От уязвимости или надежности банковской системы зависит степень устойчивости экономики. Перед профессиональными киберпреступниками беззащитны и корпоративные счета, и депозиты, и вклады частных лиц. Но кроме прямого хищения средств со счетов утечка банковской информации влечет за собой и другие отрицательные последствия. Выработка мер защиты от утечек становится важной задачей для банковского сообщества и государственных регуляторов. Массивы банковской информации относятся к отдельному виду охраняемых законом сведений – банковской тайне, которая защищается статьей 6 Закона «О банках и банковской деятельности».

Виды угроз

Угрозы, связанные с возникновением утечки информации в работе кредитных учреждений, делятся на две группы: внутренние и внешние. К первым относятся:

• ошибки или осознанные действия сотрудников, направленные на хищение информации;
• недостаточная компетентность сотрудников служб информационной или экономической безопасности.

К внешним можно отнести:

• прямые действия конкурентов, направленные на получение сведений, составляющих коммерческую тайну банков и их клиентов;
• деятельность хакеров, похищающих информацию с целью нанести ущерб или провести собственную пиар-акцию;
• деятельность иностранных разведок, стремящихся получить сведения об обслуживании контрактов, в реализации которых присутствуют данные, относящиеся к государственной тайне.

В зоне риска находятся не только участники банковской системы, их филиалы или отделения, но и другие организации, кредитующие граждан или юридических лиц, микрофинансовые. Их базы данных тоже могут представлять интерес для киберпреступности, а степень защиты существенно ниже. Основной интерес в сфере промышленного шпионажа для конкурентов представляют такие данные, как:

• стратегии банков и их клиентов;
• данные о слияниях и присоединениях;
• используемые новые технологии;
• случаи нарушения законодательства о банковской деятельности;
• внедренные скоринговые системы (методики оценки рисков).

Прямые и косвенные потери

Банки как экономические субъекты страдают от утечек информации с точки зрения имиджевой составляющей и финансово. Структура финансовых потерь делится на прямые и косвенные убытки. К прямым можно отнести:

• штрафы регуляторов или изменение параметров тех или иных нормативов, относящихся к регулированию банковской деятельности;
• возмещение вреда клиентам, информация о сделках или счетах которых утекла, и они понесли в результате этого определенные финансовые потери;
• стоимость разработки программных продуктов и технических решений, повышающих уровень защиты;
• использование негативной информации в конкурентной борьбе, приводящее к оттоку клиентов.

Косвенный ущерб особенно сильно влияет на банки, выпускающие ценные бумаги, которые котируются на российском или зарубежном рынке. Любая утекшая негативная информация приводит к снижению котировок этих бумаг, а также кредитных рейтингов таких банков, выпускаемых крупнейшими мировыми рейтинговыми агентствами. Суммы такого сразу не определяемого ущерба могут оказаться существенно выше прямых убытков.

С точки зрения законодательства об инсайде, случаи утечки информации из банков о контрактах, деятельности, сделках слияния или присоединения их клиентов, повлиявшие на стоимость акций клиентов на бирже и послужившие причиной для биржевого обогащения частного сотрудника банка, в редких случаях превращаются в убытки именно кредитной организации. Но они могут принести многомиллионный ущерб отдельным предприятиям или отраслям, а выявление таких случаев крайне затруднено, что представляет собой самостоятельную проблему. Службы безопасности банков не заинтересованы в предотвращении такого незаконного использования конфиденциальных данных, так как огласка повредит банку, а иногда сами сотрудники служб безопасности оказываются виновниками незаконного использования сведений. Законодательство в этой области практически не защищает клиентов кредитных учреждений.

Каналы утечки

Как показывает практика, наиболее часто используются технические современные каналы утечки. Ушли в прошлое такие способы перехвата информации, как установка закладных устройств, приспособлений для считывания электромагнитных колебаний. Их установка требует проникновения на объект, а степень физической защиты крупных банковских учреждений усиливается с каждым годом, не в последнюю очередь благодаря работе Банка России, устанавливающего требования к материально-техническому обеспечению безопасности и мерам защиты информационной системы.

Уязвимыми остаются каналы связи и все каналы утечки информации, связанные с действием сотрудников или менеджмента банка, внутренних нарушителей. Незаконное копирование и передача информации не всегда могут быть отслежены, даже с учетом многоуровневой системы доступа к банковским программным продуктам и базам данных, в которых содержится основная информация. При необходимости делать ежедневно резервные копии всей банковской базы данных степень контроля над защитой скопированных данных может быть снижена. Манипуляция учетными записями и паролями все еще доступна. Борьба с такими действиями должна быть основана на внедрении современных стандартов информационной безопасности.

Неожиданную опасность могут представлять расчетные и клиринговые центры, система SWIFT и системы электронных платежей, ежедневно обрабатывающие миллионы трансакций, имеющие возможность накапливать и анализировать важную коммерческую и персональную информацию и не связанные требованиями российского законодательства по защите банковской тайны. Пока в публичном пространстве случаев использования этих ресурсов в информационной борьбе не появлялось, но это не исключено.

Для инсайдерской информации и ее использования каналами утечек часто становится не проникновение в информационные системы, а услышанный на совещании разговор или присланный на экспертизу документ. Стандартами ЦБ РФ такие ситуации не регулируются, так как они несут косвенную угрозу для системы, пострадавшим является неопределенный круг участников рынка ценных бумаг.

Меры защиты

Основную методологическую роль в разработке средств для защиты банков от утечек принимает на себя Банк России. К сфере его ответственности относится подготовка Стандартов, регулирующих деятельность сотрудников экономической безопасности и IT-подразделений. В настоящее время действуют нормы положения СТО БР ИББС-1.0-2014, носящего рекомендательный характер, с изменениями, внесенными в 2016 году. В них рассматривается:

• ответственность банковских учреждений за сохранность обрабатываемой информации;
• необходимость усиления контроля над сотрудниками;
• методология разработки системных мер по защите сведений.

Среди рекомендуемых стандартами мер:

• определение различных степеней ценности сведений;
• определение категорий внутренних субъектов – потенциальных нарушителей;
• выявление и защита каналов утечки;
• применение системных программно-аппаратных решений.

Для создания эффективно работающей системы защиты от утечек информации необходимо разработать и внедрить организационный и технический периметр защиты. Среди технических решений наиболее эффективной окажется разработка под нужды конкретного банка DLP-системы (с англ. Data Leak Prevention), которая представляет собой сочетание комплексного программного обеспечения, предотвращающего утечку банковской тайны вовне, а также технические устройства. Система отслеживает весь периметр обмена информацией и при выявлении нетипичного трафика самостоятельно принимает решение о его остановке. Современные DLP-системы могут выявить и остановить некорректный обмен данными не только с устройств – компьютеров, принтеров, сканеров, находящихся в помещении банка, но и с ноутбуков сотрудников, которые находятся на выезде.

Программно-аппаратные меры защиты не должны снижать роль работы служб внутреннего контроля, в функции которых входит выявление атипичных операций и контактов. Разработка методик и инструкций поведения, чек-листов проверки правильности каждой трансакции должна предотвратить многие случаи утраты конфиденциальных данных, связанные с действием человеческого фактора.

Ответственность за сохранность информации лежит не только на руководстве банка, но и на сотрудниках. Защита важнейшего объекта – банковской тайны – должна полностью соответствовать требованиям закона, быть полной, комплексной и не допускающей присутствия неконтролируемых зон.