Утечку из Сбербанка уже обсудили и прокомментировали со всех сторон. Но некоторые – официальные, кстати – комментарии вызывают недоумение.
Директор по безопасности «СёрчИнформ» Георгий Минасян:
– В воскресенье глава правления Сбербанка Герман Греф дал интервью. В нем он успокаивал клиентов, извинялся перед 200 пострадавшими (хотя, по разным данным, скомпрометированы были до 60 млн записей) и рассказывал о ходе расследования. Радует, что банк пошел на открытый разговор и не стал отрицать утечку. В то же время детали, которыми поделился Герман Оскарович, заставляют задуматься.
Первая – о том, что злоумышленник был найден через 4 часа после обнаружения утечки (а именно 2 октября). Само по себе это не плохо: даже отлично, что преступника нашли. Но стартовали поиски только после того, как на запрещенном ресурсе в даркнете наткнулись на объявление о продаже украденной базы. Сразу воображаем ситуацию с музеем: украли некий ценный экспонат, а заметили это, когда увидели лот в каталоге Sotheby’s. Если бы не каталог, факта пропажи, считаете, не было. Получается, что в течение неизвестного времени, предположительно аж с 24 августа (этой датой размечены опубликованные фрагменты базы) преступник мог как угодно распоряжаться украденными персональными данными. Поэтому «считанные часы» на расследование инцидента – понятие слишком условное, чтобы говорить об оперативности действий службы безопасности.
Проблема в том, что в мощной системе защиты банка не нашлось средств, которые зафиксировали бы выходящую за пределы нормы активность сотрудников с базами данных. Будь такие на вооружении, информация о массовой выгрузке данных, копировании базы вне расписания или доступа к ним в неурочное время появилась бы у ИБ-службы сразу. Уже 24 августа утечку бы зафиксировали, продажу или компрометацию даже отрывков базы в сети можно было предотвратить. До сих пор банк хорошо контролировал внешние опасности – на слуху «три контура киберзащиты», этакие могучие бастионы для отражения атак. А здесь выглядит так, будто какой-то сотрудник, зная все входы и выходы, прошел «огородами».
Второй момент – как в банке удивились «предателю» в своих рядах. Конечно, в этом заявлении много патетики и работы на публику. И все же видно, что в банке осознают необходимость лучше узнать людей, с которыми работают. Службе безопасности пришлось вручную искать подозреваемых и стоило это известных усилий. А ведь цифровой след мог выдать преступника с головой гораздо раньше утечки.
Преступления не берутся из ниоткуда: к ним готовятся, прощупывают почву, испытывают свои возможности в рамках корпоративной сети – хотя бы в рамках операций с этой же БД. Поэтому нужно отслеживать активность на рабочем месте, оценивать интересы, типичное поведение сотрудников, составлять психологические профили. Для коллектива в несколько десятков тысяч это была бы неподъемная задача, но на рынке есть инструменты для автоматизации этих процессов. В результате, даже если виновник не привлекал к себе внимания до инцидента, «умные» системы заранее выявили бы у него потенциальные криминальные тенденции. Или отнесли бы в группу риска из-за тяжелых «личных обстоятельств» – как писали СМИ, свои действия инсайдер в Сбербанке объяснил именно ими.
Нужно понимать, что предатель – это человек, которому еще и дали возможность (или не помешали) совершить предательство. Вовремя не помогли решить возникшие проблемы, не заметили отклонений в поведении. Г-н Греф заявляет, что банк готов пересматривать способы контроля человеческого фактора. Остается надеяться, что это не просто слова и банк сделает выводы: самый уязвимый элемент любой информационной системы – человек.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных