Новости информационная безопасность - Куда двигается безопасность?
ИБ в финансах: compliance и утечки "в дамках". Результаты исследования компании Deloit.
Финансовая отрасль традиционно считается одним из основных потребителей решений по информационной безопасности. Банки и страховые организации имеют максимальные бюджеты на безопасность, приобретают самые современные решения, однако все равно испытывают целую совокупность проблем. Причем в условиях экономического кризиса эти проблемы опаснее вдвойне.
За последние полгода финансовый мир потрясла целая череда утечек и скандалов. Первый звоночек прозвучал еще прошлой осенью, когда случился инцидент в банке RBS WorldPay. В результате утечки из довольно крупного банка были потеряны сведения о более чем полутора миллионах банковских карт. К концу года выяснилось, что эта информация уже была использована мошенниками, причем весьма специфичным образом – более 100 человек в 49 городах мира одновременно обналичили поддельные карты в банкоматах. Прямой ущерб от действий мошенников – 9 млн долларов – никак не учитывает репутационные потери, которые понес королевский шотландский банк.
Дальше – больше. 20 января нынешнего года, в день инаугурации очередного президента США Барака Обамы, стало известно о еще более масштабном инциденте. Компания Heartland Payment Services, шестой по величине процессинговый центр США, объявила об утечке информации, которая может стать крупнейшим инцидентом в истории. Точное количество пострадавших не обнародовано до сих пор, однако о проблемах из-за утечки в Heartland уже объявили более 600 (!) американских банков.
Не лучшим образом обстоят дела и в России. В марте нынешнего года компания "Доктор Веб" сообщила о появлении трояна в закрытых сетях сразу трех российских банков – "Петрокоммерца", Росбанка и Бинбанка. По данным "Доктора", троян перехватывал информацию о банковских картах непосредственно с банкоматов, причем впоследствии эта информация попадала в руки мошенников. Примечательно, что "сети банкоматов не связаны с Всемирной паутиной... единственный способ проникновения на них подобной вредоносной программы – участие в этом процессе людей, тесно связанных с банками или являющихся их сотрудниками" (пресс-служба компании "Доктор Веб").
Чтобы понять истинное состояние информационной безопасности в финансовых организациях, обратимся к глобальному исследованию ведущей консалтинговой фирмы Deloitte – "The Global Security Survey'2008". В рамках исследования, результаты которого были опубликованы в феврале нынешнего года, представители Deloitte опросили специалистов по безопасности крупнейших финансовых организаций 32 стран мира.
Рассказ об основных выводах исследования Deloitte уместно начать с нескольких тезисов про глобальную парадигму безопасности в финансовых компаниях. Дело в том, что защищенность организаций, а также типы используемых продуктов напрямую зависят от тех задач и подходов, которые исповедует департамент по информационной безопасности. При этом практика показывает, что эти задачи и подходы непрерывно меняются.
Еще вчера под информационной безопасностью понималась техническая защищенность всех цифровых активов от различного рода угроз. Информационная безопасность сегодня является комплексной и вполне самодостаточной сферой деятельности любой финансовой компании. В этом смысле защищенность информации становится всего лишь одной из проблем руководителя подразделения ИБ, который также вынужден решать управленческие вопросы, разбираться в нюансах приватности, думать о соответствии нормативным требованиям и использовать риск-ориентированный подход. Короче говоря, безопасность становится стратегией, которая обеспечивает конкурентное преимущество компаний.
По данным Deloitte (рис. 1), 61% компаний уже приняли "Стратегию информационной безопасности", а в 21% случаев этот документ находится в процессе согласования. При этом аналитики признают, что наличие такого документа де-факто ни о чем не говорит – значительно важнее его содержание и, главное, – частота применения. А вот с этими параметрами как раз имеются трудности, поскольку стратегия безопасности согласуется с бизнес-целями организации только в 63% случаев.
За разработку и реализацию стратегии, как правило, отвечает человек с модной ныне должностью CISO (Chief Information Security Officer – начальник управления информационной безопасности). Такие сотрудники работают в четырех финансовых компаниях из пяти и подчиняются непосредственно топ-менеджменту организации. Весьма примечательно, что 7% финансовых организаций имеют не одного CISO, а как минимум двоих.
Другим интересным трендом является рост количества "комитетов по безопасности" – неких корпоративных объединений, ответственных за выработку стратегических решений. Обычно в комитет по безопасности входят сразу несколько топ-менеджеров организации, каждый из которых отвечает за различные функции. Отметим, что CISO подчиняется такому комитету в 9% случаев, что также говорит о росте роли информационной безопасности в жизни финансовых структур.
Какие функции выполняет типичный современный CISO? В рамках ответа на данный вопрос Deloitte приводит список из 28 различных функциональных направлений, причем на вершине этого списка располагаются абстрактно-стратегические функции, такие как "планирование", "управление" и "разработка архитектуры". Весьма показательно, что непосредственное внедрение решений оказалось всего лишь на шестом месте списка, набрав чуть менее 60% голосов (рис. 2).
В качестве предварительного резюме еще раз подчеркнем главный тренд – задача обеспечения безопасности перетекает из тактико-технической плоскости в управленческо-стратегическое пространство. Как следствие, происходят изменения и в тех проектах, которые реализуются департаментом по безопасности.
Список функциональных ответственностей CISO эквивалентен операционной или рутинной загруженности департамента безопасности. Вместе с тем он дает весьма слабое представление о том, что волнует современных CISO больше всего и какие проектные инициативы являются наиболее горячими.
Аналитики Deloitte указывают, что среди трех наиболее актуальных инициатив по-прежнему находятся проекты по соответствию нормативным требованиям и управлению доступом сотрудников. Однако третья инициатива по сравнению с прошлым годом существенно изменилась – теперь эту позицию занимают проекты, связанные с защитой от утечек информации (рис. 3).
Каждая из трех наиболее значимых инициатив заслуживает более подробного разговора. Говоря о соответствии нормативным требованиям, нельзя не отметить общую специфику финансовых компаний, связанную с их тотальной зарегулированностью.
В этом смысле информационная безопасность отнюдь не является исключением. Иностранные банки вынуждены подчиняться сразу нескольким нормативам в этой сфере – прежде всего, стандарту безопасности банковских карт PCI DSS, а также государственным нормативам по защите персональных данных клиентов. Кроме того, нельзя забывать и о требованиях к внутреннему контролю – такие нормативные документы, как Basel II или SOX, также имеют приложения в области безопасности.
Практически аналогичная тенденция наблюдается и в нашей стране – российские финансовые организации могут попасть под требования сразу шести нормативов по безопасности. В частности, такими нормативами являются:
- Стандарт Банка России по информационной безопасности;
- Федеральный закон "О персональных данных";
- Федеральный закон "О коммерческой тайне";
- PCI DSS;
- Basel II, SOX и другие нормативы по внутреннему контролю.
Тенденции последних лет явно говорят о том, что регуляторы все жестче "закручивают гайки" и более жестко используют механизмы давления с целью заставить банки соответствовать стандартам. Самым ярким примером является все тот же стандарт PCI DSS, который всего за пять лет прошел путь от никому не известного документа до норматива, который будоражит всю банковскую общественность. Вполне возможно, в России аналогичный путь пройдет Стандарт ЦБ РФ, а также ФЗ "О персональных данных" – оба обозначенных норматива активно развиваются и совершенствуются (причем ФЗ это делает в виде появления новых подзаконных актов).
Высокая популярность второй инициативы – управления идентификацией и доступом – также была предсказуема. Достаточно вспомнить хотя бы нашумевший инцидент в банке Societe Generale с участием уже легендарного трейдера Жерома Керьвеля. Впрочем, проблемы с избыточными полномочиями давно беспокоят не только финансовые организации, но и все остальные коммерческие структуры. Причина их нерешенности проста – обеспечить разделение доступа без ущерба для нормальной работы сотрудников достаточно трудно. Третья ключевая инициатива финансового сектора – защита информации от утечки – в прошлом году не сумела попасть даже в пятерку. Тем не менее аналитики Deloitte считают такой взлет вполне логичным. "Это вполне объяснимо, особенно если учесть то количество инцидентов, которое произошло в финансовой отрасли за последний год, – говорится в отчете. – Такие устройства, как USB-флешки или mp3-плееры, а также растущая популярность социальных сетей предоставляют прекрасные возможности для кражи конфиденциальной информации".
По данным российской компании Perimetrix (см. отчет "Инсайдерские угрозы-2009"), наиболее популярным каналом утечки действительно являются мобильные накопители, вслед за которыми располагаются электронная почта и Интернет (рис. 4). Эксперты отмечают, что распределение нынешнего года оказалось равномернее прошлогодних результатов – показатели наиболее опасных каналов незначительно упали, а "середнячков", напротив, выросли. По-видимому, данный тезис объясняется известным законом Мерфи: для защиты от утечек необходимо закрыть все каналы, иначе злоумышленник воспользуется именно незакрытой возможностью.
Добавим, что проблема утечек информации в корне отличается от большинства традиционных вопросов безопасности. Чтобы обеспечить защиту от вирусов, компания просто устанавливает соответствующие продукты и обновляет их, фактически используется коробочная модель ПО – выбранный продукт никак не подстраивается под бизнес заказчика. В случае антивирусов такая модель вполне оправданна, однако для защиты от внутренних утечек информации она неприменима. Для эффективного внедрения системы защиты необходимо провести длительную предпроектную подготовку (в том числе и классификацию данных), а также непрерывно следить за системой и тщательно совершенствовать ее настройки.
По-видимому, именно сложность и неформализованность проблемы утечек вывели этот вопрос в тройку наиболее значимых инициатив. Понятно, что в масштабах всего финансового сектора эта проблема будет решаться очень долго и вряд ли исчезнет из рейтингов в течение ближайших пяти лет.
Стратегия и инициативы финансовых компаний во многом определяются и внешним фоном возникающих перед ними угроз. В рамках исследования специалисты Deloitte выделили 24 общих угрозы безопасности и попросили респондентов оценить их безопасность по пятибалльной шкале. В результате получилась картинка, представленная на рис. 5, причем угрозы в ней отсортированы по уровню опасности сверху вниз, слева направо.
Легко заметить, что первое место в списке занимает все та же угроза утечек, о которой мы уже рассказывали выше. На втором месте располагается фишинг – внешняя угроза, которая также сводится к утечкам информации. Третья позиция угрозы "несанкционированного использования" легко объясняется проблемами финансовых компаний в области разграничения доступа к конфиденциальным данным.
Весьма примечательно, что практически все "традиционные" угрозы внешней безопасности – вирусы, бот-сети, дефейсы и даже распространенные ныне DoS-атаки – не сумели набрать большого количества голосов респондентов и расположились в нижней части списка. Данная тенденция явно говорит нам о том, что профиль угроз, возникающих перед финансовыми организациями, продолжает мигрировать в сторону комплексных проблем, связанных с сотрудниками компании. Из полученного распределения явно следует, что именно действия последних беспокоят финансовые компании больше всего.
Данный тезис подтверждается двумя диаграммами, которые приведены на рис. 6. Легко заметить, что финансовые компании значительно меньше уверены в защите от внутренних угроз, чем от различных внешних вторжений.
Еще одним принципиально важным результатом Deloitte является обзор основных причин, которые приводят к провалу проектов по безопасности. Как выяснилось (рис. 7), основная причина до невозможности банальна: проекты остаются нереализованными из-за недостатка ресурсов. Среди других популярных вариантов можно отметить смену приоритетов и слабую поддержку со стороны владельцев бизнеса и/или топ-менеджеров.
Другими словами, причины провала большинства проектов находятся в административно-материальной плоскости и слабо связаны с технологическими особенностями продуктов. Этот тезис фактически означает наличие адекватного предложения на рынке и неспособность многих финансовых компаний внедрить предлагающиеся продукты на практике.
Лидирующие позиции "недостатка ресурсов" как главной проблемы проектов по безопасности можно было бы объяснить финансовым кризисом, если бы не другой результат Deloitte, представленный на рис. 8. По данным аналитиков, бюджеты на безопасность во время кризиса не только не падают, а даже незначительно растут (в среднем на 5-7%). Получается, что истинной причиной недостатка ресурсов является отнюдь не кризис, а просто нежелание компаний выделять необходимые средства на безопасность.
В целом исследование Deloitte еще раз продемонстрировало главные тренды информационной безопасности в финансовой сфере – рост важности нормативного регулирования (compliance) и актуальность проблемы утечек информации. На данный момент именно эти вопросы безопасности больше всего беспокоят и мировые, и российские банки. И никаких предпосылок к снижению актуальности этих проблем на данный момент не наблюдается.
В этой связи политика отдельных российских финансовых организаций, решивших сократить свои издержки за счет проектов по безопасности, выглядит весьма авантюрно. Федеральный закон "О персональных данных" пока "спит", однако если он "проснется", то мало никому не покажется. Что же касается утечек, то здесь все еще проще – недавний кейс с троянами в банкоматах наглядно показывает, что информационная безопасность в российских банках пока еще очень далека от идеала.
В условиях экономического кризиса, когда в банковском секторе отмечается рост кредитных рисков, одной из главных задач финансовых организаций становится снижение операционных рисков при сокращении издержек. Соответственно стабильность деятельности кредитных организаций в ближайшее время во многом будет зависеть и от того, насколько эффективно CISO взаимодействует с бизнесом, управляет рисками информационной безопасности и обеспечивает непрерывность бизнеса.
Вследствие кризиса стратегические инициативы в области информационной безопасности также получат в компаниях еще более широкое распространение. При этом будет изменятьcя состав наиболее важных функций CISO (рис. 2). Полагаю, что на первый план выйдут такие функции, как разработка и реализация стратегии информационной безопасности, управление рисками, обеспечение непрерывности бизнеса, повышение осведомленности пользователей, управление инцидентами и оценка уровня зрелости ИБ.
Конечно, эффективная реализация стратегии информационной безопасности невозможна без внедрения технических средств защиты информации. В этой связи обращает на себя внимание возросший интерес к решениям для защиты от утечки конфиденциальной информации (рис. 4). Однако помимо увеличения количества инцидентов среди причин такого роста я бы также отметил:
- требования бизнеса перестать"кошмарить" сотрудников многочисленными запретами и ограничениями, которые снижают эффективность работы;
- появление на рынке принципиально новых решений, которые позволяют эффективно решать задачи, стоящие перед отраслью ИБ, с учетом требований бизнеса.
В целом по итогам исследования можно в очередной раз сделать вывод, что отрасль информационной безопасности все в большей степени ориентируется на требования бизнеса и законодательства. И это, пожалуй, является долгосрочным направлением развития.
(Открытое акционерное общество)
Проделанная работа, результатом которой явилось представленное в статье статистическое исследование, выполнена на высоком профессиональном и техническом уровне. Об этом свидетельствует тот факт, что текст и диаграммы не противоречат опубликованным ранее обзорам крупных мировых аналитических изданий. Несомненным преимуществом работы является использование сравнительно свежей статистической информации, составленной по материалам аудиторских проверок, проведенных компанией Deloitte в 2007-2008 гг. Однако в обзорах недостаточно подробно отражены факты, которые определяют специфику работы кредитно-финансовой организации в Российской Федерации.
К таким фактам можно отнести публикацию и вступление в силу во втором квартале 2009 г. новой редакции рекомендованного Центробанком РФ для внедрения в финансовых организациях стандарта СТО БР ИББС-1.0-2008 (пишем "рекомендованного" – читаем "обязательного к исполнению"). На основании данного стандарта основным документом для кредитно-финансовой организации должна стать Политика информационной безопасности, а также целый ряд политик, положений и регламентов нижних уровней.
Вместе с тем на момент написания статьи требования стандарта международных платежных систем PCI DSS предъявляются только к организациям РФ, имеющим собственный процессинговый центр. Одной из причин озабоченности представителей российских банков, о которой идет речь в статье, является тот факт, что в настоящее время нет достоверной информации о количестве организаций в России со статусом "PCI DSS Complete".
К сожалению, в последнее время все чаще аналитики крупных консалтинговых компаний и представители системных интеграторов, далекие от обеспечения ИБ в кредитно-финансовой сфере и защиты технологий платежных банковских карт, основываясь на спорных утверждениях и необоснованных предположениях третьих лиц, строят и публикуют громкие гипотезы и при переходе от частного к общему, сами того не подозревая, запускают на просторы Интернета обычную бульварную утку. О причинах такой небрежности остается только догадываться.
Увы, в российском финансовом секторе имеет место чудовищная по размерам потенциальная возможность утечки информации. Основным источником является ПО собственного производства, в котором главное внимание уделяется бизнес-логике, а вопросы безопасности решаются в последнюю очередь. Такие программы создавались не только в 1990-е годы, но и производятся сейчас. Эта проблема становится главным препятствием на пути внедрения новых политик безопасности. Если существующее ПО не может соответствовать возросшим требованиям контроля доступа, то его необходимо менять, а это очень болезненный процесс, особенно в условиях кризиса. Нередки случаи, когда рядовой сотрудник наделен в системе большими правами, чем ему необходимо для выполнения своих должностных обязанностей, просто потому, что так устроена программа.
Материал подготовлен специалистами компаний Deloitte и Perimetrix
Опубликовано: Каталог "IT-SECURITY. Системы и средства защиты информации"-2009