Документов : 25395, Книг : 1263, Новостей : 253, Вопросов/Ответов : 1046/1019, Бизнес-терминов : 33446, Статей : 2819, Объявлений : 66, Банков : 1063
ГлавнаяСделать стартовойДобавить в избранное
УЧ.СТ.ЦБ:   8.25%|МРОТ:   4331

Типовые образцы договоров, документов и других деловых бумаг, своды законов и кодексов, сборник нормативов и стандартов, каталог бизнес-планов и идей, рейтинг банков России


г. Москва
« 21 »  Января  20 19 г.

Реклама

Новости

  «Развязать людям руки» — новая инициатива воодушевила россиян
Со всех россиян предлагают списать невозвратные долги за коммунальные услуги, сообщает DEITA. RU. С таким предложением выступил член комитета Госдумы по охране здоровья и первый секретарь ульяновского обкома КПРФ Алексей Куринный. По мнению...



  Politico: Помпео размышляет о выдвижении в сенат США
Госсекретарь США Майк Помпео может выдвинуть свою кандидатуру в сенат США в 2020 году.



  Получатели субсидий потребляют вдвое больше газа, - Розенко
Кабмин не будет никого ограничивать в получении субсидии. Павел Розенко Фото: Сергей Нужненко Украинцы, которые получают субсидию, потребляют почти вдвое больше газа, чем те, у кого льготы нет. Об этом заявил вице-премьер Павел Розенко, передает...



  Видео: Армия Порошенко: пропаганда и реальность
Видео: Армия Порошенко: пропаганда и реальностьПетр Порошенко любит хвастаться мощью украинской армии, называя ее «сильнейшей в Европе», но в это же самое время солдаты «самой патриотичной армии» гниют в окопах.



  Судебные процессы как оценка инвестпривлекательности страны
В реальной бизнес-практике зачастую происходят ситуации, которые могут повлиять на доверие инвесторов. Таковыми могут стать судебные процессы, подчиняющиеся непонятной для бизнеса логике. Как пример, дело с участием Morgan Stanley Bank.



  Следи за вкладом. Будь осторожен!
Пользователь Банки.ру рассказала историю о том, как положила деньги на вклад, а потом выяснила, что с него списывается комиссия за отсутствие операций по счету. Как избежать подобных неприятностей? Банк списал с вклада комиссию за то, что по...




Архив новостей

«Август, 2018»
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031  

Наши кнопки и ссылки

Размести на своем сайте HTML код с нашей кнопкой
Получить код
Обмен кнопками


Главная :: Новости :: Банки :: Враг внутри: кто в банках больше всех угрожает безопасности


Новостные рубрики

Бизнес


Политика и законодательство


Экономика и финансы


Новости в мире


Новости образования


Зарубежная пресса


Каталог юридических статей


ООН. Новости


законы, указы


Кредитование


Право


Банки


Здравоохранение




Враг внутри: кто в банках больше всех угрожает безопасности (06.08.2018 00:00)

Я больше семи лет работал в банке в должности начальника отдела безопасности. И за это время успел составить свою карту угроз со стороны сотрудников. Итак, кто самый опасный для банка... в банке?

Руководители: времени мало, а дел по горло

Они самые опасные.Потому что у них нет времени на безопасность. И так в любой сфере, не только в банках. Менеджеры осознают важность нашего дела в масштабах бизнеса, но на практике игнорируют правила безопасности. Например, не глядя соглашаются на настройки приватности по умолчанию. Или используют слабые пароли. Я знал директора, который всегда использовал один и тот же пароль, а когда его нужно было изменить, менял лишь последнюю цифру. Их можно понять: времени мало, а дел по горло.

Все усугубляется тем, что руководители имеют доступ самого высокого уровня ко всем ресурсам компании. Даже если шеф не использует специальных корпоративных сервисов и не обращается к базам данных, он получает самую важную выдержку из информации, подвергнутой аналитике. И получить доступ к ней мошенникам зачастую интереснее, чем к самой базе. Взять хотя бы стратегию развития и планы компании: это ценность другого порядка, так что директор — по умолчанию мишень.

Цитата

И последний аспект — мобильность. Сейчас менеджеры все реже работают стационарно из офиса. Они постоянно в разъездах и используют гаджеты. На этих устройствах много конфиденциальной информации, а руководители часто пренебрегают паролями и блокировкой. В конце концов, девайс можно забыть в зале ожидания в аэропорту. И до того, как служба безопасности узнает об этом и предпримет хоть что-то, информация успеет утечь в ненужные руки.

Что остается службе безопасности в работе с руководителем? Стараться наладить с ним контакт и пытаться донести до него важность соблюдения правил. Это сложно, долго и не всегда удается, но необходимо.

IT-специалисты: файл-бомба с отложенным запуском

У них в рейтинге опасности второе место. Критичность в том, что под управлением этих людей находится вся корпоративная инфраструктура. Технические специалисты в вопросах безопасности понимают больше других, но и они могут ошибиться или стать жертвой манипуляции. И цена такой ошибки будет больше, чем инцидент по вине линейного сотрудника.

В моей практике самой частой причиной проблем с IT-специалистами была банальная халатность: забыл обновить систему или заблокировать учетную запись после увольнения сотрудника. Иногда такие ошибки обходятся дорого. Хотя человеческий фактор тоже никто не отменял: бывали случаи, когда системные администраторы злоупотребляли правами намеренно.

Таким кейсом делился наш клиент. Их системный администратор уволился после отказа в повышении. Но ушел не просто так, а решил отомстить: оставил в корпоративной инфраструктуре файл-бомбу — программу с отложенным запуском. Она активировалась через две недели после увольнения специалиста и стерла конфигурации сетевого оборудования. В результате работа встала: сотрудники не могли отправить и получить письма, зайти в Интернет, а звонки sales-менеджерам переадресовывались директору. На восстановление системы ушел месяц. И пришлось бы потратить еще больше, если бы не файлы для восстановления.

Еще один нюанс работы с IT-специалистами: их главная задача — чтобы сервисы работали и были доступными. А эти принципы зачастую идут вразрез с мерами безопасности. Так что подразделениям стоит вести диалог — это в интересах бизнеса.

Как минимизировать риски в работе с IT-специалистами? Оценивайте не только их профессиональные компетенции: берите в расчет надежность и следите за лояльностью. Делайте так при найме сотрудников и в рамках текущей работы. Это принципиально, потому что хороший IT-специалист, если захочет, всегда найдет способ обойти технические средства контроля. Это издержки, так что риски нужно принять и нивелировать другими методами. Использовать специальные инструменты обеспечения безопасности, конечно, нужно. Но параллельно обязательно налаживать взаимоотношения и контролировать человеческий фактор.

Сотрудники бэк-офиса: их электронные адреса — точка входа для мошенников

У них третье место. Речь о тех сотрудниках, кто обрабатывает поступившие заявки на выписки со счетов и другие операции, а также тех, кто обслуживает различные банковские сервисы и ведет переписку с клиентами, контрагентами и другими сторонами. Их электронные адреса могут стать точкой входа для мошенников извне.

Например, приходит в бухгалтерию письмо из налоговой инспекции — и бухгалтер волнуется, открывает и внимательно читает. Отправитель — мошенник, который создал почту, похожую на действительный адрес инспекции, и вложил в письмо вирус. Программа-шпион сама установится на компьютер бухгалтера и будет собирать закрытую информацию. Это один из возможных вариантов.

Цитата

Фишинг, спуфинг и социальная инженерия — самые популярные из внешних атак, с которыми сегодня приходится бороться финансовым организациям. Со стороны атакующих это самый простой и дешевый способ, так что банкам придется противостоять подобным атакам. А для этого надо работать в трех направлениях. Прежде всего — повышать ИБ-грамотность персонала, чтобы сократить число инцидентов по причине халатности или незнания базовых правил информационной безопасности. Далее — принять технические меры: внедрить DLP (системы против утечек информации и действий инсайдера) и SIEM (системы контроля событий в IT-инфраструктуре). С этими инструментами организация сможет отслеживать нарушения политик безопасности в реальном времени и пресекать их.

И наконец, служба безопасности должна логировать все действия персонала, чтобы иметь возможность расследовать любые нарушения, устанавливать всех причастных и обстоятельства.

Операционисты: заработать хочется, а зарплата маленькая

Четвертое место в нашем рейтинге. Не кассиры, но те, кто обслуживает клиентов банка в операционном зале по вопросам вкладов, лизинга, кредитования и проч. Это сотрудники с достаточным уровнем доступа к закрытой информации и сравнительно невысокими зарплатами. Момент важный, поскольку заработать сверх положенного не прочь многие, и предложения есть: например, банковские карты и базы данных пользуются огромным спросом на черном рынке. Но люди на хороших должностях гораздо реже готовы рисковать местом ради одноразовой выгоды в 50—60 тыс. рублей.

Кстати, видеосъемка в операционных залах не панацея. Камера фиксирует нарушения, но чтобы подробно изучить шесть часов видео, нужно примерно 12 часов работы специалиста. И это делают только в случае, если есть подозрения, собранные другим путем. Например, жалобы или несостыковки в бумагах.

И наконец — будем реалистами — через операционные залы проходит огромный поток клиентов. Так что нарушение регламента из-за банальной усталости тоже частая практика. Я недавно обращался в банк — пришлось полчаса отвечать на вопросы для идентификации личности. А в следующий раз операционист настолько бегло проверила паспорт, что протягивать его мог почти кто угодно. Или вот еще: работник выгрузил из базы данных движения по счетам десяти предпринимателей, вставил в тело письма и разослал — бизнесмены оценили успехи друг друга. И ведь специалист был хороший, но банковскую тайну нарушил.

Чтобы минимизировать подобные риски, следует хорошо проработать политики безопасности по основным видам чувствительных данных, с которыми работают операционисты. Это прежде всего клиентские базы, данные банковских карт, информация о трансакциях.

С помощью систем против утечек данных можно отслеживать все операции с этой информацией. Программы могут «запоминать» документы и сравнивать с ними весь поток информации в банке или распознавать скан-копии паспортов и карт. Возможностей поиска очень много, и чем детальнее программа будет понимать регламент, тем эффективнее будет оповещать о подозрительных действиях сотрудников.

Иван БИРУЛЯ, эксперт по безопасности «СёрчИнформ», для Banki.ru

   Читать дальше.
Постоянная ссылка на новость:



Комментарии к новости ()

К сожалению, комментариев к данной новости еще никто не оставил.




Открытые вопросы