Утечки информации – серьезная угроза для компаний любых отраслей, и банковская сфера не исключение. Цена ошибки слишком высока — всего один инцидент может привести к репутационным потерям, оттоку клиентов и многомиллионным убыткам. Кроме того, высоки и риски — в крупных банках работают тысячи сотрудников, многие из которых постоянно обрабатывают конфиденциальные и весьма ценные данные. Без тщательного мониторинга действий сотрудников невозможно предотвратить утечки данных из банков, мошенничество, конфликты интересов и другие риски.
Для решения этих задач используются DLP-системы (от англ. Data Leak Prevention, предотвращение утечек данных), в том числе и разработанная «Ростелеком-Солар» система Solar Dozor. О том, как с ее помощью удалось предотвратить утечку данных из крупного банка «Х», и пойдет речь ниже.
Предыстория
С увеличением штата и конкуренции у банка «Х» возникла объективная необходимость смены подходов к корпоративной безопасности — тем более что с ростом организации увеличилось и число инцидентов. Пока что все они были мелкими и проходили без серьезных последствий, но руководство банка понимало, что это лишь вопрос времени. Тем более что не у всех представителей банковской сферы дела шли хорошо — в августе стало известно о крупнейшей утечке персональных данных из конкурирующего банка.
Уже на этапе пилотного проекта Solar Dozor руководство банка убедилось, что вовремя озаботилось вопросом выбора DLP-системы — при помощи решения удалось предотвратить серьезный инцидент безопасности.
Инцидент
13 ноября 2017 года сотрудник кредитного отдела банка Иванов попытался переписать на личную флешку документы с данными своих благонадежных клиентов-заемщиков — более сотни компаний среднего бизнеса. Solar Dozor заблокировал процесс, не дал скопировать файлы и уведомил о нарушении регламента офицера ИБ.
Один из основных инструментов Solar Dozor — функция быстрого поиска и ведение полного архива коммуникаций. Архив коммуникаций и быстрый поиск в нем позволяют в несколько кликов мышью получить сводную информацию о действиях каждого сотрудника – какие файлы он загружает и скачивает, с кем переписывается и т. д. Это дает офицеру безопасности возможность проанализировать поведение сотрудника максимально оперативно.
Изучив архив переписки на почте Иванова, офицер ИБ обнаружил, что тот активно переписывается с обладателем электронной почты example@gmail.com. Поиск по архивной базе данных Solar Dozor показал, что этот адрес уже встречался в «группе риска» — он принадлежал ранее уволенному сотруднику Петрову. Судя по графу связей, отображающему коммуникации каждого сотрудника, Иванов с Петровым вели переписку как до увольнения последнего, так и после. Петров, устроившийся на новую работу в конкурирующий банк «З», звал Иванова к себе в отдел и между делом намекал, что уходить стоит не с пустыми руками.
Кредитный менеджер не догадывался, что Solar Dozor ведет архив переписки, который при необходимости досконально изучают офицеры ИБ. Он рассчитывал, что никто не свяжет его общение с бывшим коллегой и попытку переписать файлы на флешку, и ему удастся унести на новое место ценные данные сотни заемщиков-юрлиц.
Результат
Solar Dozor мгновенно отреагировал на попытку скопировать конфиденциальные файлы на USB-носитель, и Иванову не удалось заполучить ценные данные — список надежных компаний-заемщиков банка «Х». Этот список он собирался использовать на новом месте работы в личных интересах. Клиентами Иванова были компании среднего размера, регулярно кредитующиеся на сотни миллионов рублей. Многие из них согласились бы сменить банк «Х» на другой в обмен на снижение процентной ставки или более выгодные условия обслуживания. Заемщики получили бы снижение ставки, Иванов — премии за приведенных клиентов, а банк «Х» — финансовые и репутационные потери и претензии регуляторов.
Вовремя проведенное внедрение DLP-системы позволило банку «Х» не только предотвратить утечку данных в одном конкретном случае, но и получить доступ к актуальной информации по сотрудникам. Прозрачные и понятные отчеты обеспечили руководству банка полное понимание того, что происходит со значимой бизнес-информацией в компании, и как ИБ-служба обеспечивает ее надежную защиту.
