Поделиться
Банки: почти каждый инсайдер уносит $1 млн.
Недавнее исследование компании Deloitte, посвященное защите информации, показало, что 70% утечек обходятся пострадавшему финансовому институту более чем в 1 млн. долларов каждая. Согласно обзору, список приоритетных задач в области обеспечения ИБ, которые банкам и страховым компаниям придется решать в ближайшее время, по-прежнему возглавляют защита от утечек и инсайдеров.Работа с инсайдерами
Исследование "2006 Global Security Survey" показало, что финансовые компании стараются предотвратить утечку конфиденциальной информации с помощью тренингов персонала и внедрения новых технологий. Особое внимание при этом уделяется человеческому фактору. Так, подавляющее большинство респондентов (96%) озабочено тем, что служащие могут злоупотреблять своим доступ к корпоративной информационной системе. Поэтому 34% этих компаний провели тренинги персонала в течение последнего года.
Действия банков по контролю внутренних угроз
Источник:"2006 Global Security Survey", 2006
В целом, организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор 42%, операционные ошибки 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов из-за того, что инсайдеры целенаправленно совершили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих.
"Исследование Deloitte показало, что 80% крупнейших кредитно-финансовых организаций мира используют мониторинг действий инсайдеров. Это наиболее эффективная мера, которую бизнес может принять, чтобы предотвратить утечку конфиденциальной информации, заблаговременно выявить мошенничество, защититься от саботажа или злоупотребления корпоративными ресурсами. К сожалению, в России этот процент намного меньше. Отечественные компании, в том числе, банки и страховые компании, практически пользуются средствами мониторинга. Хотя повсеместное внедрение этих решений, на мой взгляд, неизбежно. Собственно, статистика Deloitte по наиболее успешным финансовым компаниям подтверждает мои слова", - полагает Денис Зенкин, директор по маркетингу компании InfoWatch.
Средства мониторинга операций, осуществляемых пользователями с классифицированной информацией, действительно не так популярны среди российских финансовых компаний, как среди крупных мировых банков и страховщиков. компания InfoWatch провела собственное исследование "Внутренние ИТ-угрозы в России 2005", в ходе которого было опрошено более сорока отечественных финансовых компаний. Результаты исследования показали,что, несмотря на позитивное отношение респондентов к техническим средствам защиты от утечек в "теории", на практике эти решения внедрены лишь в нескольких наиболее крупных фирмах.
Средства защиты от утечки банковской информации
Источник: InfoWatch, 2005
Однако вернемся к результатам исследования "2006 Global Security Survey", проведенного компанией Deloitte. Аналитики установили, что выявление утечек конфиденциальной информации по-прежнему является проблемой для некоторых организаций. Хотя почти 40% банков и страховых компаний не только фиксируют утечки, но и сообщают о них в правоохранительные органы и прессе, практически одна треть респондентов (30%) вообще не пытается выявлять утечки.
Отношение банков к проблеме утечек
Источник:"2006 Global Security Survey", 2006
Такую практику вряд ли можно назвать эффективной, так как своим поведением компания фактически поощряет инсайдеров к осуществлению незаконных действий. Между тем, выше уже отмечалось, что современные служащие прекрасно осведомлены о ценности приватной информации клиентов финансовой компании. Следовательно, многие инсайдеры действительно могут воспользоваться тем, что работодатель вообще никак не выявляет утечки.
"Уязвимость финансовых компаний к внутренним угрозам стала уже притчей во языцех. Так что нежелание контролировать оборот конфиденциальной информации выглядит весьма странным. Очевидно, что всего одна утечка может похоронить имидж и репутацию страховой фирмы или банка. Между тем, финансовые услуги – это как раз тот вид бизнеса, в котором важную роль играет бренд компании и способность вызывать доверие клиентов. Ряд организаций вообще зарабатывали свою репутацию более века. Однако потерять все сразу – имидж, силу бренда, клиентов – очень просто. Это может сделать всего одна утечка", - комментирует Вячеслав Лупанов, руководитель отдела системного ПО компании "Гелиос Компьютер".
Если подвести итоги исследования Deloitte, то наиболее важными выводами являются следующие: 72% произошедших утечек нанесли каждой пострадавшей финансовой компании ущерб более 1 млн. долларов, а 2% обошлись более чем в 5 млн. долларов; 28% финансовых компаний пострадали за прошедший год от мошенничества с участием инсайдеров, а 18% - от утечки конфиденциальной информации; 30% финансовых компаний даже не пытаются выявлять утечки классифицированных данных, чем только подталкивают инсайдеров к преступлению.
Таким образом, проблемы внутренней ИБ – защиты от утечек и инсайдеров – по-прежнему возглавляют список приоритетных задач, которые банкам и страховым компаниям придется решать в течение ближайшего года.
Короткая ссылка
