Спецпроекты

Безопасность

Банки: почти каждый инсайдер уносит $1 млн.

Недавнее исследование компании Deloitte, посвященное защите информации, показало, что 70% утечек обходятся пострадавшему финансовому институту более чем в 1 млн. долларов каждая. Согласно обзору, список приоритетных задач в области обеспечения ИБ, которые банкам и страховым компаниям придется решать в ближайшее время, по-прежнему возглавляют защита от утечек и инсайдеров.

Компания Deloitte опубликовала результаты своего ежегодного исследования "2006 Global Security Survey", в ходе которого были опрошены крупнейшие финансовые компании по всему миру. С портретом респондентов можно ознакомиться в отчете Deloitte. Здесь же будут рассмотрены лишь ключевые выводы исследования. Исследование показало, что одной из наиболее сложных проблем является контроль над информационными активами, покидающими корпоративную среду. Аналитики Deloitte отмечают, что такие операции намного сложнее контролировать и протоколировать. Лучше всего проблему иллюстрирует бум мобильных и беспроводных технологий, в результате которого организациям стало еще труднее защищать конфиденциальную информацию и приватные данные. Между тем, технические решения, ограничивающие использование коммуникационных возможностей ИТ-инфраструктуры, вызывают отторжение и недовольство пользователей.

Еще одной опаснейшей угрозой является кража личности, которую аналитики Deloitte назвали "преступление XXI века". Согласно исследованию "2006 Global Security Survey", защита от кражи личности и мошенничества со счетами являются двумя основными приоритетами, на которых большинство (58%) финансовых компаний сфокусируют свои усилия в следующем году. Чтобы справиться с этой задачей, банки и страховые фирмы по всему миру будут внедрять специальные решения для защиты конфиденциальной информации.

Проблема усугубляется постоянными утечками классифицированных данных, многие из которых стали известны публике в 2005 году. 18% финансовых компаний сообщили, что в той или иной степени стали жертвой утечки конфиденциальной информации за прошедший год и теперь страдают от долгосрочных отрицательных последствий этого инцидента. Аналитики Deloitte отмечают, что современные злоумышленники прекрасно осведомлены о ценности персональных данных клиентов фирмы, поэтому идут на самые разные хитрости, чтобы заполучить эти сведения. Например, крадут ноутбуки и другие мобильные устройства, пытаются обмануть служащих call-центра или инсайдеров, имеющих доступ к информации. Однако довольно часто компрометация важных данных является следствием человеческого фактора. Персонал финансовых компаний недостаточно подкован в вопросах информационной безопасности (ИБ), поэтому часто ошибается и путает классифицированные записи с публичными. Таким образом, эффективная защита конфиденциальной информации – это то, к чему стремятся финансовые компании по всему миру. Многие фирмы уже осознали, что наличие адекватной системы внутренней ИБ и отсутствие утечек являются конкурентным преимуществом, позволяющим завоевывать новых клиентов и удерживать старых.

Направления развития ИБ

Аналитики Deloitte указывают, что каждой финансовой компании необходима стратегия ИБ, в рамках которой должны строить конкретные программы по развитию системы ИБ. Чтобы определить стратегию информационной безопасности, следует разобраться с наиболее приоритетными направлениями развития корпоративной системы ИБ. Исследование "2006 Global Security Survey" показало, что основными приоритетами современных финансовых компаний являются совместимость с международными нормативными актами (67%), защита от кражи личности и мошенничества со счетами (58%), непрерывность бизнеса (49%), улучшение инфраструктуры (41%) и управление идентификацией (41%). Таким образом, вектор развития ИБ в финансовых компаниях указывает по направлению совместимости со стандартами и внутренней ИБ.

Наиболее приоритетные направления развития корпоративной системы ИБ

Наиболее приоритетные направления развития корпоративной системы ИБ

Источник:"2006 Global Security Survey", 2006

По мнению аналитического центра InfoWatch, обозначенные приоритеты в полной мере справедливы и для отечественных финансовых компаний. Например, сегодня в России действует стандарт Центробанка по ИБ, в котором черным по белому прописано (пункт 5.4): "Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации". Таким образом, российским банкам и страховым компаниям предстоит решать проблему совместимости с нормативными актами (в данном случае со стандартом ЦБ по ИБ) и защищаться от инсайдеров (как того требует стандарт и доводы логики).

Внутренние угрозы ИБ

Опрос ведущих финансовых компаний показал, что 49% респондентов зафиксировали внутренние инциденты за прошедшие двенадцать месяцев. В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов. 18% организаций стали жертвой утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть.

Инсайдерские инциденты за последние 12 месяцев

Инсайдерские инциденты за последние 12 месяцев

Источник:"2006 Global Security Survey", 2006

Утечки оказывают наибольшее отрицательное влияние на имидж и репутацию организации. В этом году 72% финансовых компаний, которые пострадали от утечки, оценили свои прямые и косвенные убытки в районе 1 млн. долларов, а у 2% респондентов ущерб превысил 5 млн. долларов. При этом 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Можно резюмировать, что банки и страховые компании сегодня, как никогда ранее, чувствительны к утечке важной информации.

Короткая ссылка