242-П

Заставьте вашу DLP-систему работать

Об основных причинах возникновения проблем с DLP и способах их устранения

О каналах скрытых, потайных, побочных и не только

Пик исследований в области скрытых каналов приходится на середину 1980-х годов, когда была опубликована "Оранжевая книга" Министерства обороны США, в которой, начиная с класса безопасности B2, было введено требование анализа скрытых каналов.

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня