Согласно опубликованному весной текущего года пятнадцатому отчету Symantec Internet Security Threat Report потери финансового сектора от утечек данных за 2009-й по сравнению с 2008-м более чем удвоились. ИТ-директора российских банков на состоявшемся в конце мая шестом заседании своего клуба делового общения обсудили ситуацию с защищенностью данных в банковских информационных системах.
Усиление защиты данных: есть ли мотивация?
Дополнительная защита СУБД. Поскольку средоточием корпоративной информации являются базы данных (БД), акцент в ходе обсуждения был сделан именно на оценку защищенности СУБД. Директор по развитию продуктов компании Bell Integrator Алексей Лебедев обратил внимание на то, что в крупных зарубежных банках получили распространение системы мониторинга активности СУБД (Database Activity Monitoring, DAM), нацеленные как раз на их защиту. Этими решениями также активно интересуются российские телеком-операторы, а члены “большой тройки” мобильной связи уже завершили их внедрение у себя. По оценкам г-на Лебедева, чтобы внедрение ИТ-системы стоимостью 100—500 тыс. долл. (что примерно равно стоимости DAM-решения) у крупного мобильного оператора окупило себя, достаточно, чтобы оно привело к сокращению оттока клиентов всего на 5%.
Влияние закона о персональных данных. Майк Смит, директор отдела консультационных услуг PricewaterhouseCoopers в России, уверен, что Закон о персональных данных (ЗоПД) может значительно повлиять на методы и практики ведения бизнеса, и в качестве примера в первую очередь упоминает банковский бизнес. Механизм влияния, по его мнению, очевиден: персональные данные должны храниться и обрабатываться иначе, чем прежде. “Мы ожидаем, — говорит он, — что для большинства юридических лиц обеспечение соответствия законодательству станет одной из ключевых задач в 2010 г., и организации будут стремиться выполнить необходимые мероприятия в установленные сроки. Это очень важно, в особенности если контроль исполнения нового закона будет таким же, как в других европейских странах”.
Увы, в российской практике и контроль исполнения, и мера ответственности за неисполнение радикально отличаются от европейских. Изначально неверная ориентация ЗоПД на техническую сторону защиты, а не на ответственность за утечки персональных данных (ПД) привела к тому, что банковским ИТ-директорам сегодня дешевле “откупиться” от проверяющих, заплатив установленные штрафы, чем потратить несколько сот тысяч долларов на дополнительную защиту от утечек. Вряд ли выплата штрафа рассматривалась бы российскими операторами ПД как один из рабочих вариантов решения задачи соответствия закону, если бы величина штрафов за отсутствие механизмов контроля защищенности и утечки данных о клиентах у нас, как в Европе, исчислялась бы миллионами евро.
Решающее влияние на реагирование российских операторов ПД (в том числе и из банковской среды) на ЗоПД оказывает его внутренняя противоречивость и несогласованность с другими законами, регулирующими область ИТ. Закон, по мнению ИТ-сообщества, составлен так, что операторы ПД всегда неправы. Все это смещает фокус задачи соответствия в формальное русло, где ведущую роль начинает играть противопоставление негармонизированному ЗоПД усилий корпоративной юридической службы, использование имеющихся в нем “дыр”, формальная подготовка требуемого регуляторами пакета документов. Без сомнения, это не улучшит ситуацию с защитой интересов субъектов ПД в области ИТ, чего следовало бы ожидать от ЗоПД.
Ссылаясь на практику избирательного применения законов в нашей стране, операторы ПД считают самыми серьезными рисками, относящимися к практике Закона о персональных данных, те, что обусловлены отношениями с регуляторами, которым закон дает полномочия приостанавливать работу компаний. На фоне этих рисков российским бизнесменам не самыми страшными кажутся даже угрозы, связанные с использованием этого закона в целях недобросовестной конкуренции (например, с привлечением субъектов ПД для организации массированного обращения в Роскомнадзор с целью блокирования бизнеса конкурента).
Организационные меры эффективнее технических. В проблеме утечек данных ИТ-директора банков особое место отводят защите от недобросовестного администратора БД (АБД). Наделенный самыми высокими правами доступа и находящийся внутри периметра защиты, злонамеренный АБД должен стимулировать банки к внедрению систем класса DAM и DLP. Однако, выражая мнения большей части коллег, член клуба Константин Борозинец заявил, что в борьбе с утечками, происходящими по вине АБД, административно-организационные меры важнее, чем технические. “Сейчас за администратором никто не следит, и он может как угодно глубоко вмешиваться в работу БД, может даже менять логи БД. Поэтому в компании нужен специалист службы ИБ (которая не должна подчиняться службе ИТ), уполномоченный контролировать администратора БД”, — сказал он.
Олег Подкопаев, руководитель департамента информационных технологий “Русфинанс банка”, обратил внимание на то, что и в этом случае гарантий от кражи информации из БД нет, поскольку существует вероятность сговора двух специалистов. Тем не менее разделение обязанностей и правильная организация доступа к данным для ИТ- и ИБ-специалистов (т. е. речь опять идет об организационных мерах) относятся к лучшим международным практикам противодействия подобному сговору. При этом технические средства защиты тоже никто не отменяет. К примеру, не столь дорогим, как DAM-система, но эффективно дополняющим разделение обязанностей ИБ-специалиста и АБД и ролевой доступ способом, является шифрование БД.
Организационные ИБ-меры в виде специальных положений в должностных инструкциях и контроль их исполнения способны также защитить от непреднамеренных утечек данных, на которые приходится существенная доля в общей сумме утечек. “Если надлежащим образом следить за правами доступа в системе, то утечки по вине АБД будут невозможны”, — сказал вице-президент Новикомбанка Евгений Шевцов. Однако, согласно наблюдениям генерального директора компании Bell Integrator Андрея Коробицына, реально существующие в организациях должностные инструкции очень далеки по своему содержанию от того, что могло бы быть эффективным для них. “Это характерно не только для России. Даже у руководителей известных зарубежных компаний слова “должностная инструкция” вызывают смех. Они понимают, что эти инструкции нужны, но отдают себе отчет в том, что написанное там мало пересекается с реальной жизнью. Все голосуют за их обновление, но ситуация не меняется”, — сказал он. Поясняя ситуацию, Константин Борозинец отметил: “Если в инструкции написать то, что реально нужно для жизни, стоимость их исполнения возрастет в разы, а тот, кто будет на этом экономить, получит конкурентное преимущество”.
Надежность работы АБС важнее угрозы утечек
Нагрузка на ИТ-инфраструктуру со стороны систем ИБ заставляет банковскую ИТ-службу очень осторожно подходить к внедрению таких решений, как DAM или DLP. Ведь по признанию членов клуба делового общения банковских ИТ-директоров как только снижается производительность БД, первое, что начинают делать айтишники, это отключать нагрузку, связанную с логированием событий.
Резюмируя обсуждение оценки угроз от утечек данных в российских банках, Юрий Корнвейц, начальник департамента ИТ Royal Bank of Scotland, сказал: “Сегодня операционные риски, проистекающие от тех ошибок специалистов, наделенных привилегированными правами доступа к информационным системам и БД, которые способные провалить операционную деятельность банка, для нас гораздо выше рисков утечки информации”. Коллеги согласились с ним, подтвердив это высказывание примерами из практики.
В заключение хочется привести слова Евгения Шевцова, характеризующие реальное положение с ИБ в банках (и не только) и доступные механизмы его улучшения: “ИБ в банке зависит от руководителя направления ИБ, а не от ИТ-департамента, который является только инструментом исполнения требований ИБ. Если руководителем направления ИБ является управленец, то ИБ строится в соответствии с необходимыми общепринятыми стандартами и правилами. Если руководителем является технарь, ничего хорошего не получается”.