Документов : 25395, Книг : 1263, Новостей : 546, Вопросов/Ответов : 1046/1019, Бизнес-терминов : 33446, Статей : 2814, Объявлений : 66, Банков : 1063
ГлавнаяСделать стартовойДобавить в избранное
УЧ.СТ.ЦБ:   8.25%|МРОТ:   4331

Типовые образцы договоров, документов и других деловых бумаг, своды законов и кодексов, сборник нормативов и стандартов, каталог бизнес-планов и идей, рейтинг банков России


г. Москва
« 17 »  Августа  20 18 г.

Реклама

Новости

  СМИ: Поставки российских поездов в Сирию могут начаться в 2019 году
Россия может начать поставки железнодорожной техники в Сирию в 2019 году, сообщает издание «Известия» со ссылкой на корпорацию «Уралвагонзавод».



  Бывший адвокат Трампа отверг рассказ о съеденном президентом документе
Бывший адвокат Трампа отверг рассказ о съеденном президентом документеБывший адвокат Трампа отверг рассказ о съеденном президентом документе



  Причастного к контрабанде экс-сотрудника Одесской таможни арестовали на два месяца
Его подозревают в хищении 37 контейнеров с арестованным товаром на 154 млн гривен. Фото: Наталья НепряхинаFacebook Суд арестовал на 60 суток с правом внесения залога в 30 млн гривен бывшего сотрудника Одесской таможни Дениса Аминева, которого...



  Трамп поддержал байкеров в бойкоте Harley-Davidson
Трамп поддержал байкеров в бойкоте Harley-DavidsonПрезидент США Дональд Трамп выступил за бойкот американского производителя мотоциклов Harley-Davidson из-за того, что компания хочет перенести производство. По его словам, другие фирмы массово приходят на американскую территорию, так что для...



  Экономколлегия ВС запретила кредиторам принять решение без управляющего
В рамках одного из недавних споров Верховный суд разбирался, могут ли кредиторы должника расторгнуть договоры с одним банком и заключить с другим — и сделать это без согласия конкурсного управляющего.



  Я — робот: антиутопия Банки.ру
Герман Греф любит говорить, что в банках людей скоро полностью заменят роботы. Банки.ру представил, что его мечта сбылась. Но что, если компьютерный мир обернется против тебя? Антон становится роботом ...Утро началось скверно. Антон опоздал...




Архив новостей

«Август, 2018 
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031  

Наши кнопки и ссылки

Размести на своем сайте HTML код с нашей кнопкой
Получить код
Обмен кнопками


Главная :: Новости :: Банки :: Враг внутри: кто в банках больше всех угрожает безопасности


Новостные рубрики

Бизнес


Политика и законодательство


Экономика и финансы


Новости в мире


Новости образования


Зарубежная пресса


Каталог юридических статей


ООН. Новости


законы, указы


Кредитование


Право


Банки


Здравоохранение




Враг внутри: кто в банках больше всех угрожает безопасности (06.08.2018 00:00)

Я больше семи лет работал в банке в должности начальника отдела безопасности. И за это время успел составить свою карту угроз со стороны сотрудников. Итак, кто самый опасный для банка... в банке?

Руководители: времени мало, а дел по горло

Они самые опасные.Потому что у них нет времени на безопасность. И так в любой сфере, не только в банках. Менеджеры осознают важность нашего дела в масштабах бизнеса, но на практике игнорируют правила безопасности. Например, не глядя соглашаются на настройки приватности по умолчанию. Или используют слабые пароли. Я знал директора, который всегда использовал один и тот же пароль, а когда его нужно было изменить, менял лишь последнюю цифру. Их можно понять: времени мало, а дел по горло.

Все усугубляется тем, что руководители имеют доступ самого высокого уровня ко всем ресурсам компании. Даже если шеф не использует специальных корпоративных сервисов и не обращается к базам данных, он получает самую важную выдержку из информации, подвергнутой аналитике. И получить доступ к ней мошенникам зачастую интереснее, чем к самой базе. Взять хотя бы стратегию развития и планы компании: это ценность другого порядка, так что директор — по умолчанию мишень.

Цитата

И последний аспект — мобильность. Сейчас менеджеры все реже работают стационарно из офиса. Они постоянно в разъездах и используют гаджеты. На этих устройствах много конфиденциальной информации, а руководители часто пренебрегают паролями и блокировкой. В конце концов, девайс можно забыть в зале ожидания в аэропорту. И до того, как служба безопасности узнает об этом и предпримет хоть что-то, информация успеет утечь в ненужные руки.

Что остается службе безопасности в работе с руководителем? Стараться наладить с ним контакт и пытаться донести до него важность соблюдения правил. Это сложно, долго и не всегда удается, но необходимо.

IT-специалисты: файл-бомба с отложенным запуском

У них в рейтинге опасности второе место. Критичность в том, что под управлением этих людей находится вся корпоративная инфраструктура. Технические специалисты в вопросах безопасности понимают больше других, но и они могут ошибиться или стать жертвой манипуляции. И цена такой ошибки будет больше, чем инцидент по вине линейного сотрудника.

В моей практике самой частой причиной проблем с IT-специалистами была банальная халатность: забыл обновить систему или заблокировать учетную запись после увольнения сотрудника. Иногда такие ошибки обходятся дорого. Хотя человеческий фактор тоже никто не отменял: бывали случаи, когда системные администраторы злоупотребляли правами намеренно.

Таким кейсом делился наш клиент. Их системный администратор уволился после отказа в повышении. Но ушел не просто так, а решил отомстить: оставил в корпоративной инфраструктуре файл-бомбу — программу с отложенным запуском. Она активировалась через две недели после увольнения специалиста и стерла конфигурации сетевого оборудования. В результате работа встала: сотрудники не могли отправить и получить письма, зайти в Интернет, а звонки sales-менеджерам переадресовывались директору. На восстановление системы ушел месяц. И пришлось бы потратить еще больше, если бы не файлы для восстановления.

Еще один нюанс работы с IT-специалистами: их главная задача — чтобы сервисы работали и были доступными. А эти принципы зачастую идут вразрез с мерами безопасности. Так что подразделениям стоит вести диалог — это в интересах бизнеса.

Как минимизировать риски в работе с IT-специалистами? Оценивайте не только их профессиональные компетенции: берите в расчет надежность и следите за лояльностью. Делайте так при найме сотрудников и в рамках текущей работы. Это принципиально, потому что хороший IT-специалист, если захочет, всегда найдет способ обойти технические средства контроля. Это издержки, так что риски нужно принять и нивелировать другими методами. Использовать специальные инструменты обеспечения безопасности, конечно, нужно. Но параллельно обязательно налаживать взаимоотношения и контролировать человеческий фактор.

Сотрудники бэк-офиса: их электронные адреса — точка входа для мошенников

У них третье место. Речь о тех сотрудниках, кто обрабатывает поступившие заявки на выписки со счетов и другие операции, а также тех, кто обслуживает различные банковские сервисы и ведет переписку с клиентами, контрагентами и другими сторонами. Их электронные адреса могут стать точкой входа для мошенников извне.

Например, приходит в бухгалтерию письмо из налоговой инспекции — и бухгалтер волнуется, открывает и внимательно читает. Отправитель — мошенник, который создал почту, похожую на действительный адрес инспекции, и вложил в письмо вирус. Программа-шпион сама установится на компьютер бухгалтера и будет собирать закрытую информацию. Это один из возможных вариантов.

Цитата

Фишинг, спуфинг и социальная инженерия — самые популярные из внешних атак, с которыми сегодня приходится бороться финансовым организациям. Со стороны атакующих это самый простой и дешевый способ, так что банкам придется противостоять подобным атакам. А для этого надо работать в трех направлениях. Прежде всего — повышать ИБ-грамотность персонала, чтобы сократить число инцидентов по причине халатности или незнания базовых правил информационной безопасности. Далее — принять технические меры: внедрить DLP (системы против утечек информации и действий инсайдера) и SIEM (системы контроля событий в IT-инфраструктуре). С этими инструментами организация сможет отслеживать нарушения политик безопасности в реальном времени и пресекать их.

И наконец, служба безопасности должна логировать все действия персонала, чтобы иметь возможность расследовать любые нарушения, устанавливать всех причастных и обстоятельства.

Операционисты: заработать хочется, а зарплата маленькая

Четвертое место в нашем рейтинге. Не кассиры, но те, кто обслуживает клиентов банка в операционном зале по вопросам вкладов, лизинга, кредитования и проч. Это сотрудники с достаточным уровнем доступа к закрытой информации и сравнительно невысокими зарплатами. Момент важный, поскольку заработать сверх положенного не прочь многие, и предложения есть: например, банковские карты и базы данных пользуются огромным спросом на черном рынке. Но люди на хороших должностях гораздо реже готовы рисковать местом ради одноразовой выгоды в 50—60 тыс. рублей.

Кстати, видеосъемка в операционных залах не панацея. Камера фиксирует нарушения, но чтобы подробно изучить шесть часов видео, нужно примерно 12 часов работы специалиста. И это делают только в случае, если есть подозрения, собранные другим путем. Например, жалобы или несостыковки в бумагах.

И наконец — будем реалистами — через операционные залы проходит огромный поток клиентов. Так что нарушение регламента из-за банальной усталости тоже частая практика. Я недавно обращался в банк — пришлось полчаса отвечать на вопросы для идентификации личности. А в следующий раз операционист настолько бегло проверила паспорт, что протягивать его мог почти кто угодно. Или вот еще: работник выгрузил из базы данных движения по счетам десяти предпринимателей, вставил в тело письма и разослал — бизнесмены оценили успехи друг друга. И ведь специалист был хороший, но банковскую тайну нарушил.

Чтобы минимизировать подобные риски, следует хорошо проработать политики безопасности по основным видам чувствительных данных, с которыми работают операционисты. Это прежде всего клиентские базы, данные банковских карт, информация о трансакциях.

С помощью систем против утечек данных можно отслеживать все операции с этой информацией. Программы могут «запоминать» документы и сравнивать с ними весь поток информации в банке или распознавать скан-копии паспортов и карт. Возможностей поиска очень много, и чем детальнее программа будет понимать регламент, тем эффективнее будет оповещать о подозрительных действиях сотрудников.

Иван БИРУЛЯ, эксперт по безопасности «СёрчИнформ», для Banki.ru

   Читать дальше.
Постоянная ссылка на новость:



Комментарии к новости ()

К сожалению, комментариев к данной новости еще никто не оставил.




Открытые вопросы