Разделы

Безопасность ИТ в банках

Почему Сбербанк допустил утечку данных: мнение эксперта

В СМИ и профессиональных сообществах обсуждается недавний инцидент: в сеть попали данные 421 тыс. сотрудников Сбербанка, включая Германа Грефа. О том, как происходят такие утечки, кто отвечает за бреши в безопасности и как защитить информацию в крупной компании, рассказывает Александр Новожилов, генеральный директор «АйТи Бастион», производителя решения контроля действий привилегированных пользователей.

CNews: В профессиональном сообществе активно обсуждается новость об утечке данных в Сбербанке. Как мог произойти такой инцидент?

Александр Новожилов: На самом деле, довольно правдоподобную версию выдвинула пресс-служба Сбербанка. На мой взгляд, они упустили только одну деталь. Согласитесь, маловероятно, что любой сотрудник Сбербанка может штатным образом скачать базу адресной книги, в том числе, данные о сотрудниках, уже не работающих в Сбербанке. Вы обратили внимание, что число сотрудников меньше, чем количество украденных записей? Лично я ни разу не видел в корпоративной адресной книге кнопку «Скачать базу». Таким образом, напрашивается вывод, что пользователь, укравший информацию, обладал высокими правами в данной информационной системе. Реализовался риск злонамеренных действий со стороны привилегированных пользователей.

CNews: Вы хотите сказать, что доступ к этим данным никак не защищен?

Александр Новожилов: Безусловно, это не так. Конечно, любая уважающая себя компания строит систему защиты и, я уверен, что для внешнего злоумышленника такая задача практически невыполнима. Однако, существует категория пользователей (администраторы, инженеры ИТ подрядчиков), которые в силу своих должностных обязанностей имеют легитимный доступ к критичным сервисам и информации. В этом смысле случай со Сбербанком далеко не самый вопиющий. Случаются подобные инциденты и с более серьезными последствиями. Просто они очень редко становятся достоянием общественности.

dub55931.jpg
Александр Новожилов: Уверен, что уже в ближайшее время решение контроля действий пользователей станет де-факто обязательными для любого банка

CNews: Из ваших слов напрашивается вывод, что информация в банках защищена от всех, кроме перечисленных вами категорий пользователей

Александр Новожилов: Да, это близко к истине.

CNews: Это неразрешимая задача или недоработка службы безопасности Сбербанка?

Александр Новожилов: Какое-то время назад инструментов для решения этой задачи не было, и службы безопасности вынуждены были мириться с такими рисками. Некоторые по-прежнему не воспринимают эти риски всерьез, другие говорят, что «мы тщательно подбираем наших сотрудников, проводим с ними постоянную работу и поэтому, безусловно, им доверяем». К сожалению, жизнь показывает, что такая практика приводит к печальным последствиям. Но, к чести Сбербанка, должен сказать, что они уже несколько лет назад озаботились проблемой контроля того, что делают привилегированные пользователи. Состоялся конкурс, в результате которого было выбрано определенное решение. Вы легко можете найти об этом информацию в сети.

CNews: Почему тогда произошел этот инцидент?

Александр Новожилов: У меня есть несколько версий. Первая – изначально была допущена ошибка при выборе решения. Возможно, ключевым фактором выбора была указана стоимость, а не качество технического решения. Увы, это частая практика. Также существует вероятность того, что интегратором, реализовывающим проект, была допущена ошибка при проектировании или внедрении. Третий вариант – ряд информационных систем не попали «в скоуп» проекта и оказались не защищены. Также существует вероятность, что закупленное решение применимо не везде из-за его технологических особенностей либо устаревания. Информационные системы постоянно развиваются и не все разработчики в состоянии участвовать в гонке. К сожалению, ряд производителей считает российский рынок неперспективным и прекратил развитие своих продуктов.

CNews: Все эти версии – свидетельство ошибки службы безопасности. Не то купили, не так внедрили…

Александр Новожилов: Это не так. Во-первых, служба закупок часто экономит деньги в ущерб функциональному заказчику. Во-вторых, закупка была выполнена до прихода в банк нынешней команды. Я знаю некоторых из них как грамотных профессионалов, и я уверен, что они справятся с этой ситуацией. К тому же, в некоторых дочерних обществах Сбербанка уже внедряется современное высокотехнологичное решение контроля действий привилегированных пользователей.

Александр фон Розен, Единый ЦУПИС: Выполнить функции ассистента ИИ уже может, но генерировать код для высоконагруженных систем — еще нет
Цифровизация

CNews: Как обстоят дела в других банках?

Александр Новожилов: Мы видим, что проблема актуальна для банков. Крупные банки озабочены снижением рисков, связанных с действиями как собственных администраторов, так и подрядчиков. Да и средние уже «присматриваются» к этой проблематике. Уверен, что уже в ближайшее время решение контроля действий пользователей станет де-факто обязательными для любого банка.

CNews: Это их собственная инициатива? Или это как-то связано с действиями ЦБ как регулятора?

Александр Новожилов: Мне неизвестно о жестких требованиях со стороны ЦБ к банкам по данному вопросу. При этом, очевидно, что эта тематика не могла пройти мимо внимания соответствующих служб ЦБ. Думаю, что мы увидим какие-то рекомендации по снижению соответствующих рисков со стороны регулятора.