Утечки ничему не учат российские банки

Недавнее исследование информационной безопасности (ИБ) показало, что треть банков России имеют проблемы в этой сфере и никак не защищены. «Эксперт Северо-Запад» проанализировал последствия такого отношения к возможной утечке информации.

История утечек

Мы решили вспомнить наиболее заметные и показательные скандалы, связанные с утечкой информации, за последние пять лет. На их основе можно выделить определенную закономерность: одной из главных опасностей могут стать сами сотрудники банка, которые используют его данные против компании с целью хищения средств либо вымогательства.

В феврале 2013 года ряд сотрудников ОАО «Сбербанк России», используя связи в финансово-кредитных учреждениях, получали сведения о держателях банковских карт, состоянии счетов, а также паспортные данные. Потом на их имена оформляли новые карты, предоставляя ложные сведения о трудоустройстве, а по поддельным доверенностям «сберовцы» получали доступ к денежным средствам клиентов, переводили их на свои счета и обналичивали. По данным СМИ, мошенникам удалось получить 50 млн рублей.

В августе 2013 года председатель правления организации по защите прав заемщиков Башкирии «Форпост» и его заместитель получили данные по клиентской базе ИнвестКапиталБанка. Используя их, они собирались путем рэкета заполучить у председателя банка 4 млн рублей наличными и еще столько же автокредитами.

Весной 2012 года в Сбербанке произошла утечка данных о коде сигнализации в одном из отделений банка, из-за чего удалось похитить более 20 млн рублей.

В 2009-м прошла волна вирусных атак на российские банкоматы. Вирус перехватывал данные о банковских картах клиентов, которые ранее использовали конкретный банкомат. При этом их сети обычно не связаны с интернетом, и единственный способ проникновения вируса – участие людей, связанных с банком или его сотрудниками.

Еще один пример того же года – когда в Воронеже сотрудники ОАО «Уралсиб» перешли работать в банк «Поволжский», забрав с собой клиентскую базу предыдущего работодателя.

Что касается сети банкоматов, то в 2010 году в Краснодаре у Альфа-банка произошла крупнейшая на тот момент утечка информации. Чтобы предотвратить хищение денежных средств, банк заблокировал 7 тыс. карт.

Состояние ИБ российских банков

Согласно данным Zecurion Analytics и Ассоциации российских банков (АРБ), две трети банков (63,5%) имеют подразделения по ИБ, а собственный бюджет на ИБ – 31,3% общего количества компаний. Регулярную оценку рисков информационной безопасности проводят примерно четверть кредитных организаций.

Основными причинами отсутствия отделов ИБ банки называют большое количество нормативных требований (76,9% респондентов). «Дело не в количестве, а в качестве нормативных документов, – в свою очередь, говорит председатель комитета по информационной безопасности АРБ Александр Велигура. – Хочется отметить, что АРБ и ее комитет по банковской безопасности – это именно то место, где представители служб ИБ могут встретиться с представителями регулирующих органов и обсудить возникающие вопросы».

Кроме этого, среди проблем банки-респонденты отмечают недостаток финансирования (38,8%), кадровый голод (38,1%), слабую подготовку по вопросам ИБ сотрудников бизнес-подразделений (40%), а также отсутствие поддержки со стороны топ-менеджмента (25,4%). А 26,1% банков отметили неудовлетворительное качество решений по ИБ.

При этом в отчете, который аналитики подготовили при поддержке Ассоциации российских банков, указано, что на данный момент даже далеко не все банки имеют специальное подразделение, занимающееся информационной безопасностью. Специалисты опросили 134 банка и выяснили, что среди опрошенных лишь 63,4% имели отдел, специализирующийся на защите информации.

Кроме того, согласно рекомендациям стандарта Банка России по информационной безопасности, службы ИБ должны располагать собственным бюджетом. Широко распространено смешение бюджетов на ИТ и ИБ (23,1% банков).

Необходимые меры

Банк ВТБ24 отмечает, что наличие ИБ – одна из главных составляющих доверия для клиентов. «Наиболее часто меры по защите принимаются банками в отношении клиентской информации, в частности персональных данных частных лиц», – сообщили «Эксперту Северо-Запад» представители банка. Кроме того, они отметили, что на рынке нет проблем со специалистами в сфере ИБ.

«В нынешней ситуации бурного развития ИT-технологий и активизации кибер-преступности с целью комплексного анализа и прогнозирования банк выделяет ряд угроз: сетевые распределенные атаки на серверы, неправомерное получение злоумышленниками персональной информации пользователей систем дистанционного банковского обслуживания путем рассылки электронных сообщений, содержащих вирусы, и т.д.», – рассказывают представители Россельхозбанка.

По их мнению, в отношении кибер-злоумышленников должны быть обеспечены заинтересованность правоохранительных органов в результатах расследований, консолидация государственных органов, операторов связи и банковского сообщества, а также повышение осведомленности в области ИБ на государственном уровне.

В Россельхозбанке отмечают, что специалистов по ИБ недостаточно. При этом их могут готовить такие вузы, как МГТУ имени Н.Э. Баумана, НИЯУ МИФИ и др.

По оценкам Zecurion Analytics, на каждую успешную хакерскую атаку с целью получить конфиденциальную информацию приходится порядка 20 случаев ее утечки. Хакерские атаки в данном случае не так эффективны. «Если же разбирать случаи утечки информации, то около 40% инцидентов – это целенаправленный "слив" информации, а 60% – случайные утечки по глупости или вследствие халатности либо плохой осведомленности по вопросам информационной безопасности, – рассказывает руководитель аналитического центра Zecurion Analytics Владимир Ульянов. – Риск утечки информации в разы выше, чем хакерских атак, так как ее проще осуществить: человек уже имеет легальный доступ к сведениям».

По его словам, для предотвращения утечки требуется долгая работа, и необходимо понимать, какую информацию защищать. «Информацию нужно классифицировать, структурировать и только потом защищать. Особую роль играет организационная составляющая – регулярные тренинги и ликбезы среди персонала по вопросам информационной безопасности. Тем более что большинство утечек происходят непреднамеренно», – добавил аналитик.