13 февраля 2013 г.

Бойся инсайдера, в банк приходящего

На пост сподвигли три события. Бурное обсуждение под Магнитогорском безопасно-банковских проблем, в отношении которых есть возможность мнить себя стратегом, видя бой со стороны (в основном, в изложении Алексея Лукацкого). Круглый стол по безопасности систем дистанционного банковского обслуживания на Инфофоруме. И, наконец, последний отчет о правоприменении законодательства о персональных данных за январь 2013 года, который специалисты нашего агентства подготовили для своих клиентов-банков.
Возник какой-то внутренний диссонанс. Представители банковского сообщества в один голос винят во всех смертных грехах «самое слабое звено» - клиента, который неправильно, неумело, коряво и даже просто преступно пользуется предоставленным банком отличным инструментом под названием ДБО, или «клиент-банк», или интернет-банкинг, в результате чего некие злые хакеры или просто плохие парни захватывают контроль над клиентской машиной и от имени клиентов выводят денежки куда-то в «голубое нигде». А потом имеет наглость ждать вступления в силу пресловутой 9-й статьи 161-ФЗ с тем, чтобы заставить банк оплатить свое же головотяпство. При этом, правда, рассказывать клиенту о рисках в полном объеме как-то не комильфо, а то он уйдет к менее щепетильному конкуренту-молчуну. Да и оплачивать повышение осведомленности хорошо бы государству – это же его граждане портачат.
Но вот читаю ежемесячный отчет. И не в первый раз за последний год (я как-то писал на эту тему)  поражаюсь количеству мошенничеств, совершаемых инсайдерами. Т.е. вполне себе легитимными пользователями АБС и прочих банковских систем, где хранится и обрабатывается информация о клиентах, их счетах и с использованием которых совершаются транзакции. Теми, кто после неких проверочных мероприятий (в свете 152-ФЗ не вполне законных обычно, но также обычно проводимых) был принят на работу, которым предоставили доступ к информационным системам (т.е. к деньгам, вроде бы виртуальным, но вполне себе конвертируемым в наличность) и доверили банковскую и коммерческую тайну, да еще и персональные данные до полного комплекта, положили не самую маленькую в стране зарплату и пустили в огород.
А что же они, неблагодарные? Воруют. Деньги – банка и клиентов. Идентификационные данные – пользователей ДБО. Сведения о пластике, позволяющие выпустить карту-двойник или оплатить покупки через Интернет. И вообще, все что плохо и даже хорошо в банке лежит.
Вот сотрудница некоего смоленского банка, к своим 21 годам доросшая аж до кредитного инспектора, несмотря на столь юный возраст отлично приноровилась оформлять кредиты по неизвестно как добытым ее сообщником паспортным данным, приобретать на них не самую дешевую бытовую технику и сбывать ее.
Вот в неведомом мордовском Ковылкине ее коллега запугала пенсионерку, которая уже оформила все документы на кредит, да так, что дама от займа отказалась, а кредит получила сама, предоставив 57-летней несостоявшейся клиентке возможность возвращать банку 90 тысяч рублей.
В подмосковной Рузе менеджер по продажам финансовых продуктов (кредитов) ЗАО «Связной Логистика» оформляла кредитные карты на бывших покупателей, чьи данные остались в базе, и, естественно, сама же их и обналичивала, заработав таким нехитрым способом 700 тысяч рублей.
Менеджер группы отдела обслуживания физических лиц солидного западного банка, работающего в России, вошел в состав преступной группы, главную скрипку в которой играли полицейские, разыгрывающие сложные костюмированные спектакли со снятием наличных по поддельным документам, которые были оформлены на лиц, внешне похожих на VIP-клиентов банка. Сведения о них как раз менеджер и поставлял. Поскольку операция была сложной и многоходовой, ребята не мелочились и снимали суммы миллионов так по 12.
А уж когда за дело берутся инсайдеры на позициях топ-менеджеров банка, масштаб воровства становится соответствующим. Вслед за лишенным лицензии «Трансэнергобанком», феерически быстро оформившим задним числом вклады на безумную сумму группе подельников, прибежавших в Агентство по срахованию вкладов за «полагающимися» пайками, аналогичную комбинацию попытался провернуть АКБ «Экспресс» из солнечного, но загадочного Дагестана.
Это итоги одного месяца. Может, стоит подумать о том, что  слабое звено – не обязательно вне банка? И что масса людей, находящихся к деньгам гораздо ближе клиентов, и к значительно бОльшим деньгам, могут нанести гораздо более значительный ущерб своему работодателю, чем клиенты, для которых механизм возврата средств по мошенническим операциям вновь отодвинут на год? Может, что-то не так в консерватории? Не случайно заместитель начальника ГУБЗИ Банка России А.Сычев говорил о требованиях к DLP- системам, учитывающим банковскую специфику. Враг внутренний всегда гораздо опаснее внешнего.

5 февраля 2013 г.

Защита «на глазок»

Михаил Емельянников, управляющий партнер агентства «Емельянников, Попова и партнеры», — о ситуации вокруг Постановления Правительства РФ № 1119
В но­яб­ре 2012 года всту­пи­ло в силу По­ста­нов­ле­ние Пра­ви­тель­ства РФ № 1119 «Об утвер­ждении тре­бо­ва­ний к за­щи­те пер­со­наль­ных дан­ных при их об­ра­бот­ке в ин­фор­ма­ци­он­ных си­сте­мах пер­со­наль­ных дан­ных». Со­глас­но его тре­бо­ва­ни­ям, опе­ра­то­ру пред­ла­га­ет­ся са­мо­сто­я­тель­но опре­де­лить тип угроз без­опас­но­сти пер­со­наль­ных дан­ных, ак­ту­аль­ных для ин­фор­ма­ци­он­ной си­сте­мы. В по­ста­нов­ле­нии при­ве­де­ны три типа угроз, два из ко­то­рых свя­за­ны с на­ли­чи­ем недо­ку­мен­ти­ро­ван­ных воз­мож­но­стей в ПО. Про­ком­мен­ти­ро­вать из­ме­не­ния и ре­ак­цию на них со сто­ро­ны рос­сий­ско­го биз­не­са мы по­про­си­ли Ми­ха­и­ла Еме­льян­ни­ко­ва, управ­ля­ю­ще­го парт­не­ра кон­сал­тин­го­во­го агент­ства «Еме­льян­ни­ков, По­по­ва и партнеры».
Что но­во­го при­внес­ло По­ста­нов­ле­ние № 1119 в пра­во­вой ланд­шафт РФ?
По­ста­нов­ле­ние при­внес­ло, к со­жа­ле­нию, очень много неожи­дан­но­го. Во-пер­вых, оно по­ка­за­ло, что от­вет­ствен­ным струк­ту­рам можно не вы­пол­нять тре­бо­ва­ния фе­де­раль­но­го за­ко­на и не раз­ра­ба­ты­вать в со­от­вет­ствии с ним под­за­кон­ные акты, а пе­ре­кла­ды­вать ре­ше­ние про­блем на биз­нес. Как из­вест­но, имен­но го­су­дар­ствен­ные ор­га­ны и обя­за­ны со­здать пра­ви­ла, вы­пол­няя ко­то­рые, сле­ду­ет со­блю­дать закон.
Кроме того, об­на­ру­жи­лось, что каж­дый за­ве­ду­ю­щий дет­са­дом, глав­врач или ди­рек­тор ма­га­зи­на долж­ны от­лич­но по­ни­мать, что такое неде­кла­ри­ро­ван­ные воз­мож­но­сти си­стем­но­го и при­клад­но­го про­грамм­но­го обес­пе­че­ния. В за­ви­си­мо­сти от этого по­ни­ма­ния и оцен­ки уров­ня воз­мож­но­стей по­тен­ци­аль­но­го взлом­щи­ка ком­пью­те­ров им пред­ла­га­ет­ся при­ни­мать ре­ше­ния, по­рож­да­ю­щие для вве­рен­ной ор­га­ни­за­ции юри­ди­че­ские последствия.
Что еще пе­чаль­нее, был на­пи­сан до­ку­мент, опре­де­ля­ю­щий по­ря­док за­щи­ты от при­ду­ман­ных ре­гу­ля­то­ра­ми угроз, но не на­зван ни один спо­соб за­щи­ты от них, что опять-та­ки пе­ре­кла­ды­ва­ет про­бле­му на того, кто дол­жен до­ку­мент исполнять.
Как свя­за­но По­ста­нов­ле­ние № 1119 с Фе­де­раль­ным законом
№ 152-ФЗ «О пер­со­наль­ных дан­ных»? И как его вы­пол­не­ние от­ра­зит­ся на тех пред­при­я­ти­ях, ко­то­рые уже по­ста­ра­лись при­ве­сти свои ин­фор­ма­ци­он­ные си­сте­мы в со­от­вет­ствие с су­ще­ство­вав­ши­ми ранее требованиями?
Закон и по­ста­нов­ле­ние свя­за­ны очень четко: по­ста­нов­ле­ние раз­ра­бо­та­но в со­от­вет­ствии с тре­бо­ва­ни­я­ми части 3 ст.19 за­ко­на. Вот толь­ко преду­смот­рен­ный за­ко­ном учет воз­мож­но­го вреда субъ­ек­ту пер­со­наль­ных дан­ных, а также вида де­я­тель­но­сти, при осу­ществ­ле­нии ко­то­ро­го об­ра­ба­ты­ва­ют­ся пер­со­наль­ные дан­ные, в по­ста­нов­ле­нии от­ра­же­ния никак не нашел. Тре­бо­ва­ния же к за­щи­те пер­со­наль­ных дан­ных, ко­то­рые ука­за­ны в по­ста­нов­ле­нии, никак не могут ней­тра­ли­зо­вать, сни­зить или ком­пен­си­ро­вать угро­зы, свя­зан­ные с на­ли­чи­ем неде­кла­ри­ро­ван­ных воз­мож­но­стей при при­зна­нии ак­ту­аль­ны­ми угроз пер­во­го и вто­ро­го типа.
Если опе­ра­тор вы­пол­нил меры по тех­ни­че­ской за­щи­те в со­от­вет­ствии с утра­тив­шим силу Постановлением № 781 от 2007 года, При­ка­зом ФСТЭК № 58 и ме­то­ди­че­ски­ми до­ку­мен­та­ми ФСБ, при­знав для себя ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа, де­лать ему прак­ти­че­ски ни­че­го не при­дет­ся. Речь будет идти лишь о до­ра­бот­ке нор­ма­тив­ной до­ку­мен­та­ции, за­мене акта клас­си­фи­ка­ции ин­фор­ма­ци­он­ных систем пер­со­наль­ных дан­ных на акт вы­бо­ра типа ак­ту­аль­ных угроз и оцен­ку уров­ня за­щи­щен­но­сти. Воз­мож­но, по­тре­бу­ет­ся под­пра­вить част­ную мо­дель ак­ту­аль­ных угроз в со­от­вет­ствии с ожи­да­е­мы­ми до­ку­мен­та­ми ФСБ и ФСТЭК. При­ня­тых мер за­щи­ты в аб­со­лют­ном боль­шин­стве слу­ча­ев ока­жет­ся вполне достаточно.
А вот если ак­ту­аль­ны­ми будут при­зна­ны угро­зы пер­во­го и вто­ро­го типа, что де­лать, се­год­ня не знает, на­вер­ное, никто, вклю­чая ав­то­ров по­ста­нов­ле­ния правительства.
В целом по­ста­нов­ле­ние об­лег­чи­ло или услож­ни­ло жизнь ком­па­ний — опе­ра­то­ров пер­со­наль­ных дан­ных? Какие у него плюсы и ми­ну­сы с точки зре­ния ком­па­ний, вы­нуж­ден­ных ему следовать?
Этого пока нель­зя ска­зать даже пред­по­ло­жи­тель­но. Струк­ту­ра по­ста­нов­ле­ния пред­по­ла­га­ет обя­за­тель­ное при­ня­тие для его ис­пол­не­ния фе­де­раль­ны­ми и ре­ги­о­наль­ны­ми ор­га­на­ми ис­пол­ни­тель­ной вла­сти, Бан­ком Рос­сии, ФСБ и ФСТЭК це­ло­го па­ке­та до­ку­мен­тов. Без этих до­ку­мен­тов по­ста­нов­ле­ние, со­дер­жа­щее массу от­сы­лоч­ных норм, ра­бо­тать не сможет.
Со­мне­ний нет, что ФСБ и ФСТЭК такие до­ку­мен­ты при­мут. А вот что может за­ста­вить это сде­лать фе­де­раль­ные ор­га­ны ис­пол­ни­тель­ной вла­сти, осу­ществ­ля­ю­щие функ­ции по вы­ра­бот­ке го­су­дар­ствен­ной по­ли­ти­ки и нор­ма­тив­но-пра­во­во­му ре­гу­ли­ро­ва­нию, — ни закон, ни по­ста­нов­ле­ние от­ве­тов не со­дер­жат. Непо­нят­но и что де­лать тем опе­ра­то­рам, у ко­то­рых нет ор­га­нов, ре­гу­ли­ру­ю­щих де­я­тель­ность «в уста­нов­лен­ной сфере».
Мо­де­ли по­ве­де­ния опе­ра­то­ров на се­го­дняш­ний день при­мер­но одни и те же — при­знать ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа (не свя­зан­ные с ис­поль­зо­ва­ни­ем зло­умыш­лен­ни­ком неде­кла­ри­ро­ван­ных воз­мож­но­стей) и за­щи­щать­ся по ми­ни­му­му. Су­ще­ству­ю­щие до­ку­мен­ты никак та­ко­му пути не препятствуют.