Новости

23
марта
2007 год

Внутренние ИТ-угрозы в банковском секторе 2006

Представляем Вашему вниманию результаты первого отраслевого исследования проблемы внутренней ИТ-безопасности (ИБ) в российском банковском секторе. В ходе проекта аналитический центр InfoWatch опросил более 300 российских банков. Исследование ставило своей целью определить отношение респондентов к угрозам внутренней ИБ, обобщить информацию об используемых защитных средствах и технологиях, выявить специфику обеспечения внутренней ИБ в российском банковском секторе, а также нормативного регулирования ИБ

Компания InfoWatch представляет Вашему вниманию результаты первого отраслевого исследования проблемы внутренней ИТ-безопасности (ИБ) в российском банковском секторе. В этом проекте приняли участие 10 компаний, входящих в партнерскую сеть InfoWatch, представители отраслевой прессы, а также специализированное маркетинговое агентство.
Введение

Компания InfoWatch представляет Вашему вниманию результаты первого отраслевого исследования проблемы внутренней ИТ-безопасности (ИБ) в российском банковском секторе. В этом проекте приняли участие 10 компаний, входящих в партнерскую сеть InfoWatch, представители отраслевой прессы, а также специализированное маркетинговое агентство. В результате аналитическому центру InfoWatch удалось опросить более 300 российских банков.

Исследование ставило своей целью определить отношение респондентов к угрозам внутренней ИБ, обобщить информацию об используемых защитных средствах и технологиях, выявить специфику обеспечения внутренней ИБ в российском банковском секторе, а также нормативного регулирования ИБ.

Отметим, что данный проект уточняет результаты третьего ежегодного исследования <Внутренние ИТ-угрозы в России 2006>, в ходе которого были опрошены 1450 российских организаций во всех секторах экономики. В то же самое время, анализ внутриотраслевых результатов и сравнение с аналогичными показателями по всем секторам экономики, позволяет выявить специфику банковского сектора.

Общие выводы

Российские банки более всего обеспокоены именно внутренними угрозами ИБ. Инсайдерские риски превалируют над внешними угрозами в соотношении 6:4.

  • Наибольшую опасность для банков представляют утечки персональных данных клиентов. Такой точки зрения придерживается абсолютное большинство респондентов (78%).
  • Более того, опасения финансовых компаний вполне оправданы: 54% респондентов опасаются потери клиентов, а 46% ухудшения общественного мнения вследствие утечки.
  • Нормативное регулирование может начать играть важную роль в банковском секторе уже в ближайшие годы. Основные драйверы нормативного давления это Стандарт Банка России по ИБ и соглашение BaselII.
  • Хотя оба этих норматива требуют выявлять и предотвращать утечки приватных данных, лишь 13% организаций уже внедрило систему выявления или предотвращения утечек. Однако 91% планирует это сделать в ближайшие два-три года.
  • Таким образом, уже сейчас можно утверждать, что российские банки намного более зрело подходят к проблемам внутренней безопасности. Есть все основания полагать, что проникновение систем защиты от утечек в этот сектор продолжится и дальше. Причем темпы роста будут заметно выше, чем в целом по всем отраслям экономики.

Методология

В процессе исследования, в период с 20.12.2006 по 25.01.2007 г., были опрошены представители 312 российских банков. Опрос проводился среди заказчиков InfoWatchи клиентов крупнейших системных интеграторов, входящих в партнерскую сеть компании: Энвижн Груп, Ай-Теко, AmphoraGroup, РусТим, Форус, Эльбрус-2000, LETAIT-company, PolyGorGroup, ЮСК, ICL - КПО ВС. Кроме того, в исследовании приняли участие читатели Национального Банковского Журнала и посетители одного из самых популярных порталов Банкир.Ру.

Планирование исследования и обработка исходных данных из множественных источников были проведены маркетинговым агентством Rosencrantz & Guildenstern. По инициативе агентства в анкету было включено несколько открытых вопросов, что позволило получить интересные и совершенно неожиданные ответы.

Сама анкета была составлена аналитическим центром InfoWatchна основе вопросов, традиционно входящих в исследование <Внутренние ИТ-угрозы в России>. Кроме того, в анкету были добавлены некоторые вопросы, имеющие повышенное значение именно для банковского сектора. Например, группа вопросов, касающаяся Стандарта Банка России по ИБ, Соглашения BaselII и ФЗ <О персональных данных>.

Опрос проходил непосредственно у самих респондентов, а также по Интернету. Для этого полевые сотрудники маркетингового агентства Rosencrantz & Guildensternи системных интеграторов, входящих в партнерскую сеть InfoWatch, лично встречались с респондентами и проводили устное интервью, связывались по телефону и электронной почте.

Приведенные ниже данные являются округленными до целых процентов. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.

Портрет респондентов

В данном опросе приняли участие высококвалифицированные специалисты - руководители и ведущие сотрудники отделов ИТ и ИБ. Совокупность участников, род их занятий, сфера деятельности компаний были подобраны таким образом, чтобы наиболее точно соответствовать генеральной совокупности. Все респонденты являются лицами, принимающими решения в области развития корпоративных информационных систем.

Анализ портрета респондентов по количеству сотрудников (рис.1) показал, что наибольшая доля опрошенных организаций приходится на малый и средний бизнес: 45% респондентов имеют менее 1 тыс. служащих. При этом оставшиеся 55% представляют собой крупные банки, из которых 43% имеют численность персонала от 1 до 5 тыс. человек, а 12% - более 5 тыс. сотрудников.

Обратимся теперь к степени информатизации базы респондентов. Оказывается, наибольшая по численности доля опрошенных организаций (54%) имеет менее 1 тыс. компьютеризированных мест. Кроме того, 44% банков используют от 1 до 10 тыс. рабочих станций, а 2% - более 10 тыс. терминалов. Таким образом, можно сделать вывод, что в базе респондентов репрезентативно представлены банки всех размеров, как крупного и среднего, так и малого масштаба.




Анализируя должности респондентов (рис. 3), следует отметить, что банковский сектор лидирует по своему зрелому отношению к проблеме ИБ. Так, 35% опрошенных организаций имеют в своей штатной структуре выделенный отдел ИБ, в то время как в среднем по всем отраслям этот показатель достигает лишь 27,2% (см. <Внутренние ИТ-угрозы в России 2006>). Отметим, что по этому параметру банковский сектор опережает, в том числе, отрасль телекоммуникаций, которая традиционно отличается высокой степенью зрелости в использовании ИТ и ИБ. Между тем, в телекоммуникациях этот показатель достигает лишь 32%, так что российские банки подходят к проблеме ИБ наиболее вдумчиво.



В то же время отметим, что многие банки (17%) имеют выделенных специалистов по ИБ в рамках ИТ-департамента. При этом лишь малая часть респондентов (6%) возлагает задачи обеспечения ИБ на сотрудников ИТ-отдела, которые помимо этого выполняют другие функции.

Угрозы ИБ в России

Отвечая на следующий вопрос, организации имели возможность обрисовать ландшафт самых опасных угроз ИБ. Каждый респондент мог выбрать только 3 угрозы из предложенного списка (рис. 4). В результате, на первом месте по-прежнему остается кража информации (64%). Индекс опасности этой угрозы в банковском секторе немного отстает от аналогичного показателя в среднем по всем отраслям экономики (на 1,8%). Однако кража информации по-прежнему удерживает пальму первенства среди всех угроз ИБ.



<Халатность сотрудников вряд ли можно считать самостоятельной угрозой ИБ. Скорее это причина реализации других угроз ИБ. Например, халатность может привести к утечке, сбоям, заражению вирусами и т.д. Однако тот факт, что 52% выбрали именно халатность, однозначно свидетельствует, что внутренние нарушители могут быть очень опасны>, - комментирует Олег Смолий, главный специалист Управления по обеспечению безопасности ОАО <Внешторгбанк>.

Далее, на втором месте оказалась халатность сотрудников (52%), которая точно также немного отстала от общеотраслевого показателя (см. <Внутренние ИТ-угрозы в России 2006>) на 3,1 процентных пункта. Третье место заняли вирусные атаки (45%), а на четвертой позиции оказались сбои в работе информационной системы (43%). В этом варианте проявляется одно из важных отличий банковского сектора от других отраслей экономики. Дело в том, что в общеотраслевом опросе аппаратные и программные сбои оказались на самом последнем месте с 7,2% голосов. Другими словами, именно для банковского сектора проблема сбоев имеет более высокое значение, чем все остальные угрозы за исключением 3-х первых угроз. Таким образом, можно сделать вывод, что распределение самых опасных в банковском секторе угроз ИБ практически полностью повторяет риски, которых опасаются предприятия других отраслей. Есть незначительные отклонения в более высокой опасности сбоев в работе ИТ-инфраструктуры, но первые три места устойчиво удерживают кража информации (64%), халатность сотрудников (52%) и вредоносные программы (45%).

Между тем, если пересчитать результаты предыдущего вопроса, разделив все ответы на внутренние и внешние угрозы, то легко видеть, что инсайдеры превалируют над вирусами, хакерами и спамом. Для построения следующей диаграммы (рис. 5) в категорию внутренних угроз были отнесены, халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних угроз вирусы, хакеры и спам. После этого суммарный рейтинг опасности каждой категории был нормирован, чтобы ограничить общую сумму ста процентами. Отметим, что угрозы кражи информации, различных сбоев и кражи оборудования специально не были отнесены ни к одной из групп. Дело в том, что они могут быть реализованы, как изнутри, так и снаружи или вообще без вмешательства человека (например, аппаратные сбои).



Исходя из полученных результатов (рис. 5), респонденты значительно больше обеспокоены внутренней ИБ, чем защитой от внешних угроз. Кроме того, следует учитывать, что неклассифицированные риски, например, кражу информации или оборудования, чаще всего относят к внутренним угрозам. В данном случае это не было сделано, чтобы не придавать угрозам со стороны инсайдеров дополнительного веса. Однако как показали расчеты, даже в этом случае внешние риски существенно уступают внутренним угрозам.

Внутренние угрозы ИБ

Выяснив, что самые опасные угрозы ИБ исходят изнутри организации, вполне логично изучить структуру инсайдерских рисков. В рамках следующего вопроса респондентам снова предложили выбрать 3 наиболее опасные угрозы ИБ, но на этот раз рассматривались только внутренние риски. Как показали результаты опроса (рис. 6), в списке самых опасных внутренних угроз с огромным отрывом лидирует нарушение конфиденциальности информации (78%). Ближайший конкурент - утрата информации (61%) - отстал на целых 17 процентных пунктов. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы.



Следующие две позиции остались за утратой информации (61%) и сбоями в работе информационной системы (41%). Сразу следует отметить, что в этом проявляется некоторая специфика банковского сектора. Дело в том, что в общеотраслевом исследовании второе и третье место заняли искажение информации и саботаж. Они набрали 38,4% и 26,2% соответственно (см. <Внутренние ИТ-угрозы в России 2006>). Однако, как уже было показано ранее, банковский сектор помимо всего прочего обеспокоен проблемой аппаратных и программных сбоев. В результате даже в списке самых опасных внутренних угроз ИБ утрата информации и сбои оказались на втором и третьем местах. Причем очевидна взаимосвязь между этими рисками, так как сбои в работе ИТ-инфраструктуры вызывают чаще всего именно утрату информации.

Между тем, не вызывает сомнения тот факт, что наибольшую опасность для российских банков представляет утечка конфиденциальной информации (78%). Ее отрыв от всех остальных рисков ИБ впечатляет. Чтобы выяснить, почему так происходит, аналитический центр InfoWatchпоставил перед финансовыми компаниями ряд дополнительных вопросов.

Утечка конфиденциальной информации

В этом году российским банкам предложили выделить наиболее плачевные последствия утечек конфиденциальной информации и персональных данных. При этом представитель каждой организации мог выбрать только два варианта из предложенного списка (рис. 7). Как оказалась, более всего респонденты озабочены потерей клиентов (54%), а также ухудшением своего имиджа (46%). На третьем месте оказалось снижение конкурентоспособности (37%), которое является фактически следствием первых двух негативных факторов.



Отметим, что прямые финансовые убытки оказались лишь на четвертом месте с 28% голосов. Это действительно соответствует реальному положению дел, так как в России ни одна организация не обязана нести прямые потери вследствие утечки. Этим наша страна отличается от США и Евросоюза, где компании могут лишиться лицензии, заплатить многомиллионный штраф за утечку, а в некоторых случаях даже высшее руководство может оказаться в тюрьме. По этой же причине столь малая доля респондентов указала на юридические издержки (2%) и преследование со стороны регуляторов рынка (23%). Таким образом, российские банки совершенно справедливо оценили наиболее плачевные утечки. Как известно, общественность и пресса всегда отрицательно реагируют в случае кражи персональных данных граждан, что приводит, как минимум, к ухудшению репутации и потере клиентов.

<Потеря клиентов, удар по репутации, подрыв конкурентоспособности - все эти негативные последствия утечек взаимосвязаны. Когда об утечке становится известно, портится имидж банка. Это в свою очередь приводит к потере лояльных клиентов и трудностям в привлечении новых клиентов. В результате снижается конкурентоспособность организации. Так что утечка - этот тот инцидент, который лучше предотвратить заранее, чем потом страдать от его последствий>, - комментирует Юрий Лысенко, Начальник Управления информационной безопасности ОАО <РосЕвроБанк>.

На следующем этапе исследования аналитический центр InfoWatchпредложил респондентам указать самые распространенные каналы утечки информации. Распределение ответов представлено на рис. 8. Отвечая на данный вопрос, респонденты почти полностью повторили результаты общеотраслевого исследования: мобильные накопители (84%), электронная почта (78%) и Интернет (66%). Однако далее следуют печатающие устройства (42%). Заметим, что интернет-пейджеры с 34% голосов оказались лишь на четвертом месте, хотя в среднем по экономике они устойчиво занимают третье место с 77 процентными пунктами.



По мнению аналитического центра InfoWatch, более высокий рейтинг опасности печатающих устройств по сравнению с интернет-пейджерами связан в первую очередь с тем, что банки просто административно и технически запрещают использование такого рода инструментов в корпоративной сети. Между тем, электронная почта, мобильные накопители и Интернет сегодня являются жизненно необходимыми средствами коммуникации. Во многих случаях эти каналы нельзя полностью блокировать. А если их взять под контроль, то внутренние нарушители переключают свое внимание на печатающие устройства. Именно поэтому принтеры заняли четвертую позицию в списке самых популярных каналов утечки.

"Утечка конфиденциальной информации является комплексной проблемой. Тот факт, что одни каналы утечки являются более популярными, чем другие говорит лишь о том, насколько эти коммуникационные каналы удобны для кражи информации. Между тем, на практике стоит закрыть одни каналы, как инсайдеры тут же переключатся на другие. Так что нет никакого смысла фильтровать только почту или только Интернет. Следует брать под контроль абсолютно все каналы, а оставшиеся блокировать на уровне межсетевого экрана или аппаратными методами", - комментирует Василий Окулесский, начальник отдела защиты информации ОАО "Банк Москвы".

Далее, одним из самых важных моментов исследования стал вопрос о количестве утечек конфиденциальной информации, которые респонденты допустили в течение 2006 года (рис. 9). Как и в других отраслях, лидером оказалось стандартное <Затрудняюсь ответить>, так как слишком многие респонденты еще не используют специализированных решений для выявления утечек. Однако положительный сдвиг уже налицо: если в среднем по экономике затруднения с ответом возникли у 44,8% респондентов, то в банковском секторе только у 35% организаций. Другими словами, представители данной отрасли лучше осведомлены об утечках, чем компании других секторов. Это определенно свидетельствует о более серьезном отношении к проблемам ИБ.



Столь же позитивным выглядит тот факт, что 21% респондентов могут уверенно заявить, что не допустили ни одной утечки в прошедшем году. Хотя оставшиеся 44% организаций (за вычетом затрудняющихся ответить) все-таки допустили минимум одну утечку, показатель в 21% превосходит на 7,3% общеотраслевой результат (см. <Внутренние ИТ-угрозы в России 2006>).

ФЗ <О персональных данных>

Специфика банковского сектора проявляется также в вопросах нормативного регулирования. Прежде всего, некоторые банки специализируются на предоставлении услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных граждан. Следовательно, руководству ИТ-департаментов и отделов ИБ необходимо обратить внимание на ФЗ <О персональных данных>, который предъявляет целый ряд требований к безопасности приватных сведений граждан.

Чтобы определить отношение респондентов к этому закону, аналитический центр InfoWatchпредложил банкам оценить степень влияния ФЗ <О персональных данных> на свой бизнес (рис. 10). Оказывается, что сегодня этот закон в целом работает вхолостую: ровно половина респондентов (50%) считает, что норматив оказывает мизерное влияние на бизнес компании, а почти каждый третий (35%) заявил, что ФЗ вообще ни на что не влияет. Конечно, нельзя сбрасывать со счетов 15% организаций, которые видят в данном нормативе серьезный фактор влияния на бизнес. Однако в целом в отрасли бытует мнение, что ФЗ <о персональных данных> является практически беззубым нормативом.



По мнению аналитического центра InfoWatch, подавляющее большинство опрошенных банков действительно довольно реально смотрят на новый закон. Во-первых, данный нормативный акт выдвигает самые общие требования: операторы обязаны обеспечить конфиденциальность приватных сведений, но сделать это они должны по собственному разумению. Во-вторых, закон не предусматривает явной ответственности за утечку информации для руководства или бизнеса. В-третьих, федеральный орган, уполномоченный следить за выполнением закона, а это ФСТЭК России, все еще не выпустил стандарт безопасности персональных данных. Между тем, этот стандарт необходим, чтобы компании знали, какие меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Наконец, в-четвертых, в России отсутствует правоприменительная практика в сфере борьбы с утечками: судьям, следователям и милиции необходим опыт борьбы с инсайдерами и продавцами приватных данных. Конечно, нельзя отрицать, что в перспективе ФЗ <О персональных данных> обрастет, как стандартами, так и правоприменительной практикой. В этом случае он действительно превратится в эффективный драйвер ИБ в российской экономике. Однако в ближайшие несколько лет представители банковского сектора могут этого не опасаться.

Стандарт Банка России по ИБ

В кредитно-финансовом секторе вот уже более 2-ух лет действует Стандарт Банка России по ИБ (СТО БР ИББС-1.0-2006). Стандарт насчитывает двенадцать глав, центральное место среди которых занимает пятая глава, описывающая исходную концептуальную схему (парадигму). В основу положена модель противоборства собственника и злоумышленника. Более того, стандарт сразу же расставляет акценты (пункт 5.4): <Наибольшими возможностями для нанесения ущерба [организации] : обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации>. Таким образом, во главу угла авторы стандарта ставят именно защиту от инсайдеров.

Для борьбы с угрозами стандарт рекомендует не только проверенные временем методики типа моделирования угроз, создания политики и системы управления ИБ, но и выделение службы ИБ в отдельное подразделение. Как уже было показано выше, банковский сектор значительно превосходит по этому показателю другие сектора экономики: 35% банков имеют выделенные отделы ИБ, а еще 17% имеют выделенных специалистов по ИБ в рамках ИТ-департамента. Однако вернемся к Стандарту Банка России, так как этим не исчерпывается список требований к внутренней ИБ. Так, авторы стандарта не обошли своим вниманием и средства внутреннего контроля, знакомые многим по 404 параграфу закона SOX (Sarbanes-OxleyActof 2002). Например, в пункте 5.10 указано: <:все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться>. Заметим, что стандарт Центробанка не дает четких рекомендаций по механизмам внутреннего контроля, однако так же, как многие американские и британские законы требует, чтобы организации вели архив корпоративной корреспонденции. Так, пункт 8.2.6.4 гласит: <Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен>. Таким образом, распространенная в мире практика обязательно использовании централизованного и аутентичного архива электронных сообщений впервые нашла свое отражение в российском нормативном акте.

<Внедрение Стандарта Банка России ПО ИТ-безопасности, безусловно, положительно сказывается на кредитно-финансовой организации. В эффективном внедрении участвуют, так или иначе, все без исключения подразделения банка, а также высшее руководство. Это позволяет в рамках внедрения доработать и разработать нормативные документы, определить процессы и технологические цепочки, отладить взаимодействие между структурными подразделениями банка, определить и установить контроли над информационными рисками, организовать систему мониторинга и аудита. Таким образом, внедрение Стандарта является практически полезным для систематизации и упорядочения деятельности кредитной организации, и способствует существенному снижению операционного риска>, - комментирует Павел Гениевский, секретарь сообщества ABISS.

Чтобы определить отношение респондентов к Стандарту ЦБ, аналитический центр InfoWatchпредложил банкам оценить степень влияния этого нормативного акта на свой бизнес (рис. 11). Здесь снова респонденты выразили свои пессимистические настроения относительно влияния требований регулятора: 31% полагает, что Стандарт ЦБ вообще не влияет, а 43% полагают, что он влияет не существенно.



Углубленный анализ ответов на данный вопрос позволил выявить корреляцию между размером банка и влиянием на его бизнес Стандарта ЦБ. Так, абсолютно все банки, попавшие в категорию <влияет очень сильно> (26%), имеют более 2,5 тыс. компьютеризированных рабочих мест. Таким образом, в целом низкий уровень влияния Стандарта Банка России можно объяснить именно тем, что в базе респондентов преобладают в основном малые банки.

Тем не менее, последние исследования показывают, что по мере развития кредитно-финансового сектора в Центробанк будет ужесточать нормативную политику в сфере ИБ. Так, уже через 1-2 года регулятор может трансформировать характер стандарта из рекомендательного в обязательный для исполнения. Другими словами, проблемой стандартизации своей системы ИБ придется озаботиться, в том числе, малым и средним банкам, которые сейчас стараются этот вопрос игнорировать.

Соглашение Basel II

Соглашение Basel II (<Международная конвергенция измерения капитала и стандартов капитала: новые подходы>) является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Basel II предъявляет требования к минимальному размеру банковского капитала: организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие. Его положения уже применяются в Евросоюзе, США, Канаде, Японии и Индии. В 2009 году к соглашению планирует присоединиться и Россия.

Вторая итерация соглашения (в отличие от первой) требует учитывать при резервировании капитала не только рыночные и кредитные, но еще и операционные риски. При этом, исходя из неоднократных исследований российского кредитно-финансового сектора и опыта стран <большой десятки>, именно управление операционными рисками представляет для банков наибольшую сложность. Вдобавок, низкая эффективность при управлении операционными рисками часто приводит к существенному возрастанию репутационных рисков, которыми банки также обязаны управлять.

Согласно пункту 644 соглашения Basel II, операционный риск определяется как <риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий>. Это определение включает юридический риск, но исключает стратегический и репутационный риски. Легко видеть, что в определение операционных рисков попадают, прежде всего, действия инсайдеров (кража конфиденциальной информации, мошенничество, халатность и безалаберность). Более того, последние исследования показывают, что наиболее опасными являются риски, вызываемые действиями персонала (91%) и внутренними процессами (62%). С большим отставанием следуют риски убытка в результате действий систем (35%) или внешних событий (12%). Такое распределение ответов вполне объяснимо, так как кредитно-финансовые организации традиционно являются уязвимыми именно к внутренним угрозам. Например, инсайдеры (служащие банка) могут совершить финансовое мошенничество, украсть конфиденциальные отчеты компании или приватные данные ее клиентов. Таким образом, положения BaselIIмогут оказать достаточно сильное влияние на обеспечение внутренней ИБ в российских банках.

Тем не менее, это может произойти только когда требования BaselIIстанут обязательными для исполнения, а так как это должно произойти только в 2009 году, сегодня банки оценивают степень влияния BaselIIв основном, как не очень сильную (см. рис. 12). Так, 38% респондентов полагают, что данный нормативный акт вообще не влияет на бизнес компании, а 47% убеждены, что влияние есть, но не очень сильное. Наконец, лишь 23% банков считают, что соглашение BaselIIвлияет достаточно сильно на деятельность организации.



Снова анализ ответов в соответствии с портретом респондентов показывает, что вариант <вообще не влияет> выбрали преимущественно малые и средние банки. Что же касается сильного влияния, то все 23% этих респондентов принадлежат группе банков, имеющих более 2,5 тыс. рабочих станций.

Средства защиты

Посмотрим теперь, какие средства ИБ используют российские банки (рис. 13). Среди наиболее популярных инструментов за последний год оказались антивирусы (99%), межсетевые экраны (82%) и контроль доступа (73%). Что касается этих и других средств ИБ, то в целом представители банковского сектора используют больше различных продуктов и решений, чем компании, работающие в других отраслях экономики. Более того, кредитно-финансовый сектор является абсолютным рекордсменом по использованию защиты от утечки данных (13%). Практически каждый восьмой банк использует то или иное средство для предотвращения кражи информации инсайдерами. В среднем по всем отраслям экономики этот показатель достигает лишь 10,5%.



По мнению аналитического центра InfoWatch, относительно высокая защищенность банковского сектора (13% против 10,5%) объясняется несколькими факторами. Во-первых, практически вся информация, циркулирующая в банковской корпоративной сети, является классифицированной. Это персональные данные клиентов, конфиденциальные финансовые сведения, важные отчеты и коммерческие секреты самой компании и т.д. Другими словами, бизнес банка - это не только финансы, но и классифицированная информация. Во-вторых, российский банковский сектор традиционно уделяет повышенное внимание своей ИТ-инфраструктуре. Выше уже говорилось о том, что 35% банков имеют выделенные отделы ИБ и что это самый высокий показатель среди всех отраслей. В то же самое время отечественные банки часто имеют зрелую систему ИБ и потому внедряют различные инновационные продукты и решения. Не исключением стали и системы защиты от утечки, которые в кредитно-финансовом секторе получили сегодня наибольшее распространение. Таким образом, характер бизнеса, а также зрелый и инновационный подход к ИБ позволяют российским банкам защищаться от инсайдеров более эффективно, чем предприятиям в других отраслях экономики.

В то же самое время 13% - это слишком малый показатель в масштабах отрасли. При чем если вернуться к результатам девятого вопроса (рис. 9), отвечая на который 21% респондентов заявили, что в 2006 году они не зафиксировали ни одной утечки. Получается, что минимум 8% (21% минус 13%) из этих компаний не допустили утечек, хотя не используют никаких средств защиты. Более того, из последнего факта вытекает, что такие организации даже не могут отследить, происходят у них утечки или нет. Таким образом, их уверенность в отсутствии утечек не имеет под собой объективных оснований.

Обратимся теперь к следующему вопросу, который логично вытекает из предыдущего. Что именно мешает компаниям внедрять системы защиты от утечек? В предложенном ниже списке (рис. 14) каждый респондент мог выбрать только одну основную причину. Как оказалось, наибольший вес для российских банков имеет отсутствие стандартов (32%). Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, а еще и единое видение системы внутренней безопасности. Так, многие респонденты отмечали, что сегодня еще не сформировался единый подход к решению проблемы внутренней ИБ. В результате компаниям сложно планировать бюджеты и выбирать продукты для внедрения. Отсюда вытекает еще одна проблема - бюджетные ограничения (20%). Ведь, не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее распределять часть бюджета на решение проблемы инсайдеров.



Полученные результаты очень интересно сравнить с общеотраслевыми. Так, в опросе всех секторов экономики лидерами среди препятствий стали психологические препятствия (они набрали 25,4%). В то же самое время отсутствие стандартов оказалось на пятом месте (с 12,2%). Отсюда напрашивается вывод, что банковский сектор подходит к проблеме внутренней ИБ намного более зрело, чем другие отрасли. Это проявляется в том, что представители банков уже перешагнули психологический барьер и отчетливо понимают, что сегодня необходимо унифицировать процесс защиты от внутренних угроз. С этим мнением полностью согласны эксперты InfoWatch, которые полагают, что выработка единого подхода к решению проблемы инсайдерских рисков просто необходима. Более того, она уже идет сейчас, но занять может около 2-3 лет. Таким образом, сложность выбора конкретного решения для защиты от утечек вполне объяснима.

<Сегодня на рынке действительно все еще формируется единое видение внутренней ИТ-безопасности. На практике часто поставщики предлагают одно, а российским банкам нужно совсем другое. На мой взгляд, бизнесу следует искать комплексные продукты, которые фокусируются на решении только проблемы утечки конфиденциальной информации и позволяют покрыть основные коммуникационные каналы. При этом такие продукты должны быть расширяемыми, чтобы банк мог со временем добавлять новые каналы, которые также будут подконтрольны системе внутренней ИТ-безопасности>, - комментирует Дмитрий Мананников, директор по информационной безопасности КБ <СДМ-БАНК>.

На следующем этапе аналитический центр InfoWatchпредложил респондентам определить наиболее эффективные пути защиты от утечек (рис. 15). Речь здесь идет о тех решениях, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин (см. выше), не используемых респондентами на практике.



Наиболее эффективным средством являются комплексные информационные продукты (52%). Эта мера лидирует вот уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы. Далее следуют организационные меры (23%), ограничение связи с внешними сетями (19%) и тренинги персонала (6%). Причем как полагают эксперты InfoWatch, наиболее эффективным способом минимизации инсайдерских рисков является комбинация различных способов. Правда, базовой основной все равно должно быть комплексное решение на основе ИТ, так как только с его помощью можно закрепить положения политики ИБ на рабочих местах.

Этот вывод полностью подтверждают результаты последнего вопроса, в котором аналитический центр InfoWatch предложил респондентам определить свои планы на ближайшие 2-3 года. Согласно распределению ответов (рис. 16), практически девять респондентов из десяти (91%) планируют внедрить в ближайшие три года ту или иную систему защиты от утечек.



Наибольшим вниманием респондентов пользуются комплексные решения (34%). Этот показатель несколько отстает от общеотраслевого (почти на 10%), но следует иметь в виду, что банковский сектор является рекордсменом по использованию систем защиты от утечек уже в данный момент. Среди других планов респондентов следует отметить средства мониторинга электронной почты (27%), Интернет-трафика (18%), а также системы контроля над рабочим станциями (12%).

Открытый вопрос

В заключение исследования респондентам было предложено просто прокомментировать проблему внутренних нарушителей и высказать свое мнение по любому связанному с ней аспекту. Здесь представители банковского сектора снова высказали свою тревогу относительно отсутствия единого подхода к обеспечению внутренней безопасности. Отметим, что это же самое мнение разделяют предприятия других отраслей, например, телекоммуникационной отрасли и ТЭК.

На практике отсутствие стандарта очень сильно затрудняет выбор конкретного решения, так как организация вынуждена выслушивать очень многих поставщиков, каждый из которых обладает какими-то плюсами, но мало чем пересекается с конкурентами. Кроме того, возникают естественные трудности с планированием бюджета.

Тем не менее, респонденты отмечают, что сегодня уже начинают появляться некоторые точки соприкосновения. Они, прежде всего, связаны с тем, что организации постоянно расширяют число коммуникационных каналов, которые используются в бизнесе: электро

Вернуться к списку новостей

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС