Легло ли быть инсайдером в банке?

Информация в банковском деле - это первое, что нужно защищать любыми силами, любой ценой. Конфиденциальных сведений, хранящихся в банковских системах, более, чем достаточно. Это просто раздолье для мошенников. Конечно, несмотря на безалаберное отношение большинства российских организаций к защите персональных данных, банки всё-таки занимаются этим вопросом более или менее тщательно. Защитные механизмы не так уж легко преодолеть хакерам и прочим преступникам. Но всегда есть лазейка, для достижения которой, как выяснилось, не требуется практически никаких усилий. Это бич всех современных компаний - инсайдеры.

Да, информация относительно успешных хакерских атак и ущерба от них, как правило, скромно умалчивается. Однако одна из компаний решила обойти её и провести опрос, который наглядно продемонстрировал состояние многих банков мира на примере трёх стран. Эксперты оценивали не просто степень защищённости вычислительной техники от несанкционированного доступа. Они делали вывод о том, насколько ответственно сотрудники организаций подходят к информационной безопасности, задавая всего пару вопросов. Компания "SailPoint Technologies" спрашивала работников банков, могут ли они похитить конфиденциальную информацию у компаний, где работают. Оказывается, из довольно широкой выборки (порядка трёх с половиной тысяч участников опроса) большой процент сотрудников ответили положительно.

Это означает, что в районе двадцати пяти процентов в Соединённых Штатах и Австралии и пятьдесят процентов в Великобритании имеют доступ к секретным данным своих фирм. И все они способны, и многие даже готовы своровать их. Ответ на следующий вопрос, должно быть, шокирует начальство организаций, чьих сотрудников опрашивали аналитики из "SailPoint Technologies". На вопрос "Готовы ли вы продать украденную информацию?" пять процентов в США и Австралии и аж двадцать четыре процента в Объединённом Королевстве дали всё тот же положительный ответ. Пугающие показатели, особенно для англичан. Ради личного обогащения сотрудники крупных организаций могут без зазрения совести продать конфиденциальные сведения любому человеку, который на все сто будет мошенником.

Что касается России, то подобный опрос более двух тысяч банковских сотрудников показал, что две трети из них работают с секретной информацией, почти столько же - могут пользоваться соцсетями в течение рабочего дня, а пятьдесят шесть процентов готовы разгласить не только корпоративные данные, но сведения, находящиеся ограниченном доступе. Таким образом, было выделено 4 вида инсайдеров этих компаний:

- четверть сотрудников могут открыть доступ к информации мошенникам, даже о том не подозревая;
- другая часть инсайдеров сознательно игнорируют правила информбезопасности, понимая при этом, какой вред они могут нанести (22%);
- третья группа - наиболее опасная из всех, поскольку эти служащие действуют исходя исключительно из собственных корыстных побуждений.

Да, почти половина (около 47 процентов) сотрудников утверждают, что бережно относятся к коммерческим тайнам компании, в которой работают. Даже если это действительно так, мы имеем больше 50 процентов сотрудников, которые представляют реальную опасность для банков. Это значит, что какими бы современными и эффективными ни были механизмы защиты от хакерских атак и других типов проникновения посторонних лиц в секретную базу данных, всё это бесполезно, покуда компания не справится с собственными недобросовестными подчинёнными.

Совет в данном случае может быть только один: нужно как можно более тщательно подбирать персонал, а впоследствии ограничивать доступ сотрудников к ценной информации так, чтобы они могли работать только с её необходимым минимумом. Кроме того, нужно отключать при этом ненужные устройства, шлюзы и интерфейсы, лимитировать доступ к использованию социальных сетей и интернет-мессенджеров и следить за работой сотрудников. Это не исключит возможность инсайдерской деятельности полностью, но, по крайней мере, сведёт её к минимуму, что будет уже неплохо по сравнению с сегодняшним положением дел.