SearchInform - Особенности защиты от внутренних угроз в банковской сфере

1. www.searchinform.ru
Особенности защиты от
внутренних угроз в
банковской сфере из опыта
SearchInform

2. www.searchinform.ru
Утечки из банка конфиденциальной информации способны не только ослабить
его позиции в конкурентной борьбе, но и существенно ухудшить отношение к этому
банку со стороны клиентов и государственных структур. В этом плане наиболее
опасной оказывается утечка данных о клиентах (как частных, так и корпоративных)
и/или о проводимых ими финансовых операциях.
Информационная безопасность банкаИнформационная безопасность банка

3. www.searchinform.ru
Специалисты по банковской безопасности
особо выделяют следующий перечень угроз
информационной безопасности (утечек)
Утечки информацииУтечки информации

4. www.searchinform.ru
 Утечка кадров к конкурентам. Уходящие специалисты обычно уносят с собой
разного рода конфиденциальную информацию.
 Утечка информации по корпоративным клиентам. Обычно с крупными
корпоративными клиентами банки работают индивидуально – на особых условиях.
Утечки информацииУтечки информации

5. www.searchinform.ru
 Утечка информации о проводимых банковских транзакциях – кто, куда и какие
суммы переводит. Практически всегда обнародованный факт такой утечки приводит
к фатальному оттоку клиентов и подрыву доверия к банку. В таких ситуациях
особенно важно следить за персоналом.
Утечки информацииУтечки информации

6. www.searchinform.ru
 Очень много информации конкурентам и просто недоброжелателям может
дать внутренняя служебная переписка – обсуждение проблем в коллективе, чьих-
то ошибок и т.д. Обычно она ведется во внутреннем чате или с использованием
программ типа ICQ. При этом доступ к секретной информации могут получать
сотрудники, изначально такого доступа не имевшие.
Утечки информацииУтечки информации

7. www.searchinform.ru
 Утечки в средства массовой информации.
Утечки информацииУтечки информации

8. www.searchinform.ru
 Утечка информации о разрабатываемых маркетинговых
программах, инновациях в этой сфере.
 Утечка информации об инвестиционных планах банка. Способна
привести к срыву важных и потенциально очень доходных проектов.
Утечки информацииУтечки информации

9. www.searchinform.ru
 Утечка информации о системе безопасности банка. Открывает
широкие возможности для деятельности криминальных структур.
Утечки информацииУтечки информации

10. www.searchinform.ru
 Утечки информации о перемещениях наличных денег (включая
выдаваемые наличными кредиты). Следствием может стать банальное
ограбление инкассаторов или клиентов.
Утечки информацииУтечки информации

11. www.searchinform.ru
 Мошеннические сделки, совершающиеся самими
сотрудниками банка или при их непосредственном участии.
Утечки информацииУтечки информации

12. www.searchinform.ru
С целью дальнейшего предотвращения подобных
инцидентов был принят и введен в действие
распоряжением Банка России стандарт об
«Обеспечении информационной безопасности
организаций банковской системы Российской
Федерации»
Один из его ключевых постулатов – чтобы положения приведенных в
нем документов носили не рекомендательный, а обязательный характер.
Стандарт Банка РоссииСтандарт Банка России

13. www.searchinform.ru
Далее предлагаем Вам ознакомиться с некоторыми
рекомендациями Банка России, который могут быть в
полной мере соблюдены с помощью программных
продуктов компании «SearchInform»
Вот цитаты из рекомендаций с примерами используемых продуктов:
Рекомендации Банка РоссииРекомендации Банка России

14. www.searchinform.ru
3.15. мониторинг информационной безопасности организации банковской
системы Российской Федерации (мониторинг ИБ): постоянное наблюдение
за событиями ИБ, сбор, анализ и обобщение результатов наблюдения.
3.16. аудит информационной безопасности организации банковской
системы Российской Федерации: периодический, независимый и
документированный процесс получения свидетельств аудита и объективной
их оценки с целью установления степени выполнения в организациях
банковской системы РФ установленных требований по обеспечению
информационной безопасности.
5.2. При осуществлении менеджмента документов по обеспечению ИБ
рекомендуется … обеспечить выявление документов, созданных вне
организации.
Цитата
Рекомендации Банка РоссииРекомендации Банка России

15. www.searchinform.ru
Для сбора, обобщения, анализа и контроля за обращением внутренней
банковской информации оптимально подходит программный комплекс
SearchInform – система полнотекстового поиска, ориентированная на
корпоративных клиентов. Основное ее преимущество перед
конкурентами – запатентованная функция поиска документов, похожих по
содержанию на текст запроса. При таком поиске, после обработки запроса, в
результатах поиска выводятся документы, максимально похожие на заданный
фрагмент текста.
Решение отРешение от SearchInformSearchInform

16. www.searchinform.ru
5.4. Наибольшими возможностями для нанесения ущерба организации
банковской системы обладает ее собственный персонал. В этом случае
содержанием деятельности злоумышленника является нецелевое
использование предоставленного контроля над информационными активами,
а также сокрытие следов своей деятельности. Внешний злоумышленник
скорее да, чем нет, может иметь сообщника(ов) внутри организации.
8.2.6.4. Электронная почта должна архивироваться. Архив должен
быть доступен только подразделению (лицу) в организации, ответственному
за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к
информации архива должен быть ограничен.
Цитата
Рекомендации Банка РоссииРекомендации Банка России

17. www.searchinform.ru
«Контур информационной безопасности» позволяет отслеживать утечки
конфиденциальной информации через е-mail, ICQ, внешние устройства (USB/CD),
документы отправляемые на печать и выявлять её появление на компьютерах
пользователей.
Решение отРешение от SearchInformSearchInform

18. www.searchinform.ru
В состав Контура информационной безопасности от
компании «SearchInform» входит ряд программ, позволяющих
в сжатый период времени составить однозначное, а главное –
объективное и подтвержденное документально
представление о неформальных информационных потоках
внутри банка:
Контур информационной безопасностиКонтур информационной безопасности

19. www.searchinform.ru
Электронная почта
Один из наиболее опасных каналов утечек, так как поддерживается
пересылка больших объемов данных. Поддерживаются протоколы SMTP,
POP3, MAPI, IMAP.
HTTP
Возможны утечки информации в социальные сети, блоги, на форумы, а также
через Web-приложения для отправки электронной почты и SMS, Web-чаты.
FTP
Этот протокол - важнейшее средство передачи больших объемов данных, и
может использоваться недобросовестными сотрудниками для передачи
целых баз данных, детализированных чертежей, пакетов отсканированных
документов и пр.
Перехват интернет-трафика
SearchInform NetworkSniffer позволяет осуществлять перехват информации,
передаваемую через интернет. Поддерживаются все распространенные
протоколы, которые могут использоваться инсайдерами. Предлагается
поддержка прокси-серверов - как программных (Kerio, Squid и т.д.), так и
аппаратных (BlueCoat, IronPort и т.д.) - через стандартный протокол ICAP.
Элементы «Контура информационной
безопасности»
Элементы «Контура информационной
безопасности»
Элементы «Контура информационной
безопасности»
Элементы «Контура информационной
безопасности»

20. Skype
«Контур информационной безопасности SearchInform» является
первым решений в области информационной безопасности,
обеспечившим перехват не только голосовых и текстовых
сообщений, но и файлов, передаваемых через Skype.
PrintSniffer
Это программа, которая контролирует содержимое документов,
отправленных на печать. Все данные перехватываются,
содержимое файлов индексируется и хранится в базе
заданный промежуток времени.
Отслеживая документы, напечатанные на принтере, можно не
только предотвращать попытки хищения информации, но также
оценить целесообразность использования принтера каждым
сотрудником и избежать перерасхода бумаги и тонера.
Службы мгновенного обмена сообщениями (IM)
Поддерживаются протоколы ICQ, MSN, Mail.ru Агент, JABBER,
активно используемые офисными работниками.
www.searchinform.ru
Элементы «Контура информационной
безопасности»

21. www.searchinform.ru
DeviceSniffer – программа, выполняющая аудит внешних
носителей, подключенных к компьютеру (флэшки, компакт-
диски, внешние винчестеры), а также перехват
записываемых на них файлов благодаря функции
«теневого копирования». С помощью этой программы вы
можете избежать утечки больших объемов данных, которые
инсайдер переписывает на внешние носители из-за
невозможности их передачи по интернету.
MonitorSniffer предназначен для перехвата информации,
отображаемой на мониторах пользователей и сохранения
полученных снимков экрана в базе данных.
Поддерживается контроль экрана одного или нескольких
пользователей в режиме реального времени, можно
отслеживать состояние экранов пользователей
терминальных серверов, работающих по RDP-соединению
(протоколу удаленного рабочего стола).
Элементы «Контура информационной
безопасности»

22. www.searchinform.ru
Индексация рабочих станций позволяет в режиме
реального времени отслеживать появление, копирование,
перемещение и удаление конфиденциальной
информации на рабочих станциях пользователей.
Подобный аудит пользовательских компьютеров во всей
локальной сети предприятия позволит вовремя
обнаружить сотрудника, собирающегося передать
закрытые корпоративные документы третьим лицам.
FileSniffer контролирует работу пользователей на общих
сетевых ресурсах, которые содержат большие объемы
конфиденциальных данных, не предназначенных для
распространения за пределами компании. Копируя
документы с этих ресурсов, сотрудники могут торговать
корпоративными секретами. SearchInform FileSniffer
позволяет контролировать все операции с файлами на
общедоступных сетевых ресурсах, защищая информацию,
находящуюся на них.
Элементы «Контура информационной
безопасности»

23. Разграничение прав доступа
www.searchinform.ru
Каждый из компонентов контура информационной безопасности предприятия
согласуется с единой системой разграничения прав доступа. Система
обладает рядом гибких настроек и позволяет выстроить иерархию доступа к
конфиденциальной информации любым образом.

24. www.searchinform.ru
9.7.1. Для реализации задач развертывания и эксплуатации СМИБ
организации рекомендуется иметь в своем составе (самостоятельную или в
составе службы безопасности) службу ИБ (уполномоченное лицо). Службу ИБ
рекомендуется наделить следующими полномочиями:
- контролировать пользователей, в первую очередь пользователей,
имеющих максимальные полномочия;
- контролировать активность, связанную с доступом и использованием средств
антивирусной защиты, а также связанную с применением других средств
обеспечения ИБ;
- осуществлять мониторинг событий, связанных с ИБ;
- расследовать события, связанные с нарушениями ИБ, и в случае
необходимости выходить с предложениями по применению санкций в
отношении лиц, осуществивших противоправные действия, например,
нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ
организации;
Цитата
Рекомендации Банка РоссииРекомендации Банка России

25. www.searchinform.ru
Alert Center является звеном, связывающим между собой все компоненты
в единый контур информационной безопасности компании.
Alert Center опрашивает все компоненты и, при наличии определённых
ключевых слов, фраз или даже фрагментов текста в перехваченной любой
из программ информации, немедленно даёт об этом знать лицу,
ответственному за информационную безопасность.
Решение отРешение от SearchInformSearchInform

26. www.searchinform.ru
Кейсы в банковской сфере
Банк установил «КИБ SearchInform» для
тестирования. В процессе работы DLP-система
перехватила письмо одного из сотрудников банка,
в котором говорилось, что руководство отдела по
работе с юридическими лицами передает за
пределы банка информацию о персональных
данных клиентов. Было проведено служебное
расследование, которое помогло прояснить
ситуацию и установить всех причастных к
инциденту.
Вывод. Переданные документы содержали персональные данные клиентов компании.
Разглашение подобной информации могло привести единоразовой уплате штрафа в размере
по 500 тыс. рублей. Кроме того, сведения попали в руки конкурентов, что позволило им
предложить некоторым клиентам более выгодные условия сотрудничества. Каждый год из-а
ухода заемщиков и вкладчиков в другие финансовые учреждения банк терял в среднем 108,5
млн. рублей.

27. www.searchinform.ru
Вывод. Раскрытие информации о
владельцах акций привело к активизации
деятельности конкурентов и подрыву
репутации, что негативно сказалось на потоке
клиентов. По подсчетам экспертов банка,
если бы утечка не была пресечена, за год
банк мог бы потерять более 72,1 млн. рублей.
Во время теста в достаточно крупном банке (более 700 компьютеров), было
выявлено, что сотрудники одного из отделений банка обладают информацией о
пакетах акций акционеров, вплоть до второго знака после запятой и информацией
о личных счетах этих акционеров. Данные сотрудники не являлись менеджерами
высшего звена, что приводило к утечкам информации в прессу.
Кейсы в банковской сфере

28. www.searchinform.ru
Кейсы в банковской сфере
В одном банке c помощью
SearchInform SkypeSniffer была
зафиксирована переписка 2
сотрудников в течение
нескольких дней по 5 часов в
день по нерабочим вопросам.
После того, как информация об
инциденте была предоставлена
директору, сотрудников уволили.
Вывод. Час работы каждого из сотрудников составлял 300 рублей. Если
бы инцидент не был обнаружен, за год банк потерял бы 800 тыс. рублей.

29. www.searchinform.ru
Вывод. В том случае, если бы
информация с накопителя
попала бы в руки конкурентов,
банк всего за год по оценкам
специалистов мог потерять от
5 до 20 млн. рублей.
Один из сотрудников банка готовился к переходу на работу в конкурирующий
банк. И чтобы не уходить с пустыми руками, скачал информацию, которая
составляет коммерческую тайну банка, на личную флэшку. Модуль DeviceSniffer
обнаружил этот факт, и служба безопасности успела предпринять необходимые
шаги, чтобы вовремя предотвратить утечку.
Кейсы в банковской сфере

30. www.searchinform.ru
1. Простота и скорость внедрения. Процесс инсталяции зани-мает всего
несколько часов и не влияет на функционирование существующих
информационных систем внутри компании.
Преимущества Контура информационной
безопасности SearchInform
2. Возможность контроля всех каналов передачи информации, включая
Skype, социальные сети, принтеры, а также работу пользователей на файл-
серверах.
3. Функция «поиск похожих». Позволяет собственными силами быстро и гибко
настроить систему оповещения, не привлекая сторонних специалистов. При этом
для эффективной защиты конфиденциальных данных необходимы минимальные
трудозатраты на анализ информационных потоков.
4. Полная интеграция с доменной структурой Windows позволяет
достоверно идентифицировать пользователя.
5. Расширенные поисковые возможности позволяют эффективно
защищать конфиденциальные данные при минимальных
трудозатратах на анализ информационных потоков (достаточно 1
«безопасника» для контроля 1000 – 1500 рабочих станций в организации).

31. КлиентыКлиенты
www.searchinform.ru
Программные продукты компании «SearchInform» успешно решают
поставленные задачи в банках и финансовых компаниях, государственных
структурах и в крупных промышленных, сырьевых, телекоммуникационных и
IT-компаниях России и стран СНГ.

32. Спасибо за вниманиеСпасибо за внимание
www.searchinform.ru