Собственные сотрудники — опаснее террористов

16 марта в Москве прошел третий форум «ИТ-безопасность в финансовом секторе». Банки и финансовые организации — те, кто действительно озабочен проблемами безопасности. Это определяется, как требованиями регулирующих органов и отраслевыми стандартами, так и особенностями отрасли в целом. Тем не менее, многие вопросы безопасности, волнующие финансовые организации столь же актуальны для компаний других отраслей.
Во многих докладах была сильна отраслевая специфика — тематика конференции обязывает. Однако, обеспечение информационной безопасности — общая проблема. Угрозы и средства их преодоления не имеют отраслевой окраски.
Среди самых тяжелых для ИТ-безопасности пунктов называется — внимание со стороны руководства к вопросам ИБ. Руководство вспоминает о безопасности после того, как что-то происходит. Пока все работает ситуация воспринимается как нормальная.
Валерий Харламов, Банк России, в своем докладе представил результаты опроса более 800 российских банков. На первом месте — действия сотрудников в рамках их полномочий. Источник угроз — сотрудники, которые делают что-то угрожающее ИТ-среде в целом, при этом строго в рамках, имеющихся у них полномочий. Слишком много сотрудников с избыточным набором прав — проблема не только финансовых организаций. Во многих компаниях сакральное знание админского пароля (*****) доводится до сотрудника в первый же день работы. Впрочем, эта угроза в опросе заняла третье место — действия сотрудников, выходящие за рамки их полномочий.
Второе место тоже отдано «штатным» угрозам ‑ сбоям и отказам технических средств. При этом злоумышленники и террористы волнуют финансовые организации намного меньше, чем неблагоприятные погодные явления.
Что с этим делать? Вот ответ Валерия Харламова: «Документация — основа наведения порядка в любой системе. Основные источники угроз — люди. Если у людей нет регламентов — ничего хорошего не будет».
Юрий Лысенко, HomeCreditBank, хорошо объяснил различие между службами ИТ и ИБ: «Задача ИТ — обеспечение доступности. Задача ИБ — обеспечение конфиденциальности». Очевидно, что часто эти задачи вступают друг с другом в конфликт и именно поэтому целесообразно разделять специалистов ИТ и ИБ.
К вопросу о непрерывности бизнеса. У банков документ по восстановлению работы бизнеса после сбоев создается в соответствии с требованиями регулирующих органов. Однако, очень часто такой документ не работает, поскольку с развитием ИТ-среды в него не вносятся необходимые изменения отражающие текущие реалии.
Ну и некоторое резюме форума от Василия Окулесского, Банк Москвы:
- Учить, лечить и защищать информацию умеют все;
- Золотой середины в информационной безопасности не бывает;
- Гром не грянет — начальник об информационной безопасности не вспомнит.
P.S. Кто из участников сообщества был на конференции? Поделитесь своими впечатлениями.
Дополнительные материалы
Комментарии (0)
Комментировать