О том, какую опасность несут внутренние злоумышленники, говорят уже давно. А в условиях сильных экономических потрясений эта опасность увеличивается, причем многократно. Известно, что при слияниях и поглощениях резко падает эффективность организационных мер, а в кризис — тем более. Кроме того, снижение всевозможных выплат сотрудникам вызывает у них недовольство и может спровоцировать желание поправить свое материальное положение за счет продажи информации, к которой они имеют доступ. Да и любые более-менее крупные сделки в кризисное время многократно усиливают ущерб от обычной ошибки даже тогда, когда никакого злого умысла просто не было. И эти проблемы еще более усугубляет снижение расходов на внедрение решений в области информационной безопасности.
Всё это приводит к тому, что на большинстве предприятий стратегия по обеспечению информационной безопасности или полностью отсутствует, или формально существует, но не соблюдается, поскольку для её реализации нет необходимых ресурсов. Не редкость и такие случаи, когда меры в области информационной безопасности вступают в прямое противоречие с требованиями бизнеса. Это показало исследование Gartner, проведенное в начале 2008 года.
В результате растет как количество неприятных инцидентов на предприятиях, так и ущерб от них. Разбору двух самых громких таких эпизодов было посвящено выступление бельгийского специалиста в области информационной безопасности Хендрика Колеманса на выставке-конференции Infosecurity Russia ‘2008. Оба они связаны с банковской сферой, но причины их являются универсальными и не зависят от отрасли.
Дело Кервьеля, или Хотел как лучше, а получилось как всегда
В конце января 2008 года стало известно о махинациях трейдера банка Societe Generale Жерома Кервьеля. Сумма ущерба при этом называлась разная, но счет в любом случае шел на миллиарды евро. Надо сказать, что ущерб, нанесенный действиями Кервьеля, был заметно меньше, чем потери, вызванные финансовым кризисом. Societe Generale, как и многие другие банки, активно играл на американском ипотечном рынке и много потерял на его обвале: как минимум семь миллиардов евро. Однако в банковском секторе доверие означает не меньше, чем капитализация. А вот здесь потери были куда больше. Тем более, что дело Кервьеля стало достоянием широкой гласности, попало в СМИ и вызвало большой резонанс.
Кервьель был трейдером на рынке фьючерсов. Его махинации состояли в неавторизованных банком сделках. При этом общий объем рисков, которые он брал на себя, достигал 70 миллиардов евро. И если бы эти риски реализовались в полном объеме, то Societe Generale был бы просто уничтожен на корню.
Кервьель работал в этом банке уже около пяти лет. Ему было хорошо известно, какие существуют практики, какие методы контроля над деятельностью трейдеров действуют в банке. Ну и конечно же он понял, как сделать то, что противоречит правилам, и при этом не вызвать подозрений.
Разумеется, в Societe Generale были методы контроля, позволяющие предотвратить кражи и махинации. Однако там не учли, что самая большая угроза находится не где‑то за морем, вовне, а внутри компании. Только здесь может присутствовать тот, кто знает методы контроля и может их обойти. Пусть даже это происходит безо всякого злого умысла, а совсем наоборот, из лучших побуждений. Но и в этом случае можно совершить ошибки, приводящие к ущербу. В том числе и столь гигантскому. А вот банковские системы от такого рода угроз адекватной защиты не имели.
Да и само руководство банка проявило беспечность, несмотря на то что поступали четкие сигналы о том, что у них не все в порядке. Система внутреннего контроля за два года срабатывала 75 раз, но никаких мер в отношении данного трейдера предпринято не было. Хотя его намерения сомнений не вызывали. Как и то, что объем проводимых им сделок существенно возрос. При этом Кервьель ничего не украл. Более того, в определенные моменты его деятельность приносила прибыль банку. Естественно, его работа неплохо оплачивалась и он был вполне обеспеченным человеком.
И только в январе 2008 года система управления рисками подала тревожный сигнал о том, что Кервьель занимается неавторизованными сделками. При этом их объем достигал десяти миллиардов евро, так что пришлось вмешаться контролирующим органам. Плюс ко всему на этот раз деятельность Кервьеля привела к убыткам, поскольку проводилась в условиях падающего рынка. В результате потери банка составили от 3,6 до 6,3 миллиарда евро.
История с Кервьелем сразу попала в средства массовой информации. Впоследствии один из крупнейших акционеров банка бросил в лицо председателю совета директоров и генеральному директору группы Societe General Даниэлю Бутону: «Вы превратили наш банк в казино!». И это было правдой. Так что данный инцидент привел не только к прямым финансовым, но и к репутационным потерям, ущерб от которых также весьма велик, хотя его размеры очень трудно выразить в денежной форме. Ведь падение доверия со стороны акционеров, контрагентов, партнеров, вкладчиков значит не меньше, чем ущерб для капиталов.
Каковы были ошибки руководства Societe General? Во-первых —жадность. Для каждого трейдера есть определенные лимиты объемов торгов, превышать которые он не имеет права. А Кервьель наращивал объемы сделок до миллиардов евро, что говорит о том, что данные лимиты не работали. Societe General хотел получить дополнительную прибыль и на этом погорел.
Во-вторых —неадекватная реакция руководства. Топ-менеджеры Societe General получали информацию и от Центробанка, и от контрагентов о том, что происходят какие‑то странные сделки, но никак на это не реагировали. Причем длилось это более двух лет. Среди трейдеров не проводилось никаких проверок, а они должны быть регулярными. Не было методов управления расследованием. Ну и нарушения методов контроля доступа. Кервьель частенько использовал для обхода систем контроля учетные записи других трейдеров. В основном это касалось сделок с короткими позициями. И уже то, что использовалась такая система контроля, с логинами и паролями, которая совершенно не адекватна рискам, и привело к возникновению этой ситуации. Удивительно, что этого не случилось раньше. И точно по той же причине не так давно большие потери понес американский City Bank. Аналогичные проблемы имеют место и в других банках, в том числе и российских. Но когда система управления рисками столь слаба, не стоит удивляться, что это присходит то здесь, то там. Так что сбой —это не только техническая, но и организационная проблема контроля. А руководство просто не сделало свою работу или сделало её из рук вон плохо. Над Кервьелем были старшие трейдеры, над теми —еще начальники, но на все допущенные им нарушения никто не отреагировал. Все «странности» списывались на сбои в ПО, обслуживающего торги. И менеджеры банка, и непосредственные руководители Кервьеля просто складывали все отчеты на полку и не предпринимали никаких действий.
Утечка в LGT Treuhand
Лихтенштейнский LGT Treuhand хоть и не так известен в России, как Societe Generale, но тоже крупный банк. Одним из его совладельцев является семья князя —главы государства Лихтенштейн. Плюс ко всему он обслуживает очень многих крупных клиентов. Это связано с тем, что Лихтенштейн —офшорная зона и к тому же одно из немногих мест, где продолжают сохранять банковскую тайну. В результате страна стала своего рода налоговым убежищем для многих состоятельных европейцев.
И в этом банке на весьма скромной должности работал некий Генрих Кибер. Имея доступ к базам данных о клиентах, он методом copy-paste собрал информацию примерно о двух тысячах вкладчиков из разных стран и выставил её на продажу соответствующим спецслужбам. Известно, что одна из разведслужб ФРГ заплатила более четырёх миллионов евро за эти данные, которые впоследствии были переданы налоговому министерству Германии. В результате удалось выявить 600 человек, уклонявшихся от уплаты налогов, причем общая сумма недоплаты в германскую казну составила около двухсот миллионов евро. На 150 из них были заведены уголовные дела. Среди тех, кто оказался замешан в этом скандале, был и многолетний глава почтового ведомства Германии Клаус Цумвинкель, которому пришлось уйти в отставку, несмотря на блестящие результаты работы. Информация, полученная из Лихтенштейна, использовалась соответствующими органами и еще нескольких стран, в частности Австралии, Британии, Греции, Испании, Италии, Канады, США и Франции. Как она к ним попала —напрямую от Кибера или через посредничество германских служб, неясно, да и не имеет особого значения.
Естественно, данная ситуация вызвала скандал. Со стороны Лихтенштейна выдвигались обвинения ни больше ни меньше, как в подрыве суверенитета этого хоть и карликового, но все же самостоятельного государства. Напомним: семья князя Лихтенштейна —крупнейший акционер LGT Treuhand. Да и германская разведслужба по большому счету поступила не вполне этично, выступив в качестве скупщика краденого и укрывателя уголовного преступника. Кибер, скорее всего не без помощи покупателей своей информации, покинул Лихтенштейн и в конце концов оказался в Австралии. Плюс ко всему полученная им информация использовалась для вымогательства и шантажа. Тому есть несколько фактов в одной только Германии. С другой стороны, переданные Кибером данные касались не только уклонения от уплаты налогов, что само по себе является преступлением. Они способствовали выявлению деятельности, связанной с финансированием террористических организаций, в частности баскской ЭТА, и отмыванием доходов итальянской мафии и колумбийских наркодельцов.
При всей внешней непохожести деятельность Кибера, как и в случае Кервьеля, стала возможной вследствие несоблюдения норм безопасности. Причины тому, к сожалению, типичны для многих банков. Не было ни технических средств предотвращения утечек, ни организационных мер и методов контроля со стороны руководства. Копирование информации —процесс немудрёный, но довольно трудоемкий, требующий немалых временных затрат. То, что эти действия не вызвали никаких подозрений, по меньшей мере странно. Равно как и то, что они не были заблокированы на техническом уровне. Никаких средств авторизованного доступа к информации предусмотрено не было. Хотя методы контроля, не допускающие саму вероятность такого рода кражи, существуют. Доступ к избыточной информации имело слишком много людей. У Кибера не должно было быть возможности манипулировать этими данными просто потому, что это не связано с его служебными обязанностями. Но, к сожалению, точно такую же ситуацию можно наблюдать в целом ряде других банков, которые повторяют те же самые ошибки. Так что нельзя исключить того, что подобного рода случаи могут произойти где‑то еще, в том числе и в России.
Сам факт такой кражи означает, что банк нарушил целый ряд законов и норм по защите информации, причём никто не понес никакой ответственности. За этот инцидент никого не уволили, не оштрафовали, хотя при столь вопиющей халатности речь должна идти об уголовном преследовании.
Выводы
Несмотря на все различия, причина происшедшего состоит в том, что в обоих банках практически отсутствовали какие‑либо стандарты в области информационной безопасности. И, к сожалению, это отнюдь не исключение. Средства контроля, как технические, так и организационные, отсутствуют у очень и очень многих банков. Нет механизмов, позволяющих действовать на перспективу, определяя, какие риски будут представлять угрозу в будущем. Даже переживаемый сейчас кризис во многом является следствием этой недальновидности, помноженной на жадность. Причем те же самые ошибки различные банки допускают раз за разом, наступая по нескольку раз на одни и те же грабли. В результате многие из них просто перестают существовать, лишний пример тому — недавнее банкротство или смена профиля нескольких крупнейших американских банков с многолетней историей. И эти банкротства, к сожалению, далеко не последние. От них нет иммунитета даже у крупных компаний.
Нет у финансовых учреждений необходимой культуры. Не всё в порядке и с ответственностью виновников. Причем в Европейском союзе эта проблема также имеет место. Например, максимальный размер штрафа за нарушение банковских стандартов измеряется всего пятью миллионами евро, что часто составляет ничтожную долю рыночной стоимости украденной информации. Это не слишком большая сумма и для банковских топ-менеджеров. Такой штраф вряд ли стал бы чем‑то существенным для генерального директора того же Societe Generale.
Какие уроки мы должны из этого вынести? Прежде всего следует работать совместно с аудиторами. Это касается сотрудничества как с саморегулирующими организациями, так и с государством. Ну и со специалистами в области информационной безопасности и управления рисками.
Без адекватной оценки рисков систему информационной безопасности не построить
Евгений Модин
Руководитель направления консалтинга, Aladdin Security SystemsРаботодатели и Кибера, и Кервьеля создали все условия для того, чтобы описываемые инциденты произошли. К сожалению, приходится констатировать, что как на европейском рынке, так и в России ещё не осознан тот факт, что информация в настоящее время является товаром и её как товар тоже необходимо защищать. Без поддержки руководства и вне коммуникации с бизнес-подразделениями говорить об эффективной службе информбезопасности в кредитно-финансовой организации невозможно. Отнюдь не председатель совета директоров Sosiete General превратил банк в казино, но и сами акционеры, за всё время не озаботившиеся проведением внешнего аудита, который и выявил бы существующие проблемы. Отсутствие осмысленной политики информационной безопасности организации возможно только при попустительстве руководства.
Что же касается принципов построения системы информационной безопасности, то в основе её всегда лежит оценка рисков. В указанных примерах она либо отсутствовала полностью, либо была проведена некорректно. Без ответа на вопросы, какую именно информацию необходимо защищать и как контролируется доступ к этим информационным ресурсам, ни о какой безопасности не может быть и речи.
На мой взгляд, выводы должны быть несколько иными: учитывая огромное влияние финансово‑кредитных организаций на экономическую ситуацию, необходимо, чтобы регуляторы четко определили свои требования к ним, зафиксировали их в стандартах и сделали эти стандарты обязательными для исполнения, как, к примеру, PCI DSS в сфере платежных систем. В таком случае если внутренних стимулов руководству банка покажется недостаточно, будут существовать внешние, которые обяжут организацию обеспечить информационную безопасность и поддерживать её на адекватном уровне.
Технические средства беспомощны, если они работают в отрыве от административных мер
Александр Сидоров
Ведущий системный аналитик отдела внедрения, продвижения и развития продуктов «Дозор-Джет» компании «Инфосистемы Джет»В первом случае всё дело в отсутствии у подразделения внутреннего контроля полномочий и мотивации, необходимых для эскалации инцидентов непосредственно на уровень владельцев и акционеров банка минуя руководящий состав, в котором у злоумышленника наверняка были сообщники. Данный случай подтверждает, что технические средства беспомощны, если они работают в отрыве от административных мер. Кроме того, показательно, что нарушение принципов организации бизнес-процессов (наличие материально ответственных владельцев, многократная верификация, разделение ответственности) ведёт к потере контроля и, как следствие, к злоупотреблениям.
Второй случай — ситуация весьма редкая, когда утечка информации помогла другим странам в борьбе с преступностью (как известно, уклонение от налогов — серьёзное преступление). Оставляя проблемы «скелетов в шкафу» крупных компаний, связанные с сохранением банковской тайны, здесь можно сказать, что имел место обычный несанкционированный доступ к крайне чувствительным данным. Скорее всего это произошло из‑за того, что информация о клиентах банка и их операциях была недооценена в качестве нематериального актива, в результате чего технические и административные меры защиты не соответствовали стоимости данных, содержавшихся в базе.
И в первом и во втором случаях убытков с большой вероятностью можно было бы избежать, если бы соответствующие службы банков сумели отследить связи злоумышленников и применить к ним необходимые превентивные меры.
Чтобы политики ИБ работали
Антон Смирнов
Технический эксперт компании TopS BI, ГК «Систематика»Предприятия активно закупают различные технические средства безопасности, пишут сотни страниц документации. Однако случаев компрометации конфиденциальных данных не становится меньше. В чём же тут проблема? А в том, что руководители компаний считают установку оборудования, ПО и разработку политик информационной безопасности (ИБ) панацеей от всех угроз, забывая о необходимости контроля обеспечения защиты. Но часто правила, определенные политиками ИБ, до персонала не доводятся и их исполнение никем не контролируется, равно как и использование технических средств защиты, которые могут быть отключены или неправильно настроены.
Между тем решение этой проблемы уже существует и заключается в выстраивании системы управления информационной безопасностью (СУИБ). Однако СУИБ эффективна, если идея о ее создании исходит от руководителей компании и они активно участвуют в ее реализации:
- информируют сотрудников о необходимости выполнения требований ИБ, о значении политики информационной безопасности в решении задач основной деятельности предприятия;
- согласуют роли и ответственность сотрудников в области защиты информации;
- следят за тем, чтобы средства защиты и контроля не мешали нормальной работе;
- утверждают решения о критериях принятия информационного риска и о его приемлемых уровнях;
- возглавляют работу по контролю выполнения требований ИБ, инициируют проведение внутренних и внешних аудитов.
Только при таком подходе компания сможет противостоять внутренним и внешним угрозам, а также сократить количество инцидентов с точки зрения информационной безопасности.
Угроза инсайдеров становится более явной
Михаил Башлыков
Руководитель направления информационной безопасности компании КРОКНовая экономическая ситуация действительно заставляет банки пересматривать свои вложения в ИТ. И некоторые из них сокращают затраты на обеспечение информационной безопасности, забывая о том, что кризис увеличивает вероятность угроз именно в этой сфере. Сегодня как никогда важно уделять внимание решениям по защите специфических банковских бизнес-процессов. Как пример специализированных продуктов здесь можно назвать системы контроля действий операторов и пользователей на уровне транзакций и сессий. Они позволяют вести полный анализ работы всех операторов, выявлять попытки несанкционированного доступа и способствуют снижению потерь от ошибок и преднамеренных действий персонала.
Угроза со стороны инсайдеров в условиях кризиса становится еще более явной. Растет число недовольных сотрудников, а возможные кадровые изменения заставляют идти на подобные действия даже проверенных людей. Для предотвращения инсайдерских атак (умышленных и случайных) и повышения эффективности системы безопасности нужно внедрять комплексные решения, включающие в себя не только средства для предотвращения утечки информации во внешнюю среду. Здесь необходимы и инструменты управления доступом к информации на уровне контента, и системы IRM (Information Right Management), а также решения по контролю обработки (в том числе доступа) конфиденциальной информации на предприятии. Нельзя забывать и о правовых аспектах борьбы с инсайдерами. Без проработки этих вопросов любые технические средства и собранные факты могут обернуться против самой компании.
Как не допустить утечек и мошенничеств
Юрий Гуров
Ведущий инженер Департамента информационной безопасности компании «Техносерв»Из всех фактов по обоим инцидентам я бы сделал несколько иные выводы, чем приведены в статье.
- «Следует работать совместно с аудиторами». Работа с аудиторами (как внешними, так и внутренними), с персоналом и т.п. должна проводиться в рамках некоего строго определённого бизнес-процесса, который и называется информационной безопасностью, с адекватной системой управления и системой контроля выполнения этих правил. Однако здесь следует различать термины «ИТ-безопасность» и «информационная безопасность», поскольку первый из них подразумевает безопасность технологий, а второй — процесс, который направлен на защиту информационных активов компании, и ИТ-безопасность является всего лишь частью данного процесса.
- Средства контроля существуют у многих банков, но не всегда имеется квалифицированный персонал, способный пользоваться данными средствами. Кроме того, в большинстве случаев специалисту в области информационной безопасности требуются не только технические навыки, однако об этом далеко не всегда вспоминают при приеме на работу.
- В условиях финансового кризиса процесс защиты информационных активов компании способен — при грамотном подходе — оптимизировать многие затраты, а заодно избежать лишних финансовых потерь.