Практически три четверти преступлений в сфере информационных технологий приходится, по статистике, на внутренние угрозы. Поэтому обеспечение внутренней безопасности становится одной из приоритетных задач кредитных организаций.

Банковский сектор не является исключением. Сейчас сведения о клиентах банков довольно часто теряются. Относившееся ранее к сфере рынков ценных бумаг понятие "инсайдер" (от англ. "inside" - "внутри"), появившееся в Европе в 90-х годах прошлого века, а в США – в 1933 году, давно вошло в банковскую терминологию. Причиной послужило такое явление как техническая революция. Современные условия таковы, что вся служебная информация хранится на компьютерных дисках, необходимые данные с которых можно перенести на электронный носитель и без труда вынести из банка.

Иностранная «зараза»

За рубежом, где автоматизация и информатизация развивались более быстрыми темпами, чем в России, соответственно, раньше встала и проблема инсайдерских угроз.

Например, известны случаи, когда бывший сотрудник лихтенштейнского банка LGT Хайнрих Кибер в феврале нынешнего года продал приватную базу своего бывшего работодателя немецким и британским спецслужбам, выручив за нее более $7 млн. Пример Кибера наглядно показал, насколько прибыльным может оказаться банковский инсайд. Напомним, что в "базе Кибера" содержались сведения о банковских счетах немецких предпринимателей, которые использовали банки Лихтенштейна для уклонения от налогов. Для немецких спецслужб покупка оказалась крайне выгодной — уже спустя неделю она окупилась практически в шесть раз. Однако банку LGT и всей финансовой системе Лихтенштейна Кибер нанес поистине невосполнимый ущерб.

По данным журнала PCWeek можно отметить, что это далеко не единственный пример. Так, 26 марта 2008 г. Транспортная компания Archive Systems потеряла во время транспортировки резервную ленту банка New York Mellon. Носитель содержал персональные сведения 4,5 млн человек. Экспертная оценка ущерба: $100 млн.

8 мая 2008 г. из офиса HSBC, одного из крупнейших банков в Гонконге, был украден сервер (по другой версии сервер был потерян) с персональными данными 160 тыс. клиентов. На нем содержались сведения об именах и номерах счетов клиентов, а также другая приватная информация. Экспертная оценка ущерба: $4 млн. 

Утечка – дело "нехитрое"?

Торговля с использованием инсайдерской информации, по словам участников рынка, распространена и на нашем рынке, хотя самого понятия "инсайд" в российском законодательстве нет.

По данным Deloitte, в финансовых компаниях происходит целый спектр внутренних инцидентов, имеющих различную степень опасности (табл. 1). Легко заметить, что 12% респондентов Deloitte теряли в 2007-м персональные сведения клиентов, а еще 10% — конфиденциальную информацию о них. Таким образом, утечки допустили как минимум 22% компаний, причем большинство из них зафиксировали более одного инцидента.  

 
Таблица 1. Распределение внутренних инцидентов по типам атак
 
Тип инцидента
Доля компаний, зафиксировавших инциденты в 2007 г., %
только один раз
более одного раза
Вирусы/черви, занесенные в информационную систему изнутри компании
8
13
Внутренние инциденты, связанные с беспроводными сетями
1
0
Потеря/компрометация персональных данных клиентов
4
8
Внутреннее финансовое мошенничество с использованием информационных систем
7
11
Кража или утечка интеллектуальной собственности (например, утечка списка клиентов, приведшая к сокращению клиентской базы)
3
7
Случайные внутренние инциденты
5
13
Другие внутренние инциденты
2
10
Источник: Deloitte, 2007 г.
 

По оценкам аналитического центра компании Perimetrix, к данным Deloitte следует прибавить еще по крайней мере 10—15%, поскольку результаты Deloitte отражают количество компаний, которые знают о случившихся утечках, тогда как известна масса случаев, когда об инцидентах в компаниях узнавали только после того, как злоумышленники реально воспользовались пропавшей информацией.

При этом, как сообщается в Information Watch Technologies:

·               87%  инсайдеров не прибегало к использованию нелегальных компьютерных команд для осуществления инцидентов. В 13% случаев инсайдеры задействовали флудинг или спуфинг, а в 9% - программы или скрипты. Не было обнаружено и то, что перед осуществлением инцидентов инсайдеры искали уязвимости в компьютерных системах.

·               В 70% инцидентов инсайдеры собирались воспользоваться или воспользовались систематическими недочетами в компьютерных процессах, процедурах и приложениях. В 61% случаев инсайдеры пользовались уязвимостями, которые присутствовали в сетях, программах или оборудовании изначально.

·               78% инсайдеров было авторизованными пользователями, имевшими активные аккаунты, 43% осуществляли инцидент, используя свой логин и пароль.

·               В 26% инцидентов инсайдеры действовали с другим аккаунтом или использовали другой компьютер с открытым аккаунтом, либо манипулировали людьми, чтобы получить доступ к необходимой информации или системе.

·               Технические должности, требующие знаний в сфере программирования, сетевых операций, архитектуры сетей и других информационных технологий, занимали лишь 23% инсайдеров. Администраторский доступ к информационным системам организации имели 17% из них.

·               В 39% случаев инсайдеры не были осведомлены о технических мерах безопасности, использующихся в организации. 

Особо опасные

Еще в 2004 году Центробанк России утвердил список потенциальных инсайдеров, способных воздействовать на принятие решения о выдаче кредитов банком, расчет норматива совокупной величины риска по которым установлен в 110-й инструкции ЦБ, говорится в сообщении регулирующего органа.

К потенциальным инсайдерам Банк России отнес следующих физических лиц: “членов совета директоров (наблюдательного совета) банка; единоличный исполнительный орган, его заместителей, членов коллегиального исполнительного органа и членов кредитного совета (комитета); главного бухгалтера банка (филиала), руководителя филиала банка, лиц, их замещающих; единоличный исполнительный орган, его заместителей, членов коллегиального исполнительного органа, членов совета директоров (наблюдательного совета) управляющей компании банковского холдинга, а также организаций банковского холдинга, банковской группы, консолидированной группы, в которые входит банк, а также зависимых от банка организаций и дочерних организаций банка, либо лиц, их замещающие; членов советов директоров (наблюдательных советов) участников финансово-промышленной группы; членов коллегиальных исполнительных органов участников финансово-промышленной группы; физических лиц, осуществляющих полномочия единоличного исполнительного органа участников финансово-промышленной группы, если банк является участником финансово-промышленной группы; супруга, супругу, родителей, детей, усыновителей, усыновленных, родных братьев и сестер, неполнородных (имеющих общих отца или мать) братьев и сестер, дедушку, бабушку, внуков лиц, перечисленных в абзацах втором-пятом настоящего пункта; лиц, которые в момент получения кредита относились к лицам, перечисленным в абзацах втором-шестом настоящего пункта, и не исполнивших обязательства по кредитным требованиям на день, когда они перестали к ним относиться; сотрудников банка, а также иные физических лиц, которые обладают возможностями воздействовать на характер принимаемого решения о выдаче кредита банком (в том числе сотрудников кредитной организации, имеющих в силу своего служебного положения доступ к конфиденциальной информации, позволяющей воздействовать на принятие решения о выдаче кредита банком)”.

Как вода сквозь пальцы

В мае текущего года в областной суд в Тюмени поступило уголовное дело мошеннической группировки, занимавшейся хищением денежных средств по кредитным картам банка «Русский стандарт». Своих людей мошенники внедряли не только в филиалы банка, но и в почтовые отделения в Тюмени, Кургане и Омске. От действий мошенников пострадало более чем 450 человек. За 8 месяцев группировка мошенников нанесла общий ущерб в размере 11 млн рублей. Эксперты оценили ущерб в $1 млн.

По данным от 12 декабря 2006 года, утечки допустили сразу 10 российских банков: ХКФ-банк, «Русский стандарт», Импэксбанк, Финансбанк, Росбанк и другие. Мошенниками была выпущена база «Отказы по кредитам и стоп-листы банков России», которая продавалась всего за 2000 рублей. В базе находились 3 млн записей об отказах в выдаче кредитов и о просрочках и неплатежах по кредитам. Были указаны банки – источники сведений, а также информация о заемщиках, их телефонах, адресах, местах работы и причинах попадания в базу (например, отказ в выдаче кредита или просрочка по кредиту). По мнению экспертов, репутация банков, попавших в базу, значительно испортилась. $500 тысяч – экспертная оценка ущерба для каждого банка.

В сентябре 2006 года в поглощенном Росбанком банке «Первое ОВК» произошла утечка базы данных, в которой содержались сведения о 3000 неблагонадежных банковских заемщиках, которые получали кредиты в 2002-2003 г. В базе присутствовали телефонные номера заемщиков, а в некоторых случаях – адреса и паспортные данные. Базу можно было купить за 900 рублей на московских рынках, а также в Интернете. Корреспонденты газеты «Коммерсантъ», связавшиеся с людьми, занесенными в базу, сообщили, что они действительно получали кредиты в банке «Первое ОВК» в указанное время. Точные убытки банка не известны. Эксперты считают, что банк как минимум провел внутреннее расследование. Партнеры и корпоративные клиенты банка хоть и не пострадали, но могли проявить обеспокоенность по поводу сохранности сведений о себе, предоставленных банку. Экспертная оценка ущерба составила 500 тысяч долларов. 

Кто виноват?

Что же толкает людей на совершение противозаконных действий?

Все эксперты сходятся во мнении, что основная причина - получение финансовой выгоды. Именно этот момент, а не принесения ущерба компании или ее информационной системе (хотя такое тоже встречается) является основополагающим.

Другими причинами совершения подобных действий может послужить недовольство управляющими компанией, месть, желание уважения, а также неудовлетворенность культурой и политикой компании.

Мотивы и цели инсайдеров представлены на диаграмме:

 1.jpg

На живца и зверь бежит?

В 2006 году ФСФР был разработан законопроект для "ловли инсайдеров". Участникам рынка он понравился, но они опасаются, что он окажется не столь эффективным. Сотрудники соответствующей службы могут требовать документы, записи переговоров и показания, если это необходимо для выявления нарушений, получат право доступа в любые компании и госучреждения и привлекать милицию для оперативно-розыскной работы. Если нарушение будет доказано, ФСФР сможет приостанавливать или отзывать лицензию профучастника или останавливать торги по отдельным бумагам.

Правда многие участники рынка еще тогда отмечали, что в таком виде закон не будет работать и не сможет сделать рынок более прозрачным. Зампред совета директоров ПАРТАД Петр Лансков считает: «Попытка благородная — за нее спасибо, но она обречена на провал. Понятие инсайда трудно сформулировать в четких терминах, а формулировки типа "существенно" или "с долей вероятности" позволят нашим коррумпированным или некомпетентным судьям или чиновникам трактовать его слишком вольно".

В любом случае, все эксперты безопасности рекомендуют, в том случае, если с вами все-таки случилась "беда", выполнить следующее:

·       выяснить причину возникновения инцидента, проведя расследование;

·       сообщить пострадавшим об инциденте в письменной форме и организовать для них линию помощи;

·       принять меры по минимизации риска возникновения подобных инцидентов;

·       воспользоваться услугами консультантов по безопасности;

·       провести PR-компанию для успокоения общественного мнения;

·       в случае судебных разбирательств воспользоваться услугами юристов;

·       выплатить штрафы регуляторам, если это понадобится.