Falcongaze: использование DLP-систем в банковской сфере

За 2019 год в мире было зарегистрировано 218 утечек данных среди финансовых организаций. В большинстве случаев утечки компрометировали платежные данные, такие как реквизиты карт, а также персональные данные клиентов. 83,2% случаев были связаны с использованием цифровых каналов коммуникации.

Большинство утечек происходят по внутренним причинам. Источниками становятся сотрудники, которые намеренно или случайно предоставляют информацию тем, кому она принадлежать не должна. Хакеры становятся угрозой гораздо реже. К тому же, для реализации большинства хакерских атак, им необходимо получить доступы от кого-то внутри компании.

Основная функция DLP-системы — защита конфиденциальных данных от злонамеренной или случайной передачи по цифровым каналам. Технология позволяет контролировать каналы передачи: следить за тем, какая информация в них циркулирует и при надобности блокировать некоторые. Само собой, она не могла не заинтересовать компании, которые работают с большим количеством конфиденциальных данных. В том числе банки.

Аналитики компании Falcongaze решили рассмотреть, какие требования предъявляют банки к DLP-системам и какие вопросы возникают по поводу их внедрения. Разбираться в этом помогали наши клиенты — банки, которые уже давно пользуются Falcongaze SecureTower.

Причины интереса к DLP-системам понятны. Компании хотят минимизировать, а лучше совсем исключить потенциальный урон, который может вызвать потеря конфиденциальных данных. По сути, внедрение DLP-системы рассматривается как мера по снижению репутационных и финансовых рисков.

Урон в случае реализации рисков может быть крайне серьезным. Финансовый может выражаться в миллионных выплатах. А поврежденная репутация годами снижает прибыль и стоимость компании, уменьшая поток клиентов и сокращая круг партнеров.

Желание снизить риски можно отнести к внутренней потребности банка. Еще существуют потребности, вызванные внешними требованиями.

Деятельность всех государственных и коммерческих банков регулируется Центральным Банком и правительством. Под юрисдикцию правительства банки попадают потому, что являются субъектами критической информационной инфраструктуры. К их безопасности предъявляются особые требования, и за ее нарушение выносятся более строгие наказания.

Также банки проходят многочисленные сертификации. К примеру, те из них, что работают с платежными картами, проходят сертификацию PCI DSS. Одно из требований сертификации — запрет на передачу номеров карт в открытом виде через любые мессенджеры, почту и другие технологии обмена сообщениями. За невыполнение этого условия банк может быть наказан большим штрафом.

DLP-система сканирует контент, пересылаемый в мессенджерах, по почтовым и другим протоколам и срабатывает, когда улавливает подозрительные данные. Что считать подозрительными данными организация решает сама. Систему можно настроить на перехват сообщений с теми же карточными реквизитами, срабатывание на определенные слова, обнаружение конфиденциальных файлов на компьютерах сотрудников. Тем самым система помогает выполнять требования по обеспечению информационной безопасности.

Не последнюю роль в интересе банков к DLP-решениям играет общий тренд на усиление мер защиты информации. Но тренд как раз и формируется совокупностью внутренних и внешних причин, актуальных для всей сферы.

По результатам опроса клиентов аналитики Falcongaze обобщили требования офицеров служб безопасности банков к DLP-системам.

Одно из главных требований — система должна поддерживать русскую лексику, в том числе специфическую банковскую. Также она должна распознавать слова, написанные транслитерацией, а также слова с ошибками.

Для банков важна непрерывность бизнес-процессов. Поэтому не последнее пожелание к DLP-системе — возможность внедрить ее, не нарушая и не останавливая бизнес-процессы.

Внедрение системы также не должно требовать кардинальной перестройки существующей информационной инфраструктуры. К этому же пункту можно отнести и требования к ресурсоемкости. Система по возможности должна быть легкой. Не слишком требовательной к серверной технике и компьютерам конечных пользователей. Она не должна снижать производительность сети и отдельных компьютеров.

Система должна содержать инструменты расследования инцидентов безопасности. В ней должны быть удобные и эффективные инструменты поиска среди больших объемов перехваченных данных.

Также важна простая и понятная система лицензирования, отталкиваясь от которой можно строить долгосрочный бюджет.

Банки заинтересованы, чтобы система была с единым центром управления. Как правило, DLP-системы состоят из нескольких модулей, каждый из которых выполняет свою часть функций. Однако, не у каждой системы есть единый центр управления всеми модулями, что компании находят неудобным.

Наглядные и понятные отчеты. Если для того, чтобы разобраться в отчете требуется обладать специальными знаниями, нужными для понимания конкретно этих отчетов, это неудобно. Отчеты приходится демонстрировать разным людям. И желательно, чтобы не нужно было каждый раз проводить разъяснительную лекцию.

Использование DLP законно. Внедрению системы должны предшествовать некоторые организационно-распорядительные мероприятия. Наиболее эффективно она себя показывает при введенном режиме коммерческой тайны, формализованных запретах на использование рабочей техники для личных целей, доведении сведений о системе до коллектива.

DLP-система не предназначена для слежки. Она контролирует данные, циркулирующие на цифровых устройствах и в коммуникационных каналах организации. Владелец цифровых устройств вправе распоряжаться ими на свое усмотрение, в том числе ставить системы контроля. Кроме этого, предполагается, что рабочая техника используется только в производственных целях. А режим коммерческой тайны подразумевает наличие инструментов контроля конфиденциальной информации.

На постсоветском пространстве к внедрению DLP-систем сотрудники относятся, мягко говоря, критично. Нет способа, который гарантированно решал бы эту проблему. Легче относятся к таким новшествам там, где необходимость особых мер по охране информации очевидна. Банк, как раз, можно отнести к этому случаю.

Чтобы упростить себе жизнь, многие компании устанавливают систему не втихую, а гласно, разъясняя сотрудникам ее цели и функции. Это хорошая практика по нескольким причинам:

• если система внедряется негласно, то все равно это не удастся сохранить в тайне. Когда информация откроется, у сотрудников сложится мнение, что система внедрялась с единственной целью слежки за ними. И внедрение было продиктовано не объективными причинами, а прихотью начальства. Возникнет недовольство, и некоторые предпочтут найти другое место работы, чем мириться с «диктатурой»;
• доведение до сведения сотрудников информации о внедряемой системе защищает компанию юридически от обвинений в незаконном сборе персональных данных, о чем мы упоминали выше.

Разъясняя сотрудникам, для чего внедряется система, стоит рассказать об объективных причинах. Среди них: те же требования к безопасности со стороны регулирующих органов; высокие риски предприятия, связанные с хранением и обработкой большого количества конфиденциальных данных; требования современного рынка — наличие DLP-системы в банке может использоваться в качестве конкурентного преимущества; и стоит объяснить, что система предназначена не для слежки, а для мониторинга каналов связи на наличие конфиденциальной информации.

Это поможет сгладить углы, но многое также будет зависеть от того, как система используется. Слишком строгие политики безопасности, дерганья сотрудников по любым мелочам приведут к тому, что компания начнет терять кадры. О снижении строгости в отношении конфиденциальных данных речь, само собой, не идет. Но если сотрудники будут чувствовать страх наказания, если захотят посмотреть прогноз погоды или расписание транспорта, это сильно снизит мотивацию. DLP-система создана, чтобы предотвращать кражи информации, не стоит использовать ее для репрессий. И в таком случае можно достигнуть взаимопонимания.

DLP-система для банка выступает в качестве средства снижения репутационных и финансовых рисков. Она является надежным инструментом, который помогает не только держать конфиденциальную информацию в безопасности, но и в целом анализировать информационные потоки внутри организации.

Внедрение систем защиты информации становится практически необходимостью, особенно для организаций, работающих с большим количеством данных. Некоторые трудности, которые могут сопровождать внедрение таких решений, не являются критичными. При грамотном управлении и подготовке DLP-система значительно повысит надежность защиты, поможет избежать рисков и взять цифровые каналы коммуникации под контроль.