«По нашей статистике, чаще всего пытаются «унести» финансовую информацию, сведения о деятельности кредитной организации. Из всех инцидентов покушения на финансовую информацию составляют около 50%. За ними идут покушения на персональные данные клиентов – они составляют 13%.
Основные каналы, по которым фиксируются инциденты, – электронная почта, копирование на внешние устройства, вывод на печать. Почта – наиболее популярный канал, с большим отрывом (порядка 80%), из-за того, что производится разграничение доступа работников к ресурсам Интернета. Доступ также ограничен к внешним накопителям, персональной веб-почте».
О выявлении утечек
«В данном вопросе главное – своевременно выявить утечку. Для этого у нас есть DLP компании InfoWatch. DLP-система выявляет утечку, классифицирует инцидент по категориям данных, администратору приходит уведомление, тот разбирается по факту. Понятно, что существуют ложные срабатывания и необходимо рассматривать каждый инцидент индивидуально. Например, работник мог распечатать документ и для использования в работе. Но если, скажем, он распечатал документ вечером последнего дня перед увольнением, стоит узнать, зачем он это сделал. Администратор просто спрашивает у работника, зачем он совершил подозрительное действие.
Александр Суслов: Если, скажем, работник распечатал документ вечером последнего дня перед увольнением, стоит узнать, зачем он это сделал
Также система позволяет контролировать утечки паролей любого рода. Скажем, с ее помощью мы выявили случай, когда сотрудник, пользовавшийся внешней системой, переходил в другой банк и переслал себе пароль, чтобы продолжать пользоваться обезличенной учетной записью, выданной нашей организации. Пароль мы сменили».
О том, какие меры принимаются после выявления инцидента
«Если работник не может внятно объяснить, зачем ему нужные эти данные вне офиса, мы просим устранить утечку (например, если он отправил что-то себе на личную почту – удалить эти письма). Если же есть подозрение, что информация уже могла утечь куда-то дальше, человек пишет объяснительную записку, в которой подтверждает свои виновные действия и дает обязательство о неразглашении».
Об использовании DLP-системы
«Мы также используем ее для получения информации о лояльности работников. Система анализирует категории сайтов, которые посещают работники. Данная информация полезна для кадровой службы банка.
Внедрение системы позволило прекратить балансировать между рабочей необходимостью и требованиями безопасности. Утечки чаще всего идут по наиболее простому пути. Если просто перекрыть все каналы наружу, человек все равно найдет, как вынести информацию, если ему это понадобилось. Сфотографирует с экрана, в конце концов. А так мы готовы предоставить работникам любые информационные каналы для ведения бизнеса, пересылай, что хочешь, – но все контролируется. И мы сразу можем выявить намерение вынести информацию.
DLP-система помогает оптимизировать бизнес-процессы. К примеру, мы можем контролировать, как распространяется по цепочке то или иное распоряжение, как быстро на него реагируют работники, и выдать свои рекомендации по оптимизации».
Александр Суслов: Внедрение DLP-системы позволило прекратить балансировать между рабочей необходимостью и требованиями безопасности
Об отношении сотрудников к контролю
«Когда человек устраивается на работу, он попадает к нам. Ему рассказывают, что можно, что нельзя, что является инцидентом информационной безопасности. За год работы системы не было прецедентов, чтобы работники жаловались на что-то. Человек понимает, что если его подловили на нарушении, то он виноват. А если его действия обусловлены рабочей необходимостью – он все спокойно объяснит. Его такой контроль не беспокоит. Кроме того, мы же не читаем почту сотрудников и не смотрим, на какие сайты они ходят. Система просто ищет определенную информацию и, обнаружив, присваивает инциденту одну из категорий. Если требуется дальнейшее разбирательство, администратор просто спрашивает у сотрудника, что и для чего он отправил себе на личную почту, загрузил на веб-сайт или распечатал».
iBusiness.ru публикует выдержки из интервью с Александром Сусловым, впервые размещенного на портале Банки.ру.
