В последнее время много говорят об утечках информации и о построении системы защиты от них. Банк Москвы имеет такую систему уже не первый год. Недавно она была существенно модернизирована. О ходе этого проекта мы беседовали с начальником отдела защиты информации Банка Москвы Василием Окулесским.
Intelligent Enterprise: Кому подчиняется служба информационной безопасности и кто отвечает за возникающие инциденты и их последствия? Существует ли в Банке Москвы политика в этой области?
Василий Окулесский: Мы действуем в соответствии со стандартами Центрального Банка, а в них не рекомендовано подчинять службу, отвечающую за информационную безопасность, ИТ-подразделению. Так что у нас этот вопрос решен классическим способом. Мы подчиняемся непосредственно руководителю службы безопасности, а он, в свою очередь, только президенту банка. Таким образом выдержана цепочка подчинения первому лицу в строгом соответствии с руководящими документами. Эта система действует с 2002 года, а до того мы подчинялись службе внутреннего контроля. Что касается инцидентов и их последствий, то за расследование отвечаю я, а за нанесенный ущерб – непосредственный виновник.
Политика информационной безопасности у нас существует с самого основания нашего отдела как самостоятельного подразделения. Первый документ был разработан еще в 2002-м. И, как того требует стандарт Центрального Банка, он каждый год пересматривается и при необходимости дополняется. Не будь такой политики, а точнее, раздела, связанного с защитой электронной почты, наш разговор просто не состоялся бы, поскольку внедрение любой системы происходит на основе политик.
Есть мнение, что технологические средства защиты от утечек информации не нужны в принципе и эту проблему можно решить организационными методами. И многие бизнес-руководители высказывают данный аргумент против внедрения такого рода систем. Как отстоять их необходимость?
Прибегну к биллиардно-математической аналогии. Чтобы описать движение одного шара, достаточно уравнения с двумя переменными. Когда добавляется второй шар, система становится уже сложнее. И с каждым новым она усложняется все больше и больше. Точно так же всё обстоит и с людьми. Если у вас в компании работает три человека, то проблему утечек можно решить исключительно организационными мерами. Вы можете обойтись ими даже при штате в сто человек, , но тогда придется научиться очень быстро бегать. А вот когда численность сотрудников составляет уже тысячу, то тут уже встает вопрос об автоматизации. Организационные методы при этом сохраняются в полном объеме.
Был ли какой-то формальный повод для внедрения систем защиты от утечек информации? Или это упреждающий шаг? Из каких продуктов пришлось выбирать и что выбрали в итоге?
Надо всегда смотреть вперед. Когда начинаешь «бить по хвостам», это означает, что ситуация полностью вышла из-под контроля. У нас система защиты от утечек начала работать в 2004 году, когда об этой проблеме мало кто говорил. Да, утечки тогда были -- как, например, случилось с базой абонентов МТС, -- но происходили они совсем по другим каналам. Первые громкие случаи утечек данных именно через электронную почту зафиксированы намного позже.
При выборе главным критерием был принцип «чтобы это работало». Раньше мы использовали систему «Дозор» компании «Инфосистемы Джет». Но она перестала устраивать нас по производительности. Сам процесс выбора был очень длительным, он занял почти полгода. Мы в реальных условиях тестировали все системы, представленные в то время на рынке. Причем тестирование это было весьма скрупулёзным. Проводился анализ обмена данными, тщательно просматривались все протоколы. В результате мы пришли к выводу, что система Infowatch Mail Monitor нас устраивает больше, её и выбрали. Плюс ко всему она лучше всех сопротивлялась всевозможным способам обмана, например, таким, как замена символов кириллицы на похожие латинские буквы и наоборот. Хотя я не могу сказать, что это самое идеальное решение, а те, что отсеялись, были плохими. Просто оно лучше всех отвечает именно нашим условиям.
Насколько известно, продукт Infowatch вам пришлось существенно адаптировать под свои нужды, на что ушло довольно долгое время. В чем заключалась эта адаптация?
Мы ставили задачу контроля и входящего, и исходящего трафика, в то время как система Infowatch могла контролировать только исходящий. Причём её могут заблокировать внешние пользователи, что для нас неприемлемо. К тому же немало проходит нецелевых писем -- всевозможные рассылки с телепрограммой, анекдотами и тому подобное. И для нас намного проще заблокировать их централизованно, чем обходить всех получателей таких рассылок и требовать отписаться от них. Плюс к тому -- вечные проблемы вроде спама, писем с вирусами и прочим вредоносным ПО, а в последнее время ещё и фишинговые сообщения.
И никакая установка дополнительного фильтра не могла бы данную задачу решить. Это определенная система организации связи, дополнительные средства контроля. Да и фильтры для входящего трафика нужны совсем другие, чем для исходящего. Кроме того, Infowatch в это время меняла платформу своего продукта, и ту платформу, которая используется у нас, также пришлось доводить. Ну и, наконец, потребовалась настройка системы под наши особенности. На всё это ушло почти полгода. Но тем не менее результат удовлетворил и нас, и Infowatch. Система заработала так, как нам и обещали.
Как проходил процесс непосредственного внедрения? С какими проблемами вы сталкивались в головном офисе и в филиалах?
У нас вся почта идет через единую точку входа, в том числе и в филиалах. Так что проблемы адаптации к филиалам не существует в принципе. Эту точку входа -- она же точка выхода -- мы и контролируем. Поэтому все было запущено сразу. Система Infowatch заработала через два часа после установки. Мы уже два раза обновляли аппаратную платформу, увеличивая ее производительность, наращивая объемы дисковой памяти, и на сегодняшний день все работает так, как нам хочется.
Вместе с тем система контентной фильтрации постоянно совершенствуется. Просто люди подстраиваются под неё, меняют характер своего поведения в сети. В результате средства защиты все-таки начинают что-то пропускать. И это нужно учитывать и настраивать систему заново. Конечно, процесс этот сложный и трудоемкий, но цена утечки выше. То же самое относится и к ложным срабатываниям. От них, к сожалению, не застрахована ни одна система, и лучше, если двадцать подозрительных писем уйдет с некоторой задержкой, чем произойдет утечка. С этим, увы, приходится мириться.
Экономический эффект от внедрения систем информбезопасности оценить довольно сложно, но тем не менее проводились ли какие-нибудь расчеты, демонстрирующие полученную выгоду?
Сразу после внедрения новой системы почтовый трафик снизился приблизительно вдвое. Можно ли такой эффект назвать экономическим? Да нет, скорее технологическим. И произошло это только за счет изменения структуры почтового трафика и повышения личной ответственности сотрудников. В денежном выражении, честно говоря, мы затраты не считали, но в мегабайтах выигрыш был ощутимый. Второй эффект выразился в том, что снижение нагрузки на почтовую систему отодвинул вопрос о модернизации ее аппаратной составляющей, которая также стоит денег, иногда довольно ощутимых, если речь идет о крупной компании.
Ну а стоимость утечки информации известна всем. Сама Infowatch проводила такие исследования, да и мы этим занимались. В результате утечек компания, как показывает и мировой, и российский опыт, теряет от 10 до 15% клиентов. Оборот банка можно узнать из годового отчета, это документ публичный. И во что обойдется потеря репутации из-за утечки, подсчитать несложно. Так что даже одна предотвращенная утечка с лихвой окупит затраты на установку системы.
Сюда же можно отнести и такой аспект: персонал знает, что трафик контролируется, и это хорошо дисциплинирует его, давая понять, что использовать почту в личных или каких-то иных целях не стоит. Иногда можно слышать мнение, что сотрудники не должны об этом знать, но лично я придерживаюсь прямо противоположного. Тем более, что этого фактически требует и действующее законодательство, иначе деятельность по контролю за электронной почтой подпадает под статью Уголовного кодекса, защищающего неприкосновенность переписки. Кроме того, люди должны понять, что всё, чем они пользуются, принадлежит предприятию, на котором они работают, в том числе и ПК, и почтовый и Web-трафик, и все ресурсы вычислительной сети. И любое нецелевое использование можно рассматривать как хищение, хотя это, конечно, довольно грубо. Но тем не менее все должны осознать, что за нарушение последует неминуемое возмездие, и оно может быть самым разнообразным.
Насколько нам известно, в Банке Москвы начат проект по внедрению других систем защиты от утечек. Как он продвигается?
Пока всё находится на стадии разработки решения. Infowatch предлагает массу средств, в частности для защиты Web-трафика. Эту задачу можно решать теми же методами, по каким действуют межсетевые экраны или прокси-серверы, с помощью черных и белых списков. Можно постфактум контролировать протоколы и потом применять всяческие оргмеры к нарушителям. А можно пытаться строить проактивную защиту, контролируя не то, куда кто пошел, а что смотрел. Именно такую систему мы планируем внедрить. Однако пока нас сдерживает то, что у неё нет ещё практических реализаций, а испытывать на себе что-то новое и неизведанное не хотелось бы. Плюс ко всему у нас на рассмотрении еще с десяток предложений. С одной стороны, все красиво, с высокой степенью интеграции, работает в одной базе. А с другой -- интегрированные решения более уязвимы, так что надежнее применять системы, построенные на разных основах, что мы и делаем.