Практические аспекты формирования бюджета на информационную безопасность в банках
Набирающая обороты экономическая нестабильность заставляет компании пересмотреть «статьи расходов» в сторону сокращения издержек. При этом рост числа кибератак, отмечаемый специалистами, с середины второго полугодия уверенно продолжается. Осознавая уязвимость своего положения, компании подходят к вопросу обеспечения защиты конфиденциальных данных от собственных сотрудников, конкурентной разведки и внешних атак злоумышленников, достаточно трезво. Согласно онлайн-анкетированию двухсот специалистов в области компьютерной безопасности и IT, проведенному компанией Finjan, 34% опрошенных отмечают, что затраты на IT-безопасность в 2009 году вырастут, а 43% ожидают сохранения финансирования этой сферы на прежнем уровне. Однако, этот оптимизм разделяют не все. Попробуем оценить нынешнюю ситуацию с точки зрения угроз ИБ и рассмотреть популярные мифы об экономической составляющей информационной безопасности.
«Кризисная» выгода
Организованная киберпреступность уже начала извлекать выгоду из мирового финансового кризиса. В ход идут как старые, проверенные схемы обмана, так и новые, «кризисные» (например, рассылка фишинг-писем с просьбой сделать взнос в связи с крахом банка или финансового института, либо рефинансировать ипотечный заем). Злоумышленники умело перенацеливают свои атаки на вкладчиков разорившихся банков: в основе одной из недавних атак использована ситуация с поглощением компанией Wells Fargo проблемного банка Wachovia. По словам экспертов, это было "точечное хирургическое вмешательство", поскольку клиентам поглощенного банка рассылались уведомления, сообщающие о том, что в связи с поглощением им нужно получить новые реквизиты для доступа к счету. И когда жертва предоставляла старые данные, чтобы поучить новые, она теряла власть над своим банковским счетом.
Плюс к этому, экспертами Finjan за последние два месяца был выявлен трехкратный рост количества серверов, содержащих ворованные данные. И если раньше специалисты компании выявляли в среднем один такой новый сервер в неделю, то сейчас их число возросло до четырех-пяти. Среди возможных причин этого явления называется возросшее число фишинговых атак. Другие исследователи также подтверждают прямую связь между кризными экономическими условиями и ростом активности киберпреступников. Так, Райан Шерстобитофф, старший корпоративный маркетолог PandaLabs, говорит, что первый всплеск активности вредоносного ПО в компании отметили 16-го сентября – день, когда акции первый раз серьезно упали. В тот день всплеск активности составил от 5 до 30%.
Развитие теневого рынка, связанного с деятельностью киберпреступников, исследовала компания Symantec. Согласно её отчету, общий оборот этого рынка за 12 месяцев, предшествующих концу июня 2008 года, составил 276 миллионов долларов. Первое место в рейтинге продаж занимают данные кредитных карт: их доля составляет 31% от общего числа предложений, при этом стоимость более чем доступна – от 0,1 до 25 долларов за каждую. В исследовании отмечается, что на продажу идут не все карты, а лишь те средний остаток которых составляет 4000 долларов США. Оптовикам - скидки.
Предметом каждой пятой сделки являются данные логинов лицевых счетов. Исследователи сообщают, что взависимости от суммы остатка и местонахождения владельца цена таких данных составляет от 10 до 1000 долларов. Средний баланс скомпрометированного лицевого счета равен 40 000 долларов. Самым популярным способом оплаты выставленных на продажу лотов являются системы безналичных денежных онлайн-переводов. При помощи таких сервисов осуществляется 63% сделок.
Впечатляет количество «занятых» в бизнесе дельцов: всего за 12 месяцев мониторинга работы подпольных форумов в Symantec выявили 69 130 продавцов. Они и их покупатели оставили на этих форумах в общей сложности 44 321 095 сообщений. Общая стоимость услуг, предлагаемых десятью самыми активными продавцами, преодолела отметку в 16,3 миллиона долларов для номеров кредитных карт и в 2 миллиона долларов для деталей логинов лицевых счетов. В товарообмен были вовлечены как отдельные частные лица, так и организованные преступные группы, сообщает Symantec.
Кроме того, исследование уделяет внимание рынку услуг кибермошенников. Отдельные прайсы открыто выставляются как на различное программное обеспечение (трояны, «шпионы» и др.), так и на ботнеты (управляемые компьютерные сети), причем, средняя цена на ботнет нынче не превышает $225, хостинг для фишинговых сайтов стоит в среднем $2. А вот использование уязвимостей определенных финансовых служб, используемых в банках, стоит гораздо больших денег. Цена такого рода услуг доходит до 3 000 долларов, а средняя стоимость предложения составляет 740 долларов.
Стоит лишь добавить, что теневой кибербизнес, основанный на «отъеме денег у населения», всегда имел широчайший географический охват. Глобальные коммуникационные возможности Интернет стирают физические границы, что позволяет мобильным группировкам мошенников долгое время быть неуязвимыми.
Если прибавить к этой, и без того тревожной ситуации, ещё и низкий уровень финансовой грамотности, равно как и осведомленности по противодействию возможным атакам у рядовых пользователей, и, наоборот, высокий уровень латентности прецедентов, связанных с утечкой конфиденциальных данных из банков, то в целом мы получим весьма благоприятные условия для различного рода финансовых кибермошенничеств, в том числе и в российских банках.
Однако, наряду с внешними факторами, способствующими росту рисков, связанных с информационной безопасностью, зачастую не менее влиятельными оказываются факторы внутреннего характера. Неправильная оценка роли служб ИБ, недостаточная осведомленность руководства о деятельности этого подразделения и отсутствие взаимосвязи с бизнес-целями организации часто могут представлять значительно большую проблему для корректного позиционирования службы ИБ в банке и адекватного финансирования процессов, связанных с обеспечением информационной безопасности.
Врезка:
Сокращение ресурсов неизбежно ведёт к повышению уязвимости информационных систем банков
ИБ-процессы: возможна ли приостановка
Одним из источников проблем, связанных с формированием бюджета на ИБ в кредитно-финансовых организациях, является неправильное понимание у некоторых банковских руководителей, решающих вопросы о выделении средств на ИБ, что же такое эта информационная безопасность. В своей практике нам нередко приходилось констатировать, что многие из них полагают, что информационная безопасность – это некий продукт, который можно просто купить и потом длительное время эксплуатировать. Это заблуждение влечет за собой уверенность в том, что снижение финансирования ИБ никоим образом не скажется на её уровне и поможет организации сэкономить свои средства. Это не так. Для наглядности можно привести простой пример: если не расходовать ресурсы на геологоразведку, строительство и ремонт буровых установок и трубопроводов, то уровень добычи нефти в стране будет падать, поскольку добыча нефти является процессом. ИБ так же является процессом, которым необходимо управлять и который требует выделения ресурсов, для своего функционирования и развития. Сокращение этих ресурсов неизбежно приведёт к снижению защищенности и повышению уязвимости информационных систем банков.
Проблемы, возникающие при формирования бюджета ИБ редко обсуждаются вслух. И это легко объяснимо: не многие банки готовы публично обсуждать вопросы внутреннего характера, тем более связанные с безопасностью. Услышать о реальном положении дел подчас можно лишь на специализированных мероприятиях, одним из которых стал круглый стол под названием «Проблемы, возникающие при формировании бюджета ИБ», организованный компанией Aladdin, при поддержке Сообщества пользователей стандартов Центрального Банка РФ по обеспечению информационной безопасности организаций банковской системы РФ (ABISS) в октябре 2008 года.
На мероприятии присутствовали сотрудники ФКО, в сферу ответственности которых входят вопросы информационной безопасности, причем аудиторию составили как молодые специалисты, занимающиеся ИБ не более года, так и «старожилы» отрасли. Такой состав участников позволил свободно обменяться мнениями по наиболее острым вопросам, возникающим в ходе формирования бюджета ИБ, и обсудить разные подходы к данной теме. В результате удалось не только проанализировать текущую ситуацию, но и наметить возможные пути решения существующих проблем служб информационной безопасности в банках.
Особый интерес вызвал вопрос о месте и роли, которую должны занимать в компании подразделения, обеспечивающие ИБ. Здесь участники круглого стола сошлись во мнении, что руководство компаний зачастую недооценивают значимость этой позиции и не до конца представляет себе, как она вписывается в общую иерархию системы безопасности в банке. То есть объяснить руководству, с какой целью и каким образом стоит усилить средства контроля и управления доступом в помещения, намного проще (для руководства это очевидная задача), чем донести идею о необходимости использования аппаратных средств аутентификации для контроля доступа к информационным ресурсам.
В связи с вполне объяснимой закрытостью работы, проводимой этими подразделениями, у руководящего состава может складываться неверное впечатление о незначительной роли ИБ в компании. Если в банке длительное время не происходит инцидентов в области ИБ, у руководства возникает соблазн сократить издержки, связанные с этой сферой. Сама по себе ситуация при которой отсутствуют, например, факты утечки конфиденциальных данных, может свидетельствовать, с одной стороны, о высоком качестве проводимой работы, а с другой о временном затишье, после которого вполне возможна череда неприятных инцидентов.
Достаточно вспомнить пример о, так называемом, «Деле Кибера», когда скромный сотрудник Лихтенштейнского банка LGT Treuhand, имевший доступ к базам данных о клиентах банка, методом обычного копирования на протяжении не одного года собирал информацию о вкладчиках из разных стран. Далее персональные данные более чем 2000 клиентов были выставлены на продажу спецслужбам целого ряда стран. Известно, что одна из разведслужб ФРГ заплатила более 4 миллионов евро за эту информацию, которая впоследствии была передана налоговому ведомству Германии. В результате удалось выявить 600 человек, уклонявшихся от уплаты налогов, причем общая сумма недоплаты в германскую казну составила около 200 миллионов евро. На 150 из них были заведены уголовные дела. Также информация, полученная из Лихтенштейна, использовалась соответствующими органами Австралии, Британии, Греции, Испании, Италии, Канады, США, Франции.
В данном случае, в банке не было ни адекватной системы оценки рисков, ни соответствующего контроля доступа к конфиденциальной информации, не говоря уже о регулярном проведении аудита на соответствие международным стандартам. Можно ли сказать, что руководство банка не дорожило своей деловой репутацией? Наверное, нет, просто оно, по всей вероятности, не видело взаимосвязи между бизнес-интересами и обеспечением информационной безопасности. Итак, руководству необходимо знать, какое влияние ИБ оказывает на процессы связанные с достижением поставленных бизнес-целей и понимать эту взаимосвязь.
Часто можно услышать мнения, что ИБ тормозит развитие бизнеса, что это «черная дыра» в бюджете, от которой нет никакой пользы. Но всегда ли плохо иметь исправно работающий механизм торможения? В автомобиле тормоз является важнейшим устройством и вряд ли найдётся много желающих покататься на автомобиле с неисправными тормозными колодками. Набирающий обороты кризис и в бизнесе расставляет всё по своим местам: некоторые компании сгубила жадность, вместо взвешенного развития они всё больше занимались высоко рискованными операциями и затормозить это движение, очевидно, было некому. Результат не заставил себя ждать, и мы все сегодня можем наблюдать наступившие последствия. Достаточно вспомнить, показательный инцидент, произошедший с французским банком Societe Generale, объявившем, что из-за действий своего трейдера Жерома Кервьеля, несанкционированно открывавшего позиции, банк понес убытки в 4,9 миллиардов долларов. После скандала с Кервьелем Societe Generale был оштрафован на четыре миллиона евро за недостатки в системе внутреннего управления, которые позволили трейдеру совершать незаконные операции. Кервьелю в конце января 2008 года были предъявлены обвинения в злоупотреблении доверием, подделке документов и незаконном использовании информации.
В аналогичной ситуации оказался Банк "Ренессанс Капитал", потерявший несколько миллионов долларов из-за инсайдерских злоупотреблений своего сотрудника. По данным издания, сотрудник - трейдер банка - в обход правил внутреннего контроля заключал рискованные сделки для клиентов по согласованию с ними. Объем незаконно открытых трейдером позиций, по оценке источников "Ведомостей", достигал 130-140 миллионов долларов США. По некоторым данным, убытки банка от действий трейдера вылились 50 миллионов долларов.
Врезка:
Представление о бюджете ИБ как о «чёрной дыре» зачастую свидетельствуют о том, что руководство просто не желает заглядывать в эту область и разбираться с существующими проблемами.
Информационная безопасность: занимательная арифметика
Парадоксально, но факт: не смотря на то, что сотрудниками подразделений ИБ финансово-кредитных организаций ежегодно предотвращаются мошеннические операции на суммы от нескольких миллионов до миллиардов рублей, суждения о том, что информационная безопасность – это сплошные затраты и никакой прибыли, не прекращаются. Между тем, есть немало примеров, когда ИБ приносит явную прибыль своей компании и величину этой прибыли вполне возможно подсчитать.
Например, давайте попробуем ответить на вопрос, нужен ли ФКО свой удостоверяющий центр или лучше использовать аутсорсинг? Для расчётов возьмём реальные цены, существующие сегодня на рынке::
- Стоимость ПО УЦ КриптоПро на 5000 лицензий – 600 т.р.
- Стоимость оборудования необходимого для функционирования УЦ – 200 т.р.
- Средняя зарплата оного сотрудника подразделения ИБ (за год) – 720 т.р.
- Средняя стоимость поддержания одного сертификата ключа подписи – 1,06 т.р.
Можно легко вычислить, когда окупятся затраты на создание удостоверяющего центра компании и после какого срока УЦ начнёт приносить прибыль. Как видно на Рис. 1 при штате УЦ, насчитывающим всего два человека, затраты окупятся при выпуске двух тысяч сертификатов, а если число подлежащих выпуску сертификатов превышает три тысячи, то в штат УЦ можно вводить дополнительного сотрудника. При этом уже через год УЦ начнёт приносить реальную прибыль. На вопрос, по каким причинам бизнес-подразделения не утруждаются подобными расчётами, ответить довольно сложно. Ведь при передаче описанного выше функционала на аутсорсинг цифры будут именно такими, а при необходимости выпуска больше трёх тысяч сертификатов – значительно более высокими.
Не менее интересную картину даёт и расчёт выгоды получаемой от борьбы со спамом. Так, в среднем сотрудник затрачивает на обработку одного спам-сообщения 15 – 20 секунд. Если в организации не внедрены соответствующие технологии и не принимаются эффективные меры по борьбе со спамом, на адрес электронной почты сотрудника может приходить от 100 до 200 спамерских сообщений в день. Несложный расчёт покажет, что потеря рабочего времени составит от 25 минут до 1 часа. Ответив на вопросы, сколько в среднем стоит 1 рабочий час и какова общая численность сотрудников, имеющих доступ к электронной почте, можно оценить экономический эффект от проведения мероприятий по борьбе со спамом. Для наглядности представим данные в таблице:
Не сложно заметить, что при сорокаминутных затратах на работу по очистке электронной почты от нежелательной корреспонденции, за год спам «съедает» месячную зарплату каждого из приведенных в пример сотрудников. Безусловно, эти расчеты приблизительны (например, в них не учтён отпуск), но они дают общую картину того, что спам действительно наносит ущерб.
Врезка:
В настоящее время отчетливо прослеживается общая тенденция движения многих кредитно-финансовых компаний в сторону сервис-ориентированной архитектуры.
Конечно, не все вопросы, которыми занимается ИБ, приносят чистую прибыль, да в этом, наверное, и нет особой необходимости. Ведь никто не требует прибыли от интеграции в ИТ-инфраструктуру новых информационных технологий, понимая, что их внедрение создаёт для компании конкурентные преимущества. Но многие почему-то забывают, что уже сейчас ИБ стала неотъемлемой частью банковских технологических процессов. Ведь, на сегодняшний день, невозможно представить функционирование систем дистанционного банковского обслуживания, электронного документооборота, электронных торгов, обеспечения мобильного доступа для пользователей и сотрудников без технологий информационной безопасности.
В настоящее время отчетливо прослеживается общая тенденция движения многих компаний в сторону сервис-ориентированной архитектуры, как наиболее полно соответствующей требованиям современного бизнеса. Такая архитектура широко применяется в централизованных системах и тот факт, что стоимость условной единицы производительности в распределенных вычислениях в настоящее время примерно в два раза выше по сравнению с централизованными системами является серьёзным стимулом для развития этих технологий. Однако важно учитывать, что при использовании сервис-ориентированной архитектуры особенно остро встает проблема разграничения доступа и построения системы защиты в распределенных сетях. Вывод из этой ситуации однозначен: развитие информационных и банковских технологий в настоящее время невозможно без использования технологий ИБ, ведь именно они включают в себя организационную и техническую составляющую, которые обеспечивают комплексный подход к защите информационных ресурсов.
Врезка:
Законодательство – важный стимул для развития ИБ
Закон, как двигатель прогресса
Рынок ИБ, в отличие, скажем, от ИТ-рынка гораздо в больше степени зависит от своего основного регулятора – государства. В связи с этим, принятие тех или иных законов всегда оказывает значительное влияние на бизнес-процессы. Не случайно в классификациях рисков для ИБ-рынка, государство не редко выносят в отдельную категорию.
В банковском секторе, помимо законодательных инициатив, присутствует так же отраслевой стандарт, содержащий ряд рекомендаций по организации служб ИБ, их задач, целей и обязанностей. Согласно стандарту Банка России СТО БР ИББС-1.0-2006 на подразделения ИБ возлагается и обеспечение непрерывности бизнеса и восстановление бизнес-процессов после технологических или иных сбоев. Эти важнейшие вопросы зачастую требуют значительных координационных усилий, поскольку подразумевают взаимодействие различных подразделений. Идеально работающая, с точки зрения ИТ-подразделения, система может обладать уязвимостями, на которые никто кроме службы ИБ не обратит внимания. Так, например проходящие по неконтролируемой территории кабели связи вполне могут привести к потери работоспособности информационной системы на длительное время. К столь же серьёзным последствиям может привести выход из строя электрических коммуникаций, резервных источников питания, да и просто отключение систем отопления в зимнее время. Если в центральных офисах компаний дела, как правило, обстоят хорошо, то в филиальной сети таких уязвимостей бывает немало. Сотрудники ИБ должны выявлять возможные «пробелы» в системах защиты и, участвуя в разработке и планировании действий в аварийных ситуациях, координировать деятельность различных подразделений.
В связи с вступлением 26 января 2007 г. в силу федерального закона «О персональных данных» весьма актуальное значение приобретают вопросы защиты конфиденциальной информации, в том числе, и от утечки по техническим каналам. В этом направлении ведущую роль также должна играть служба ИБ. Не случайно, на прошедшем мероприятии было отмечено, что объём и важность решаемых подразделениями ИБ вопросов постоянно возрастает и поэтому эти подразделения играют в своих компаниях всё более важную роль.
Врезка:
Вне коммуникации с бизнес-подразделениями, говорить о наличии эффективной службы ИБ в кредитно-финансовой организации невозможно.
ИБ отвечает интересам бизнеса
Не меньший интерес вызывает и вопрос о взаимодействии с бизнес-подразделениями. Так, если руководство не полностью осознаёт важность выполняемой ИБ-подразделениями работы, то значительная часть вины за это лежит на сотрудниках этих подразделений. К сожалению, они сами зачастую не доводят до менеджмента важную информацию о возможных последствиях принятия не до конца проработанных решений, внедрения не апробированных технологий, а также о зафиксированных прецедентах, фактах нарушения политики информационной безопасности, да и вообще о выполняемой ими работе.
Не секрет, что основной костяк подразделений ИБ составляют технические специалисты, что вызывает определённые трудности в налаживании конструктивного диалога с бизнес-ядром. Решая большое количество задач технического плана, специалисты ИБ порой просто не могут определить, какая решаемая ими задача соответствует той или иной бизнес-цели компании. Часто из-за этого возникает непонимание, что приводит к конфликтным ситуациям между бизнес-подразделениями и службами ИБ. А ведь все эти структуры работают для достижения одной общей цели – успешного развития компании.
Однако на мероприятии приводились и обратные примеры когда, наладив диалог между подразделениями, удавалось решать задачи, которые не получалось решить в течении длительного времени. Так, собрав и объединив воедино все требования различных подразделений компании, эффективно решалась задача перехода на единый криптопровайдер, что в итоге позволяло снижать издержки на поддержание различных криптографических систем. Приводились и другие примеры: разъяснив сотрудникам бизнес-подразделений те конкурентные преимущества, которые компания может получить от внедрения новой технологии ИБ, «безопасники» получали их безоговорочную поддержку при принятии решения о приобретении указанных средств ИБ.
Специалисты, работающие в области ИБ, хорошо знают, фразу Брюса Шнайера, «Безопасность – это не технологическая проблема, это проблема людей и управления». Действительно без поддержки топ-менеджментом инициатив, связанных с развитием системы информационной безопасности, без налаженного процесса взаимодействия с различными подразделениями невозможно обеспечить эффективную работу службы ИБ. Очень важно создать условия, при которых, согласно принятой в компании методике (например, аудит ИБ), осуществляется контроль уровня ИБ, а результаты этого контроля в понятном, наглядном виде доводятся, как минимум, до топ-менеджмента компании.
Хорошей практикой является предоставление финансовой оценки ИБ, когда руководство может увидеть результаты деятельности ИБ, когда с сотрудниками компании проводится разъяснительная работа в целях повышения их осведомлённости о необходимости выполнения требований ИБ с объяснением тех последствий, которые могут наступить в случае нарушения этих требований. Одним словом, необходима система, которая позволяет доводить информацию о проблемах, успехах и потребностях ИБ до руководства. Вне этой коммуникации говорить о наличии эффективной службы ИБ в кредитно-финансовой организации, невозможно.
Не менее важным является участие специалистов ИБ в процессе подготовки и внедрения новых технологий/проектов, это позволяет лучше понимать стоящие в настоящий момент перед компанией/бизнесом цели и предлагать наиболее эффективные механизмы защиты. Кроме того, это позволяет заблаговременно планировать ресурсы, необходимые для выполнения стоящих задач, причём в этом случае, затраты не вызывают лишних вопросов, поскольку бизнесу понятно для достижения каких целей они предназначаются.
Резюмируя, хотелось бы кратко представить свод характеристик, которым должна удовлетворять организация подразделения ИБ в кредитно-финансовом учреждении:
- На первом месте – бизнес: служба информационной безопасности должна понимать, что бизнес и его задачи всегда первичны;
- Поддержка ИБ топ-менеджментом:в организации должна присутствовать поддержка инициатив ИБ со стороны руководства;
- Контроль и отчетность:в организации в обязательном порядке должна присутствовать проработанная система контроля и доведения информации о деятельности подразделения ИБ до топ-менеджмента;
- Планирование:в подразделениях ИБ должна быть введена практика планирования своей деятельности;
- Участие ИБ в технологических процессах:ИБ подразделение должно играть активную роль при внедрении и эксплуатации новых и уже существующих технологических процессов;
- Работа с персоналом:в кредитно-финансовых организациях должны регулярно проводится мероприятия по повышению осведомлённости сотрудников в вопросах ИБ.