По данным исследования по информационной безопасности, проведенного «Делойт Туш Томацу» среди компаний финансового сектора по итогам 2008 года, одной из основных проблем, связанных с нарушением ИБ, является злоупотребление сотрудниками информационными активами банков. Такое мнение высказали большинство респондентов (86%). Результаты исследования свидетельствуют о том, что сотрудники являются не только основным активом, но также и фактором риска компании. Это особенно очевидно в условиях, когда нестабильная ситуация на рынке труда и высокая стрессовая нагрузка могут подтолкнуть к совершению противоправных действий.

Исследование проведено «Делойтом» на основе данных опроса руководителей служб безопасности ста ведущих международных финансовых институтов. Несмотря на то, что за последний год в финансовых институтах наблюдается уменьшение числа нарушений режима информационной безопасности со стороны как третьих лиц, так и внутренних пользователей, неправомерные действия сотрудников вызывают все большее беспокойство. В первую очередь это связано с усилением влияния кризиса мировой финансовой системы. Более трети респондентов (36%) обеспокоены возможностью совершения противоправных действий собственными сотрудниками, в то время как о вероятной попытке вмешательства третьих лиц заявили только 13%. Кроме того, каждый шестой из десяти опрошенных чувствует себя «не очень» уверенным либо «только в какой-то степени» уверенным в том, что способен защитить компанию от возможной «кибератаки» со стороны своих сотрудников.

Растущая популярность социальных сетей и широкое распространение мобильных устройств, таких как USB-носители, MP3-плееры и карманные компьютеры, создают дополнительную нагрузку на механизмы контроля систем обеспечения информационной безопасности. Интересно, что более половины опрошенных финансовых институтов ограничили доступ к социальным сетям и программам мгновенного обмена сообщениями (53% и 58% соответственно); тем не менее, 90% из них разрешают своим сотрудникам пользоваться мобильными устройствами. Очевидно, что использование мобильных устройств значительным образом повышает производительность. Однако с их помощью становится возможным незаконное скачивание и хранение конфиденциальной информации на потенциально незащищенных носителях, что создает идеальные условия для утечки и потери конфиденциальности данных. Вызывает беспокойство то, что только 55% из опрошенных финансовых организаций комплексно применяют системы шифрования данных. Более того, менее трети опрошенных (28%) используют инструменты обнаружения утечки информации и защиты от внутренних угроз. Тем не менее, положительным фактором является то, что 32% респондентов планируют начать реализацию программ по повышению надежности систем защиты информационных активов банка. Наибольшее беспокойство у респондентов вызывают такие виды интернет-мошенничества, как «фишинг» и «фарминг» — об этом заявили 46% опрошенных. «Фишинг» и «фарминг» — самые распространенные виды мошенничества, которым подверглись компании (22%) со стороны третьих лиц.

«Финансовые институты ведут сейчас бои на два фронта, стремясь защитить частную информацию своих клиентов», — говорит Адель Мелек, руководитель Международной группы «Делойт Туш Томацу» по предоставлению услуг в области управления рисками компаниям финансового сектора. «С одной стороны, они ведут борьбу с постоянно совершенствующимися технологиями взломов, минимизируя масштабы потерь данных, а также с попытками несанкционированного доступа к информации своих клиентов. С другой стороны, им приходится сталкиваться с растущими регулятивными требованиями, соблюдение которых необходимо в нестабильных экономических условиях сегодняшнего дня, когда происходящие повсюду массовые увольнения приводят к понижению степени надежности и внимательности сотрудников, а также к увеличению недовольства среди бывших работников. В сложившейся экономической ситуации крайне важно, чтобы финансовые институты неусыпно следили за обеспечением защиты информационных активов, проводили проверки и предпринимали все необходимые меры, направленные на минимизацию возможных потерь вследствие нарушений требований режима информационной безопасности».

Сегодня финансовые институты вынуждены проводить политику сокращения расходов, что также приводит к снижению надежности механизмов обеспечения информационной безопасности. Несмотря на то, что 60% респондентов заявили об увеличении объема бюджетных средств, которые будут направлены на обеспечение информационной безопасности, их размер все же не соответствует требованиям и задачам сложившейся на сегодняшний день ситуации. Более половины респондентов (56%) отметили, что бюджетные ограничения и/или недостаток ресурсов являются основными препятствиями к достижению должного уровня информационной безопасности; при этом недостаток ресурсов был обозначен в качестве основной причины неудач при реализации проектов по защите информационных ресурсов (33%). Кроме того, возросло число респондентов (15% по сравнению с 13% в 2007 году), которые отметили недостаточность средств, выделяемых на обеспечение информационной безопасности.

«Учитывая то, что негативное влияние финансового кризиса продолжает усиливаться, компании могут принять решение о сокращении бюджета по ИТ и уменьшении расходов на инфраструктуру безопасности», — говорит Мелек. «Однако, несмотря на кажущуюся привлекательность такого решения, сейчас не время сокращать расходы в этой области. Снижение уровня защиты информационных ресурсов неизбежно приведет к появлению уязвимых мест, что облегчит задачу злоумышленников и снизит конкурентоспособность организации. Сегодня как никогда ранее финансовые институты должны уделить большое внимание решению этой проблемы и продолжить финансирование систем обеспечения информационной безопасности».

Что делать?

По мнению «Делойт», для обеспечения информационной безопасности финансовых институтов в первую очередь необходимо выполнение следующих условий: соответствие требованиям регулятивных органов в отношении безопасности; обеспечение защиты данных; противодействие несанкционированному распространению информации, в том числе путем управления системами идентификации и доступа.

Соблюдение каждого из данных требований является крайне важным. В 2008 году в финансовых организациях наблюдается снижение количества случаев нарушений режима информационной безопасности со стороны как третьих лиц (47% по сравнению с 65% в 2007 году), так и внутренних пользователей (27% по сравнению с 30% в 2007 году). Основными факторами, побуждающими финансовые организации к защите конфиденциальной информации своих клиентов, являются нормативные требования по защите конфиденциальной информации (79%) и забота о репутации и имидже компании (70%).

Европа, Ближний Восток и Африка

В регионе ЕМЕА наибольший процент респондентов (41%) заявил о том, что обладает технологической базой, необходимой для обеспечения требований информационной безопасности сегодня и в обозримом будущем. Однако, несмотря на это, у половины опрошенных финансовых институтов данного региона (49%) были зафиксированы неоднократные успешные попытки нарушения режима информационной безопасности извне. Только две трети (64%) — а это второй самый низкий показатель среди всех опрошенных — подтвердили, что в течение 2008 года хотя бы один раз проводили инструктаж персонала по вопросам обеспечения безопасности. Кроме того, более половины респондентов данного региона, принявших участие в опросе (56%), полагают, что обладают необходимыми организационными ресурсами и средствами, способными обеспечить соблюдение обязательных требований информационной безопасности.

Азиатско-Тихоокеанский регион

Несмотря на относительное улучшение ключевых показателей в области обеспечения информационной безопасности, в финансовых институтах Азиатско-Тихоокеанского региона наблюдается самое высокое число как попыток противоправных действий извне (58%), так и правонарушений со стороны сотрудников организаций (33%) по сравнению с показателями остальных регионов. Кроме того, за прошедший год только 58% организаций региона провели среди своих сотрудников инструктаж по безопасности. Этот показатель значительно ниже среднего (72%) по сравнению с остальными опрошенными. Таким образом, только один из четырех респондентов региона АТР (23%) считает, что обладает технической базой, необходимой для выполнения требований безопасности сегодня и в обозримом будущем. Также необходимо обратить внимание на то, что в данном регионе зафиксировано наибольшее число респондентов (69%), заявивших о том, что они обладают необходимыми организационными ресурсами и средствами, способными обеспечить соблюдение обязательных требований информационной безопасности.

Япония

Финансовые институты Японии представляют собой весьма обособленный класс организаций в вопросах обеспечения информационной безопасности. В 2008 году данный регион не только показал самый низкий среди остальных опрошенных процент числа попыток нарушения режима информационной безопасности (17%), но также занял лидирующие позиции и по другим четырем категориям: проведение инструктажа сотрудников (90% от общего числа опрошенных финансовых институтов), назначение лица, ответственного за обеспечение конфиденциальности информации (85%), а также разработка и применение программы по контролю за конфиденциальной информацией и соблюдению требований информационной безопасности (84%). В то же время бюджетные ограничения могут стать самым настоящим испытанием для региона. Только один из четырех финансовых институтов (25% по сравнению с 60% в остальных регионах) увеличил размер бюджетных средств, направленных на обеспечение информационной безопасности. Лишь небольшой процент респондентов (5% по сравнению с 43% в остальных регионах) указали на то, что выделение средств у них «уже запланировано» или «находится в списке первоочередных действий».

Северная Америка (Канада и США)

Судя по всему, та суматоха, которая царит сейчас в мире финансов, отодвинула вопрос информационной безопасности на второй план. Доказательством тому служит резкое уменьшение числа североамериканских респондентов, считающих, что безопасность является на данный момент одним из ключевых вопросов, которые необходимо решать руководителям и директорам организаций (63% в 2008 году по сравнению с 84% в 2007 году). Кроме того, в 2008 году по данному региону зафиксирован самый низкий процент респондентов (28%), считающих, что проекты в сфере информационной безопасности согласованы с бизнес-инициативами. В то же время, несмотря на то, что в 2008 году в половине опрошенных североамериканских институтов (51%) отмечались нарушения информационной безопасности со стороны третьих лиц, этот показатель значительно лучше показателя за 2007 год, когда 78% финансовых институтов стали жертвами противоправных действий со стороны третьих лиц. Кроме того, число нарушений безопасности сотрудниками компаний также снизилось до 27% в 2008 году по сравнению с 44% в 2007 году, что явилось самым лучшим результатом по всем регионам.

Латинская Америка и страны Карибского бассейна

У финансовых институтов данного региона наблюдается наиболее существенное по сравнению с остальными регионами улучшение основных показателей. В 2008 году Латинская Америка и страны Карибского бассейна лидируют в 5 категориях (уступив первенство во второй категории Японии). Респонденты считают, что их организации являются наилучшими, так как у них имеется разработанная стратегия обеспечения безопасности (68%). Три четверти финансовых институтов данного региона (75% по сравнению с 60% в остальных регионах) отмечали увеличение размера бюджетных средств, направленных на финансирование программ обеспечения информационной безопасности. Кроме того, шесть из каждых десяти опрошенных (59%) подтвердили, что выделение средств в их организациях «запланировано» либо «находится в списке первоочередных действий». В то же время исследование показало, что организации стран Латинской Америки и Карибского региона до сих пор испытывают затруднения в области разработки программ контроля за соблюдением режима защиты конфиденциальной информации, и только 24% компаний среди опрошенных в данном регионе имеют качественные механизмы контроля за соблюдением требований по защите конфиденциальной информации.

Методика проведения исследования

Исследование было проведено Международной группой «Делойт Туш Томацу» по оказанию консалтинговых услуг финансовым учреждениям в форме личных интервью и онлайн-анкетирования. В группу опрошенных вошли руководители различных департаментов, имеющих отношение к информационным технологиям (начальники службы безопасности, руководители информационной службы, начальники управления безопасности и т.п.) большинства ведущих финансовых институтов банковского, страхового сектора, сектора обеспечения безопасности и управления активами компаний. В ходе исследования были охвачены такие темы, как управление, инвестирование в системы обеспечения информационной безопасности, риски, применение технических средств защиты информационных ресурсов, качество работы и конфиденциальность. Государственные и частные организации были представлены респондентами из 32 стран мира, составившие пять основных регионов: Европа, Ближний Восток и Африка (регион ЕБВА), Япония, Азиатско-Тихоокеанский регион (регион АТР), Северная Америка, а также Латинская Америка и страны Карибского региона. Учитывая разнообразие сфер деятельности опрошенных институтов, а также то, что исследование было проведено на основе метода качественного анализа данных, некоторые результаты не могут быть приведены к общему значению 100%, а также отражать общую картину по каждому отдельному региону.