Превентивная защита от почтовых утечек в ВТБ

     ОПЫТ

Обеспечение информационной безопасности - предмет постоянной заботы технических служб любого серьезного банка. Это объясняется не только требованиями бизнеса, но и постоянным ужесточением нормативной политики государства. В банке ВТБ, который российские рейтинговые агентства традиционно относят к высшей категории надежности, для этого используется целый комплекс административных и технических мер безопасности. Для эффективного противодействия внешним угрозам (вирусным атакам, вторжениям, спаму и т. д.) внедрены специальные продукты и политики, позволяющие управлять соответствующими рисками. Специалистами ВТБ разработана также собственная методология защиты от внутренних угроз, предусматривающая комплекс мер для обеспечения ИТ-безопасности в головном офисе и филиалах банка. В частности, приняты довольно строгие административные ограничения для сотрудников и подразделений банка, касающиеся хранения информации, ее обработки и передачи по каналам связи. Также принят ряд мер для защиты компьютеров от несанкционированного доступа: электронные замки с персональными ключами, голографические наклейки для контроля физического доступа к оборудованию системного блока и подключения/отключения аппаратных компонентов, выключение на рабочих станциях коммуникационных портов (USB, COM и т. д.).

Схема работы InfoWatch Mail Monitor

в ОАО “ВТБ”

Чтобы минимизировать риски утечки информации, сеть ВТБ на физическом уровне разделена на внутреннюю подсеть, в которой циркулируют данные ограниченного распространения, и публичную, предназначенную для взаимодействия с внешними ресурсами. Трафик между этими двумя сетями жестко регламентирован. Сотрудникам банка, работающим во внутренней корпоративной сети, для обмена с внешними сетями разрешается использовать только электронную почту. В созданной для взаимодействия с внешними ресурсами публичной подсети банка циркуляция конфиденциальных данных запрещена, а рабочие станции сотрудников, размещенные в этой сети, не имеют физического доступа во внутреннюю сеть банка.

Почтовая проблема

Вместе с тем до определенного времени защита исходящего почтового трафика ВТБ носила ограниченный характер. Весь почтовый трафик проходил через выделенный шлюз, на котором проверялись полномочия пользователя на отправку данных внешним адресатам и их архивирование, во внешние сети сообщения поступали только после этого. При такой схеме работы возможность кражи конфиденциальной информации через почтовую систему в принципе сохранялась, хотя наличие архива позволяло впоследствии провести расследование в случае утечки конфиденциальной информации и выявить злоумышленника. Однако для того, чтобы предотвратить возможность утечки информации в режиме реального времени, было решено взять этот коммуникационный канал под контроль.

Требования к решениям-кандидатам

При выборе решения, предназначенного для устранения этой проблемы, и исполнителей проекта ставились жесткие условия, что связано с особенностями функционирования ИТ-инфраструктуры банка. В ВТБ ежедневно через сетевые шлюзы проходят гигантские объемы данных (около 10 Гб почтового трафика), при этом используется заказное ПО, которое предполагает собственные форматы хранения данных. Другими словами, продукт должен был быть не только производительным и отказоустойчивым, но еще и достаточно гибким, чтобы поддерживать корпоративный тип данных. (Полагаю, что указанные моменты типичны для любой организации масштаба ВТБ вне зависимости от отрасли.)

От внедряемого решения требовалось обеспечить активный контроль над почтовым трафиком (с возможностью блокирования утечки в режиме реального времени) и архивирование всех проходящих сообщений. При этом нельзя было забывать и о необходимости поддержки нормативных актов (стандартов ЦБ, Basel II и ФЗ "О персональных данных").

Таким образом, были сформулированы следующие высокоуровневые требования к рассматриваемым продуктам:

- контроль над почтовым каналом и предотвращение утечки конфиденциальных и персональных данных;

- архивирование всего почтового трафика для последующего ретроспективного анализа, например, при расследовании инцидентов;

- соответствие требованиям стандарта Банка России по ИТ-безопасности в плане защиты от инсайдеров и архивирования электронной почты;

- соответствие соглашению Basel II по минимизации большой части операционных рисков, связанных с утечкой конфиденциальных данных;

- соответствие ФЗ "О персональных данных" в плане защиты персональных данных граждан и клиентов от утечки.

Помимо этого специалисты ВТБ выдвинули ряд дополнительных технических условий:

- продукт должен быть достаточно производительным и отказоустойчивым, чтобы обрабатывать в среднем 10 Гб почтового трафика ежесуточно при гарантированном времени задержки одного сообщения не более 1 c;

- фильтр конфиденциальной информации должен обрабатывать не только стандартные форматы файлов, предусмотренные разработчиком, но еще и внутренние форматы банка;

- учитывая большое количество филиалов и дополнительных офисов в банке, решение должно быть масштабируемым.

Выбор решения

Вопреки ожиданиям выбор решения оказался сравнительно простым. Дело в том, что на тот момент продуктов нужного класса было немного. Некоторые были представлены в США, но с их приобретением и внедрением неизбежно возникли бы серьезные проблемы. На российском же рынке предлагалось всего одно решение. Речь идет о продуктах компании InfoWatch, которая на тот момент уже имела опыт внедрения и эксплуатации своих решений в организациях, где объемы фильтруемого трафика (в данном случае почтового) значительно превышали 10 Гб. То есть продукты InfoWatch уже на практике доказали свою расширяемость и производительность. Кроме того, для нас немаловажным было, что InfoWatch готова доработать свои решения под специфические требования ВТБ. Наконец, линейка продуктов InfoWatch допускала наращивание функциональности внедренного решения по мере необходимости.

В конечном счете специалисты банка остановили свой выбор на двух продуктах: InfoWatch Mail Monitor и InfoWatch Mail Storage. Первый способен в режиме реального времени сканировать почтовый трафик (тексты электронных сообщений и вложенные файлы) и блокировать пересылку корреспонденции, которая содержит конфиденциальные данные. Второй предназначен для создания архива электронной корреспонденции корпоративной почтовой системы с возможностью ее дальнейшего анализа. Модуль в режиме реального времени накапливает копии электронных писем, укладывает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.

Тестирование InfoWatch Mail Storage показало, что установленная всего на одном выделенном сервере, эта система способна обрабатывать требуемый объем трафика и поддерживать актуальный архив корреспонденции за период не менее трех лет. А модуль InfoWatch Mail Monitor вполне уложился в отведенное на фильтрацию одного сообщения время. Для этого был создан отказоустойчивый кластер из двух узлов с балансировкой нагрузки, на каждом из которых размещались модули InfoWatch Mail Monitor под управлением Red Hat Linux.

Специально для ВТБ модуль InfoWatch Mail Monitor был усовершенствован для поддержки действующего в банке дополнительного формата данных. В составе продукта в том виде, в каком он реализован в ИТ-инфраструктуре банка (см. рисунок), есть как минимум два компонента, способные взаимодействовать с таким форматом. Это, во-первых, фильтрующий почтовый сервер, построенный на основе кластера из двух узлов, в задачи которого входит анализ электронных сообщений с вложениями. Во-вторых - менеджер категорий, представляющий собой не что иное, как базу контентной фильтрации. Другими словами, администратор продукта добавляет в эту базу классифицированные документы и тем самым "обучает" систему фильтрации отличать конфиденциальные данные от публичных. Поэтому разработчики InfoWatch реализовали как возможность фильтрации данных в дополнительном формате данных ВТБ, так и функционал по добавлению файлов нового формата в менеджер категорий (контентную базу).

Внедрение и результаты

Поэтапная инсталляция InfoWatch Mail Monitor и InfoWatch Mail Storage заняла три месяца. В ИТ-инфраструктуре заказчика был создан кластер из двух узлов, на которых под управлением Red Hat Linux были установлены модули InfoWatch Mail Monitor. Этот кластер ежедневно фильтрует почтовый трафик от 5000 пользователей головного офиса банка. Как показали испытания системы, максимальное время задержки одного почтового сообщения гарантированно не превышает одной секунды. Централизованный архив InfoWatch Mail Storage вынесен за пределы кластера и размещен на отдельном сервере.

Одним из традиционных методов оценки эффективности проектов ИТ-безопасности является расчет экономической отдачи от внедрения. Правда, в случае системы защиты от утечек сделать это до начала эксплуатации затруднительно, так как сложно более или менее точно оценить финансовые убытки в результате кражи конфиденциальной информации, особенно связанные с ущербом репутации. Зато эффект довольно просто оценить уже после внедрения системы защиты от утечек и зловредных действий инсайдеров. Дело в том, что через несколько недель эксплуатации решения становится ясно, как часто служащие компании пытаются выслать конфиденциальную информацию за пределы корпоративного периметра, с какими намерениями они это делают, что конкретно пытаются отправить и куда. Электронная почта - одно из самых распространенных и популярных средств общения, поэтому мониторинг именно этого канала связи является очень показательным.

Сейчас уже можно говорить о том, что реализованное в ВТБ решение вполне оправдало возлагавшиеся на него надежды, и теперь руководство банка рассматривает возможность наращивания функциональности и мощности системы.

     Автор данной статьи является главным специалистом Управления по обеспечению безопасности ОАО "ВТБ".