Продолжаем серию статей на тему отраслевой специфики и ответственности в области информационной безопасности. В первых двух материалах рассмотрели отрасли здравоохранения и промышленности. Эта часть будет посвящена финансовой сфере.

Специфика ИБ в финансовой отрасли

Специфика финансовой отрасли — уникальные требования к обеспечению ИБ. Большую их часть разработал особый для финорганизаций регулятор — Центральный банк Российской Федерации (ЦБ РФ). Однако его требования не освобождают от других требований, прописанных в ФЗ, приказах ФСТЭК и ФСБ. В итоге получается очень много обязательных задач и много специфических процессов, которые требуется обезопасить. Чтобы рассмотреть все особенности нужен отдельный цикл материалов, я же кратко расскажу про основные:

  • Специфическая регуляторика. Финансовые организации попадают под действие как общей, так и отраслевой регуляторики. К ним применяются профильные ГОСТы, стандарты и рекомендации ЦБ РФ. Это означает, что регулирование защиты от утечек в финансовой отрасли на данный момент — одно из наиболее строгих и подробных.
  • Максимальные риски. Самый частый итог ИБ-инцидентов в финансовой отрасли — прямой денежный ущерб для организаций и ее клиентов. Это серьезно влияет как на работу компании, так и на ее репутацию. Поэтому банкам, страховым и другим организациям отрасли необходимо обеспечивать нужный уровень защиты не только «себе», но и всем своим дочерним сервисам. От пользовательского клиент-банкинга до коммерческих цифровых платформ и решений собственной разработки.
  • Централизация ИБ. Зачастую финансовая организация — распределенная структура с большим количеством сотрудников, филиалов, подразделений, дата-центров, серверов и т. д. Для централизации ИБ в таких компаниях нужен очень тонкий баланс защиты периметра и распределенных вычислений.
  • Высокотехнологичность. Финансы — передовая отрасль в плане внедрения новых технологий. От них напрямую зависит конкурентоспособность бизнеса и качество предоставляемых услуг. Естественно, такой уровень технологий требует высокого уровня безопасности.

В этом материале рассмотрим типовые сценарии нарушений, а также расскажу, почему именно сотрудники финорганизаций вредят им в первую очередь и как они эксплуатируют специфику финансовой отрасли для личной выгоды.

Типовые правонарушения ИБ в финансовой отрасли

Самые частые нарушители в финансовой отрасли — менеджеры и руководители отделов по работе с клиентами. Злоумышленники на этих должностях занимаются «пробивом», проводят махинации при помощи чужих персональных данных или передают их без согласия владельцев.

Большинство нарушений квалифицируется как незаконное получение и разглашение сведений, составляющих коммерческую, банковскую или иную тайну. Если в результате инцидента в информсистемы была внесена ложная информация, нарушение может быть квалифицировано как неправомерное воздействие на КИИ. Рассмотрим кейсы и составы преступлений.

Незаконное получение и разглашение сведений, составляющих коммерческую, банковскую или иную тайну

Получение и разглашение сведений, составляющих коммерческую, банковскую или иную тайну — одно из наиболее частых ИБ-нарушений в принципе. Отрасль финансов попадает в этот тренд. Все же именно закрытая, недоступная в открытых источниках информация является самой «желанной». На нее высокий спрос.

Ответственность за нарушение зависит от состава преступления:

  • Ч. 1 ст. 183 УК РФ. Незаконный сбор сведений. Штраф до 500 тыс. руб., или лишение свободы на срок до 2 лет;
  • Ч. 2 ст. 183 УК РФ. Незаконное разглашение или использование сведений лицом, знакомым с ними по службе или работе. Штраф до 1 млн. руб. с лишением права работать на определенных должностях на срок до 3 лет, или лишение свободы на срок до 4 лет.

Сценарий нарушения: руководитель подразделения банка менял место работы. Перед уходом он забрал корпоративные данные на флэш-карте. Среди слитого были сведения о клиентах, планах развития, ИТ-разработках, условия договоров, взаимодействии с органами власти, мотивации сотрудников. За это инсайдер был оштрафован на 200 тыс. руб. и получил запрет на работу в банковской системе на 1,5 года.

Чтобы не допустить подобных нарушений, нужно:

  1. Провести аудит инфраструктуры и файловых хранилищ. Узнать, где хранятся данные и какие.
  2. Определить, какие данные являются конфиденциальными и в каких хранилищах они могут появиться в будущем.
  3. Создать регламенты безопасности, провести контентное разграничение прав доступа.
  4. Контролировать действия сотрудников на рабочем месте, используя специализированные средства защиты информации. Также рекомендуется выделить группы риска среди сотрудников.
  5. Настроить средства защиты на блокировку для защиты от утечки при пересылке или перемещении документов на внешние носители. Убедиться, что настройки согласованы с ГОСТ Безопасность финансовых операций.

«Пробив»

«Пробив» — получение непубличной информации о человеке или организации при помощи инсайдеров, имеющих доступ к закрытым базам данных. Ответственность за «пробив» зависит от квалификации нарушения правоохранительными органами. Наиболее часто в финансовой сфере применяются наказания по статьям:

  • Ст. 183 УК РФ. Незаконное получение и разглашение сведений, составляющих коммерческую, банковскую или иную тайну. До 1 млн. руб. с лишением права работать на определенных должностях на срок до 3 лет или лишение свободы на срок до 4 лет.
  • Ст. 290 УК РФ. Получение взятки. В зависимости от обстоятельств, штраф может достигать 80-кратной суммы взятки, а срок лишения свободы — 15 лет.

Вот несколько примеров «пробива» в финансовой отрасли:

  1. Персональный менеджер по сопровождению состоятельных клиентов банка четыре раза передал ПДн клиентов, сведения о их счетах и вкладах третьим лицам. Инсайдер был приговорен к штрафу в 200 тыс. руб. за разглашение банковской тайны.
  2. Финансовый консультант банка передал данные более 40 клиентов (ПДн, информацию о наличии денег на счетах и вкладах и т. д.) директору одной из фирм за вознаграждение. Злоумышленник был оштрафован на 441 тыс. руб. и получил условный срок в 4,5 года по статьям 183 и 290 УК РФ.

Чтобы защитить информацию от «пробива», нужно:

  1. Выявить зоны риска. Смоделировать ситуацию «пробива» и определить кем и как может осуществляться неправомерный доступ и передача данных. Ужесточить регламенты доступа, донастроить средства защиты в соответствии с полученной информацией.
  2. Осуществлять мониторинг операций с информацией и выгрузки конфиденциальных данных из систем их обработки.
  3. Использовать средства защиты информации, чтобы контролировать действия сотрудников и их коммуникации с третьими лицами на рабочем месте.
  4. Настроить политики доступа к данным вне системы, где должна происходить обработка конфиденциальной информации (на файловых системах ПК, в облачных и корпоративных хранилищах файлов и т. д.).
  5. Определить группы риска: потенциальных инсайдеров и нелояльных сотрудников. Поставить их на особый контроль.

Махинации

В контексте финансовой отрасли, махинации — это использование чужих персональных данных без согласия владельцев для получения финансовой выгоды. Ответственность зависит от квалификации нарушения:

  • Ст. 274.1 УК РФ. Неправомерное воздействие на КИИ. Если нарушитель являлся сотрудником организации — субъекта КИИ, ему грозит лишение свободы на срок от 3 до 8 лет с запретом занимать определенные должности на срок до 3 лет.
  • Ст. 272 УК РФ. Неправомерный доступ к компьютерной информации. Для внутренних нарушителей предусматривается штраф до 500 тыс. руб. с запретом работать на некоторых должностях до 3 лет или лишение свободы до 5 лет.
  • Ч. 3 ст. 159 УК РФ. Мошенничество с использованием служебного положения. Штраф до 500 тыс. или лишение свободы на срок до 6 лет со штрафом в сумме до 80 тыс. руб.

Вот несколько примеров махинаций в финансовой отрасли:

  1. Сотрудники банка незаконно оформляли кредиты и дебетовые карты на текущих клиентов банка. Использовали данные из информационной системы без согласия их владельцев. Также мошенники покрывали друг друга: вносили в ИС банка ложные данные, которые должны были скрыть факт совершения преступлений. В итоге преступники получили за мошенничество и неправомерное воздействие на КИИ условные сроки в 3 года 9 месяцев и 4 года соответственно.
  2. Сотрудница банка не успевала выполнить KPI. Поэтому использовала ПДн клиента без его согласия и внесла ложную информацию об открытии счета в банковскую ИС. Наказанием за неправомерный доступ к компьютерной информации стало ограничение свободы на 9 месяцев.
  3. Начальник почтового отделения имел доступ к информационным системам и данным клиентов «Почта банка», располагавшегося в том же здании. Это позволило открыть сберегательный счет и выпустить платежную карту без согласия владельца данных. За неправомерное воздействие на КИИ бывший начальник осужден условно на 3,5 года и лишен права занимать руководящие и административные должности на 1,5 года.

Чтобы защититься от махинаций нужно:

  1. Разграничить доступ к банковской тайне, персданным и иной информации, которая может быть использована сотрудниками в корыстных целях.
  2. Все действия с такой информацией должны контролироваться средствами защиты, действия пользователей должны мониториться.

Заключение

Отрасль финансов сложна и комплексна в плане ИБ. Банкам и кредитным организациям необходимо обеспечивать защиту множества сервисов и процессов. Любой инцидент может серьезно повлиять на бизнес в целом и на репутацию компании. В частности, это касается доверия клиентов. Они хотят быть спокойны за свои данные, уверены, что менеджер клиентского отделения не оформит на них кредит, не продаст данные третьим лицам и т. д.

Анализ правонарушений в отрасли показывает, что подобные опасения не беспочвенны. Самые частые нарушения — это именно «пробив» и махинации с персданными. Нарушителями зачастую являются специалисты по работе с клиентами. Они имеют прямой доступ к нужной информации. Если не контролировать действия этих и иных сотрудников с помощью DLP, риски правонарушений резко возрастают.

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”