Понятие «информационная безопасность» на первый взгляд может показаться довольно простым. Вместе с тем ее обеспечением в банках занимаются не одно и не два подразделения. По сути это дело каждого сотрудника, что неудивительно, ведь вопрос стоит о защите информационных активов банка. Причем зачастую главную угрозу этим активам может представлять пресловутый человеческий фактор.

В процессе подготовки этой статьи обозреватель портала Банки.ру обратилась с запросами в несколько крупных банков. Однако тема оказалась настолько тонкой и деликатной, что их сотрудники, курирующие направление информационной безопасности, согласились рассказывать о своей работе только на правах анонимности.

Итак, что же представляет собой это понятие? «Наряду с финансовыми активами у каждой кредитной организации есть и так называемые информационные активы — данные, носители информации, программное и аппаратное обеспечение и т. д., — рассказывает руководитель департамента информационной безопасности одного из крупных розничных банков. — Соответственно, информационная безопасность — это обеспечение конфиденциальности и целостности данных активов банка. И, как бы громко это ни звучало, это дело каждого сотрудника, ведь неправильные действия того или иного человека могут свести на нет эффективность внедренных механизмов и средств защиты информации».

Пожары, Интернет и человеческий фактор

В банках рассказывают, что угрозу информационной безопасности могут представлять многие вещи и явления: кража данных, пожар, сбой в работе программного обеспечения, несанкционированный доступ в систему и, как следствие, потеря важных свойств информационной безопасности — конфиденциальности, доступности или целостности.

«В моей практике был случай, когда в здании, которое находилось рядом с процессинговым центром банка, случился пожар, — сказал сотрудник одной кредитной организации. — К счастью, огонь дальше не пошел, но, если бы это произошло, половина Москвы осталась бы без банкоматов, а тысячи людей не могли бы осуществлять операции по картам».

Казалось бы, каким образом такой случай можно отнести к угрозе именно информационной безопасности? Специалисты объясняют, что пожар ставил под вопрос одно из важнейших свойств информационного актива — доступность. Это свойство позволяет банку оказать услугу в тот период времени, когда она необходима пользователю. Пожар не позволяет банку предоставлять услуги своим клиентам и, соответственно, зарабатывать деньги.

В банках указывают, что угрозу информационной безопасности несут не только пожары и стихийные бедствия. Уязвимые места — слабые пароли, неквалифицированные действия IT-специалистов, несоблюдение сотрудниками специальных правил, как, например, блокирование экрана монитора компьютера, когда человек покидает свое рабочее место.

«Неквалифицированные действия «айтишников» могут быть какими угодно. Скажем, вместо того чтобы предоставить какому-то сотруднику права на чтение файлов с определенной закрытой информацией, IT-специалист дает права на редактирование таких файлов. В итоге человек, который не должен обладать определенными полномочиями, эти полномочия получает», — продолжает руководитель службы информационной безопасности крупного банка. Он также вспоминает случай, когда аутсорсинговая компания, обслуживавшая колл-центр некой кредитной организации, при обработке записанных переговоров сотрудников последней и клиентов выложила их в Интернет не в ограниченном, а в открытом доступе. «Произошло это потому, что неквалифицированные IT-специалисты не настроили корректно сервер обмена информацией. Результатом стало разглашение как персональных данных клиентов, так и внутренней информации банка», — объясняет собеседник Банки.ру.

Не секрет, что доступ сотрудников к социальным сетям (и ряду прочих интернет-ресурсов) в большинстве банков заблокирован. Казалось бы, эти вещи не имеют прямого отношения к информационной безопасности, а, скорее, касаются общей проблемы занятости сотрудников. Действительно, непозволительно в рабочее время сидеть в тех же «Одноклассниках», ведь ресурсы, которые предоставляет организация, предназначены для работы, а не для личного использования. Но это с одной стороны. С другой, современные каналы обмена информацией потенциально опасны и являются источниками вирусов. А вирусы влекут за собой всевозможные DOS-атаки, которые «заваливают» систему банка некорректными и многочисленными запросами. В итоге она перестает работать — и банк перестает работать. «Кроме этого, современные средства в Интернете позволяют похищать информацию, которая являются внутренней для организации, и использовать ее в своих целях», — подчеркнули в одном банке.

Для того чтобы информация не выходила из банка без контроля, для сотрудников заблокированы доступы к бесплатным почтовым сервисам: Mail.ru, Yandex.ru и пр. Также блокируется доступ к файлообменным серверам. С помощью этих простых и понятных сервисов сотрудники могут отправить кому-нибудь закрытую информацию или просто выложить ее на всеобщее обозрение.

Правил безопасности для банковских работников существует очень много, и зачастую их перечень образует многостраничное приложение к трудовому соглашению. В частности, запрещаются самостоятельная установка на рабочий компьютер какого-либо программного обеспечения, изменение каких-либо настроек. Часто эти возможности не просто запрещены, они заблокированы. «Такой запрет существует для того, чтобы лишить людей возможности при установке программ совершать ошибки, ведь, как только появляется человеческий фактор, сразу можно говорить об угрозе безопасности, — замечают в банках. — По этой же причине запрещено передавать своим коллегам собственный пароль для входа в систему».

В кредитных организациях осторожно говорят, что рабочая электронная почта сотрудников постоянно мониторится на предмет приема и передачи файлов и информации. У многих заблокированы USB-порты, и они не могут пользоваться флеш-накопителями. «В банке четко разграничен доступ к различным сетевым ресурсам, — указал один из собеседников Банки.ру. — Например, в какие-то файлы ты можешь зайти, а в какие-то — нет, для этого нужно пройти целую цепочку согласований». Одним словом, мониторинг ведется постоянно, для того чтобы минимизировать возможность нарушений правил со стороны сотрудников.

Цена актива

Все эти, а также многочисленные другие правила и запреты направлены на то, чтобы сохранить безопасность информационного актива. Кстати, для того чтобы определить его стоимость, в банках существуют специальные методики. «Здесь в первую очередь мы говорим о потере какой-то потенциальной прибыли со стороны банка, или о причинении какого-то прямого ущерба, или о репутационных рисках, например о конкретных штрафах, — рассказали в одном банке. — И если размер штрафа, нам грозящего, составляет 15 тысяч рублей, то будет глупо вкладывать 100 , чтобы обеспечить соблюдение необходимого правила и избежать указанного штрафа». Такими категориями и определяется стоимость информационного актива — сколько денег готов потратить собственник на то, чтобы закрыть тот или иной риск.

Вместе с тем банкиры утверждают, что обеспечить информационную безопасность на сто процентов невозможно. «Вернее, возможно, но это потребует неоправданно больших инвестиций, — подчеркивают специалисты. — Не стоит забывать, что основная цель любой коммерческой организации, и банки не исключение, это прибыль. Ни один здравомыслящий собственник не будет тратить на защиту информации больше ее реальной стоимости». Таким образом, обеспечение информационной безопасности превращается в поиск компромисса между бизнес-требованиями, эффективностью процессов, возможностями информационных систем, удобством для конечных пользователей и т. д.

Татьяна СЕМЕНОВА