Контакты
Подписка 2026

Рвение сотрудников часто вредит безопасности

Вячеслав Касимов, 10/02/21

Вопросы задавал Лев Матвеев, председатель совета директоров «СёрчИнформ»
На вопросы отвечал Вячеслав Касимов, директор департамента информационной безопасности ПАО «Московский кредитный банк»

Кто опаснее — инсайдеры или хакеры?

Я считаю, что опаснее комбинированные атаки – когда внешние идеологи находят инсайдеров внутри банка, начинают взаимодействовать с ними и таким образом получают доступ к системе. Такой симбиоз оказывается наиболее опасным. Работника могут уговаривать: дай нам данные, сделай такой-то платеж, дай нам учетную запись, с которой мы сможем сделать платеж. Мы тогда станем богатыми людьми и заживем. Это самый плохой сценарий, он обескураживающий для честных сотрудников организации. Результаты, получаемые в этом симбиозе, могут быть ужасными.

Впрочем, сообщников может не быть вовсе, если мы говорим про эксплуатацию технических уязвимостей.

Но если организация всерьез относится к защите от внешних угроз, то у злоумышленников не остается другого пути, кроме как искать выходы на внутренних работников. Я всегда в таких ситуациях вспоминаю прекрасный сериал «Мистер Робот»: там показывают фотографию т.н. «корпорации зла» с изображением шести человек, и один хакер спрашивает другого: ты видишь здесь какие-нибудь уязвимости? Второй отвечает: я здесь вижу минимум шесть уязвимостей.

С людьми может быть и проще, гарантированно больше возможностей для взлома, поэтому господин Митник был в свое время прав. Но все-таки возможны сценарии, когда злодеи могут что-то сделать и без пособников внутри. Многое зависит от зрелости процессов и от того, занимается компания ИБ или нет.

Утечки в банковской отрасли: злой умысел или халатность сотрудников?

Человек склонен к тому, чтобы делать операционные ошибки. У нас нет большой статистики, но те попытки, которые мы останавливаем, всегда являются следствием какого-либо необдуманного действия сотрудника, нарушающего корпоративные политики и правила информационной безопасности. В таких случаях важна такая защита, когда у сотрудника даже не возникает возможности ошибиться.

Ситуации, когда люди целенаправленно наносят вред организации или клиентам, – исключительные, и защита от них требует больших усилий.

Давайте представим ситуацию, что работник имеет доступ к данным клиентов и он занят обработкой отчетности, у него есть возможность сформировать большую клиентскую выгрузку. Он не успевает сделать отчет, поэтому на выходных хочет поработать с домашнего компьютера. Ему может не прийти в голову, что можно попросить удаленный доступ, и ему пойдут навстречу. Вместо этого он попытается отправить выгрузку клиентских данных себе на личную почту. Это классический пример даже не халатности, а рвения, которое плохо сочетается с корпоративными политиками безопасности.

Три самых опасных инцидента ведущих к максимальным финансовым потерям для банков

  1. Прямое воздействие на платежные процессы – это одна из наиболее критичных проблем. Причем неважно, чьими руками это делается – сотрудника или внешнего злоумышленника. Допустим, злоумышленники получили доступ к платежному сегменту и завладели в нем правами администратора. Они могут делать платежи, которые никто не инициировал, модифицировать легитимные платежи – менять получателя или сумму и получателя. Это создает наибольший ущерб, ведь мошенники получают деньги сразу, им не нужно совершать никакие дополнительные действия, например, продавать данные.
  2. Та же ситуация и с работниками. Если в банке где-то что-то недосмотрено, плохо выполнены функции «мейкера» и «чекера» (того, кто создает платеж, и того, кто его проверяет). Это второй сценарий, который близок первому, но действующее лицо другое.
  3. Третья опасная ситуация – это утеря крупных корпоративных клиентов, если их информацию недостаточно тщательно обрабатывают с точки зрения обеспечения конфиденциальности. Ни одной организации не понравится, если выписка по ее счету окажется в общем доступе. Это точно вызовет скандал и завершение договорных отношений с банком.

К слову, если посмотреть на сводку новостей за текущий год, все утечки, позиционировавшиеся как банковские, на самом деле происходили из интернет-магазинов. Мы изучали, из какого набора полей состоят публичные утечки, и в итоге всегда приходили к интернет-магазину.

Что касается приобретения выписок – на черном рынке такое действительно есть. Мы со своей стороны регулярно смотрим, чтобы там не фигурировали наши данные, и ни разу не находили сервиса, где можно было бы из «Московского кредитного банка» получить выписку о клиенте. Но тем не менее подобный – не знаю как назвать – вид мошенничества (если в терминологии закона) или «сервиса» (если в терминологии даркнета) существует. По большому счету это сильно связано с корпоративной культурой в каждом конкретном банке, с тем, насколько сотрудники понимают незаконность продажи данных или нет, и кому они вообще принадлежат.

В нашем банке работают правильные люди. У нас могут быть рабочие споры, но при этом каждый из работников понимает, что клиенты – это главная ценность, и не покушаются на святое, на клиентские данные. Когда я пришел в МКБ, увидел, что есть эта ценность, и это не просто декларация, как иногда бывает. С нашей стороны все, что остается сделать, – это ограничить внешнее воздействие и доступ к этим данным.

Почему регулятор контролирует выполнение PCI и DSS и защиту от внешних атак, но по сути не налагает никаких штрафов за утечки

Я бы не сказал, что регуляторы не придают этому значение. Если мы говорим про карточные данные, даже в случае подозрения на утечку и Visa, и MasterCard всегда обращают на это внимание. Банку, у которого произошла утечка, точно не позавидуешь.

Что касается внутреннего регулятора. Любое обращение в Банк России от физических лиц с жалобой на возможную утечку, провоцирует внеплановую проверку.

Но важно заметить. Утечки данных сложно подтвердить или опровергнуть. У организации должно быть соответствующее оснащение, чтобы она могла достоверно определить факт утечки.

Регуляторы достаточно обращают внимания на утечки, в том числе в нормативных документах написано, что противодействие утечкам данных должно производиться. С другой стороны, эти процессы остаются в тени, потому что разбирательства, которые ведутся по факту инцидентов, сложные и долгие. Выводы этих разбирательств, к сожалению, вероятностные, сделать однозначный вывод можно очень редко. 

ИБ – это траты или инвестиции?

Когда мы говорим про информационную безопасность и бюджетирование, мы так или иначе делаем оценку стоимости противодействия рискам. Если эта стоимость меньше, чем стоимость оцененного риска, все хорошо. Тогда это инвестиция, потому что мы инвестируем в то, чтобы риск не реализовался.

Но бывает так, что бюджетирование происходит в духе  «Ой, как нам нужно это решение». При этом никто не понимает, зачем, какие сценарии будет предотвращать ПО, какие люди будут с ним работать как пользователи, как администраторы и т.д. На мой взгляд, это показывает непрофессионализм менеджеров, которые работают в ИБ. Но я думаю, что такая практика сходит на нет, профессионализм в сфере растет. Я надеюсь, что в ближайшее время все будут понимать: есть риски и есть инвестиции, чтобы эти риски не сбылись.

Окупаемость затрат зависит от класса решений и тех угроз, которым оказывается противодействие. Если это анти-APT-решения (для противодействия целевым атакам) срок окупаемости, как правило, составляет один год. Особенно это было заметно с 2014 по 2017 гг. У DLP-решений окупаемость может составить и месяц – в зависимости от того, насколько корректно настроена система и что видит оператор, который с решением работает. Бывает по-разному, но скажу о своей позиции. Я вряд ли буду закупать решение, у которого срок окупаемости составляется больше двух лет.

Блиц

Все запретить или разрешить и контролировать?

Я бы скорее сказал, что все разрешить и контролировать. Но к сожалению, на практике часть приходится запрещать.

Нарушителя сразу уволить или сделать информатором и привлечь на свою сторону?

Не мой метод создавать информаторов, хотя так любят делать выходцы из силовых органов. Поэтому мое решение такое: вор должен сидеть в тюрьме, а нарушитель – уволен.

Сотрудник создал фирму-боковик, при этом для компании он ценный работник. Ваши действия?

Если боковичок приносит прибыль, нужно рассмотреть вариант сотрудничества с ним. Но в официальном поле, например, кредит ему выдать.

Главный драйв от профессии?

Многообразие задач и свежесть этих задач – всегда в тренде.

У кого бы хотелось поучиться?

Много таких людей, и к счастью получается с ними повзаимодействовать. Кирилл Ермаков, г-н Карпов из Яндекса.

Полное видео интервью:

Темы:Банки и финансыDLPПерсоны
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Контроль информации в состоянии покоя и предотвращение утечек
    Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды
    Системы предотвращения утечек следят только за передачей файлов. Если файл никто не трогает, DLP его не видит. Даже если в этом файле, годами лежащем на рабочем столе, пароли от всей корпоративной инфраструктуры или персональные данные клиентов. Штрафы регуляторам, финансовые убытки – вероятный финал такой небрежности. Разберемся, как обнаружить критичные файлы в покое и взять их под контроль до того, как они уплывут наружу.
  • Сотрудники, дружба, ИБ: открытый контроль снижает риски утечек
    Вы наверняка сталкивались с парадоксом: чем строже становятся правила безопасности, тем чаще сотрудники ищут обходные пути. Исследование “СёрчИнформ” показывает тревожную статистику: 66% утечек конфиденциальной информации происходят без злого умысла. Основные причины – персонал не всегда понимает правила информационной безопасности, не может оценить важность данных и не осознает последствия нарушений. При этом лишь 18% российских компаний могут похвастаться по-настоящему высокой киберграмотностью сотрудников.
  • Эволюция безопасности: ретейл, стандарты и автоматизация
    Дмитрий Гладченко, Заместитель директора по информационной безопасности дирекции по обеспечению бизнеса компании «Лента»
    Информационная безопасность из набора технических ограничений постепенно превращается в ключевой элемент устойчивости бизнеса. Дмитрий Гладченко, заместитель начальника управления информационной безопасности АО “Северсталь Менеджмент”, на примере внедрения системы управления безопасностью SECURITM в ретейле, рассказал нам, как автоматизация экономит ресурсы специалистов, позволяя поддерживать баланс между развитием бизнеса и безопасностью.
  • DLP и DCAP для доказательства защиты ПДн
    На проверках регуляторов формального "у нас все защищено" давно недостаточно – требуется подтвержденная практикой система контроля. DLP и DCAP кажутся подходящими для этого инструментами, позволяющими не просто предотвратить утечку, но и показать, что организация действительно соблюдает требования 152-ФЗ. Посмотрим, что именно в этих решениях работает на успешный аудит?
  • DLP против ChatGPT
    Появление генеративного ИИ создало для специалистов по информационной безопасности новый тип утечек – через пользовательские запросы. Теперь данные могут покинуть периметр не по каналам коммуникаций, а в диалоге с умным алгоритмом. Насколько DLP-системы готовы к такому сценарию и где проходят границы их эффективности?
  • Доступные правила: как распределить права пользователей, чтобы это работало?
    Подходов к настройке и распределению доступа много: дискретный, мандатный, ролевой, атрибутивный. В любом из них ИБ-специалисты сталкиваются с проблемой: “на бумаге" правила доступа выглядят хорошо, а на деле выявляются риски. Как защититься от случайных нарушений и злоупотребления правами со стороны пользователей? Поможет связка DLP+DCAP.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...