Есть элемент банковской безопасности, который виден сразу, с порога. Запрограммированный пропуск посетителей центрального офиса, двери на электронных замках, девушка, прикладывающая свою магнитную карту к считывателю, даже если вы открыли дверь своей карточкой и пропускаете её вперед. Но есть и другая, скрытая от постороннего взгляда сторона работы «безопасников». О ней мы расспросили сотрудников РосЕвроБанка — директора департамента безопасности Андрея Грузинского и начальника управления информационной безопасности Юрия Лысенко.
Управление информационной безопасности РосЕвроБанка организационно подчинено департаменту безопасности, и за любой инцидент в данной сфере отвечать перед руководством всего банка в первую очередь будет директор департамента безопасности Андрей Грузинский. Это типичная схема работы подразделений информационной безопасности в российских компаниях.
«Молодость нашей банковской системы напрямую влияет на службу безопасности банка, — говорит Андрей Грузинский. — По разумной причине: вложения в подобные мероприятия в сегодняшних российских условиях не оправдываются выгодами от успешной их реализации. На растущем рынке, которым сегодня несомненно является банковский сектор, вложения в дорогостоящие разведывательные мероприятия с применением сложных технических средств попросту не окупаются. Зародившийся в России около пятнадцати лет назад рынок коммерческих банков еще долго будет ненасыщенным и растущим, места на нем точно хватит как минимум на десятилетие. При этом сейчас нельзя даже сказать, что сегменты клиентов разных банков так уж сильно пересекаются.
Для нас это значит, что в документах, регламентирующих работу отдела информационной безопасности, коммерческую разведку можно ставить отнюдь не на первое место». Юрий Лысенко добавляет: «Чисто технические аспекты информационной безопасности, такие как вирусные атаки, бывшие основным фактором риска пять-семь лет назад, теперь также отошли на второй план, потому что окончательно стали рутинными, регламентированными и перешли в ведение управления информационных технологий».
Наши собеседники считают, что текущий, более цивилизованный, чем коммерческая разведка, вариант борьбы за конкурентные преимущества — это попытки «перекупить» управляющих верхнего звена. Правда, как показывает их опыт, люди такого ранга, если у них есть реальная возможность выбирать место работы, больше руководствуются уже не финансовой стороной дела, а атмосферой и традициями конкретной компании. «Разница в исторически сложившихся стилях работы и уникальности каждого банка. Если топ-менеджер после перехода в другую организацию и использует свой предыдущий опыт, то в основном это будут навыки менеджмента, а не передача коммерческих секретов конкурентам», — поясняет Андрей Грузинский.
Итак, технические системы защиты уже не находятся в центре внимания службы безопасности банка, далеко не на первом месте и такая политика, как коммерческая разведка или потенциальная перекупка управленцев верхнего уровня, которые меняют работу в среднем трижды за десятилетие… В таком случае где же сегодня фокус?
По словам Андрея Грузинского, в списке самых значительных для деловой репутации угроз в банковской сфере лидируют утечки конфиденциальной информации через руководителей среднего звена. «Если человек из управленческой верхушки банковской среды, где все друг друга хорошо знают, пожелает воспользоваться своей должностью, то в дальнейшем, даже оставшись чистым перед законом, он может просто попасть в профессиональную изоляцию», — замечает Андрей Грузинский. Амбициозным же сотрудникам на менее высоких должностях, поставившим перед собой цель сменить место работы с повышением, такой ход вполне может удаться. По оценке наших собеседников из РосЕвроБанка, чувствительная информация чаще уходит не через высшее руководство и близких к нему людей, которые для этого слишком дорожат своим реноме, и не через рядовых сотрудников, у которых при нормальной защите информационных систем просто нет этих данных, а через руководителей уровня среднего звена.
«В случае таких инцидентов риски для банка в основном репутационные, так как если оценить финансовую сторону потери, то уход, допустим, даже очень профессионального опытного клиентского менеджера может привести к потере клиентской базы на уровне 5%, не выше, — считает Андрей Грузинский. — Если с финансовой точки зрения подобную потерю банк легко может пережить, то для его репутации крайне важно, чтобы и коллеги, и клиенты были уверены в том, что информация о них не проникнет за пределы автоматизированной банковской системы и истории кредитных операций их банка».
Борьба с риском, выделенным РосЕвроБанком в качестве основного, начинается уже на этапе приема новых сотрудников на работу. К собеседованию с ними после отдела кадров подключается департамент безопасности. Внимание уделяется самым разным факторам — это и трудовая книжка человека (как часто кандидат менял работу и по каким причинам), и отзывы с предыдущих мест. При этом речь идет обо всех потенциальных новых сотрудниках, в этом смысле банк не ограничивается управленцами среднего звена. Через проверку проходят все, но от должности, на которую претендует кандидат, зависит, кто из департамента безопасности будет заниматься его делом. С трудовой историей человека, желающего попасть на тот или иной пост в высшем руководстве банка, работает директор департамента безопасности.
Это не единственная точка соприкосновения «безопасников» с кадровой службой. «При приеме на работу сотрудники проходят обучение в онлайн-системе, проходят собеседование с сотрудниками управления информационной безопасности по вопросам защиты банковской коммерческой тайны и работе с персональными данными, сдают соответствующие экзамены, — рассказывает Юрий Лысенко. — Затем мы периодически проверяем, как соблюдаются требования информационной безопасности в центральном офисе и в отделениях».
Проект по улучшению информационной безопасности начался в банке почти два года назад. Год потребовался на то, чтобы все поняли необходимость формализованных правил информационной защиты. В планах стоит задача пройти сертификацию в Центральном Банке по стандарту СТО БР ИББС-1.0—2006.
Из нерегулярных способов контроля, по словам Юрия Лысенко, применяются такие, как неожиданный визит на рабочее место сотрудника в его отсутствие. Если такая проверка обнаружит незаблокированный компьютер, то самое «забавное», что может ждать его владельца, — это отправленная из его же почтового клиента жалоба непосредственному руководителю на забывчивого подчиненного. Во всех филиалах существуют собственные региональные службы безопасности, контролируемые центральным офисом, который организует внезапные проверки, командируя своих ревизоров в филиалы без предупреждения. Региональные кредитно-кассовые офисы работают в РосЕвроБанке по принципу тонких клиентов, пользуясь мощностями центрального офиса через VPN по общедоступной сети и не храня чувствительную информацию на собственных ресурсах.
Сознание военного человека
Андрей Грузинский с государственными силовыми структурами попрощался около 15 лет назад. «Коммерческую» часть биографии он начинал с обеспечения безопасности торговли, потом этим же занимался на производстве. Личные истории руководителей отделов безопасности в банках, как правило, похожи между собой: человек приспосабливается к условиям коммерческой компании со всеми её отличиями от государственной организации, с меньшим количеством согласований, зато с большей гибкостью и скоростью жизни предприятия. Ломка сознания военного человека, по словам директора по безопасности РосЕвроБанка, проходит в течение первого года.