26 April 2016

Во избежание утечек информации, ЦБ РФ рекомендует банкам в обязательном порядке следить за сотрудниками

Процедура слежки за сотрудниками, которая раньше была рекомендательной, усилиями Центробанка России может стать обязательной.

С 1 мая этого года для российских банков начинают действовать рекомендации Банка России по борьбе с внутренними нарушителями. Именно они, обладающие легальным доступом к информации, и имеют наибольшие возможности для нанесения ущерба банку, говорится в документе, разработанном Банком России.

Сейчас эти меры носят рекомендательный характер и входят в состав комплекса требований ЦБ по информационной безопасности для банков (комплекс документов называется СТО БР ИББС). Пока что они также не обязательны для банков, но на прошедшем в феврале VIII Уральском форуме по банковской безопасности заместитель начальника Главного управления безопасности и защиты информации ЦБ Артем Сычев рассказывал о планах регулятора сделать этот стандарт обязательным.

Новый документ ЦБ объясняет, как следить за информационными потоками, чтобы снизить риски от действий внутренних нарушителей, говорится в документе ЦБ. Он перечисляет несколько способов борьбы.

Во-первых, ЦБ рекомендует банкам следить за передачей информации по электронной почте, если она отсылается на внешние адреса. Также банк должен наблюдать за использованием личных средств связи (под которыми понимаются телефоны, смартфоны и планшеты) и копированием информации на внешние носители. Кроме того, на тех компьютерах, где обрабатывается конфиденциальная информация, банк должен заблокировать мессенджеры ICQ, WhatsApp, Viber, Skype. Плюс банк должен контролировать использование публичных облачных сервисов.
Но перед этим банку предстоит проделать аналитическую работу.

Во-вторых, банк должен идентифицировать конфиденциальную информацию и разбить ее на категории. ЦБ рекомендует выделить как минимум две категории — открытой и конфиденциальной информации, в которую может войти банковская тайна, инсайдерская информация, данные кредитных историй. Дальше банк должен выяснить, где хранятся и обрабатываются закрытые данные. Согласно документу ЦБ, это могут быть базы данных, сетевые ресурсы, электронная почта. Также банк должен задуматься над тем, кто может стать нарушителем. Документ выделяет четыре возможные категории и описывает, как через каждую из них может утекать информация.

Первая категория нарушителей — те, кто имеет доступ непосредственно к закрытым данным. Следом идет персонал, который обслуживает IT-системы, где обрабатывается информация. Также это технический персонал (у них есть не право доступа к информации, а право прохода в помещения, где она обрабатывается). И в последнюю очередь это внешние нарушители, которые так или иначе имеют доступ к информации (аудиторы, партнеры и подрядчики).

С подобной инициативой ЦБ выступал уже не раз. К примеру, летом 2014 года среди рекомендаций банкам была прописана обязанность анализировать переписку подчиненных и их перемещение по интернет-сайтам. Тогда Центробанк выпустил обновленный стандарт обеспечения информационной безопасности взамен старого, вступившего в силу в 2010 году. Новый документ действует с 1 июня. В нем впервые упоминается термин «утечка данных» и прописаны меры для ее предотвращения. Стандарт от Центробанка, как сообщил представитель банка «Траст», является обязательным для всех кредитных организаций.

Крупные российские банки в большинстве своем уже выстроили свои системы защиты, но составленный в 2016 году документ ЦБ будет полезен и для них, поскольку он системно подходит к внутренним нарушителям и не даст забыть о каком-то незначительном на взгляд банка, но все же потенциально опасном с точки зрения ЦБ канале утечки информации, говорит аналитик компании Solar Security (выпускает системы управления информационной безопасностью) Андрей Прозоров. А небольшие банки смогут создать систему защиты от внутренних нарушителей, полностью отталкиваясь от документа, рассуждает он.

По данным компании Infowatch (разрабатывает системы контроля утечек), в 2015 г. во всем мире случилось 1505 утечек, что на 7,8% больше показателя 2014 г. На внутренних нарушителей пришлось 65,4% утечек, говорится в исследовании компании.

Об утечках из банков мы писали не так давно. Согласно расследованию Лаборатории Касперского, в 2015 году от имени Центробанка России хакеры совершили групповую атаку на десятки российских банков, защищённых структурой FinCert. Руководство нескольких десятков российских банков получило электронные письма с портала fincert.net, заранее зарегистрированного преступниками в иностранной интернет-зоне. Приняв его за подразделение ЦБ РФ под названием FinCert, банковские пользователи прочитали сообщения и скачали некие файлы, которые якобы должны были помочь им справиться с готовящейся кибератакой. Однако вместо этого к ним на компьютеры проникло вредоносное ПО, которое считало львиную долю финансовой информации и частично успело отправить ее хакерам. В результате целенаправленных хакерских атак российские банки за полгода потеряли 1,8 миллиарда рублей.

Кроме утечек, связанных с кибератаками хакеров, время от времени персональные данные пользователей становятся добычей третьих лиц благодаря так называемому «человеческому фактору», т.е. когда сами сотрудники «сливают» данные через электронные носители или интернет. Поэтому обеспокоенность Центробанка в вопросе безопасности данных вполне понятна, другое дело — остановит ли потенциального злоумышленника невозможность послать сообщение через WhatsApp от желания слить конфиденциальную информацию?

Читайте также:
«Здрасьте, я из ЦБ. Чесслово! Дайте мне два миллиарда рублей»
Банкам предложат идентифицировать клиентов через видеосвязь
Противоречащий Конституции РФ новый законопроект Яровой-Озерова несет риск утечки баз данных россиян на черный рынок
Базы данных с долгами россиян продадут коллекторам с молотка

_____

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.