Как банки следят за сотрудниками? Секс-календарь, воровство и миф о двух компьютерах

Привет, это Kotelov digital finance. Сегодня поговорим о DLP-системах в банках, киберстраховании и сливе баз данных. А еще расскажем как внутри банков воруют информацию.

Сегодня у нас Дмитрий Беляев, начальник службы информационной безопасности в одном из российских банков. Во-первых, такие люди практически никогда не приходят на подкасты, а во-вторых, они очень сложно раскрывают свои секреты в силу специфики их работы.

Все это обсуждали на подкасте Kotelov digital finance. Полную версию выпуска можно посмотреть здесь

На всех местах, где я работал были свои DLP системы и я этому направлению отдавал особое внимание. Были разные кейсы — при правильной настройке DLP система позволяла находить очень много чего интересного.

Пример: с помощью DLP-систем удалось расследовать одну махинацию, в которой участвовал зам. гендира. Гендир уехал в командировку, письмо с контрактом прислал контрагент и зам с помощью печати гендира согласовал этот контракт и отправил контрагенту.

Когда гендир приехал, то ужаснулся, потому что компания заплатила 3 млн. за какое-то ненужное взаимодействие. С помощью DLP системы удалось выяснить кто именно из замов это сделал. Провели расследование, зама уволили, в суде доказали, что контракт был подписан нелегитимным лицом.

Были интересные кейсы, когда сотрудники в нерабочее время делали интересные вещи:

Это все, конечно, забавно, но смысл DLP-системы обнаруживать попытки хищения информации персональных данных, коммерческой и банковской тайны.

Кроме DLP системы я бы упомянул еще RAM систему, которая отвечает за контроль привилегированных пользователей. С ее помощью удается выявить злонамеренные действия разработчиков и администраторов баз данных, которые пытались передать код или фрагмент кода на сторону.

В некоторых случаях, кстати, PAM система позволяла выявить недоработку со стороны разработчиков, которые использовали при разработке программном обеспечении открытые пароли.

Есть две политики и организации сами решают какой политики придерживаться.

Еще один кейс тоже связан с DLP — один из сотрудников хотел похитить из организации информацию, он знал то, что есть DLP система и пытался это обойти.

Как он это сделал:

Открыл презентацию → нашпиговал туда текста и картинок → заархивировал информацию → спрятал этот архив за картинкой.

Аномалия вызвала вес презентации. И когда заблокировали правку презентации — начали разбор: почему так много весит?

Шаг за шагом выяснили, что сотрудник-то недобросовестный.

Киберстрахование хорошо развито за рубежом — там его используют даже мелкие компании, не говоря уже о больших. В России, к сожалению, это не так хорошо развито и его используют только очень крупные топовые компании, где вероятность риска довольно высока, а финансовый и репутационный риск может повлиять на акции.

В компаниях среднего и малого бизнеса, это менее востребовано и я не встречал ни одну организацию из СМБ, которая пользовалась этой услугой.

| СМБ — средний и малый бизнес

Мы стараемся уйти в сторону использования российских решений, но разумеется по серверам и железу это пока проблематично:

В России есть серый импорт, который позволяет закупать зарубежные решения. Но это касается только железа компьютеров, мониторов и так далее. В плане, средств защиты информации мы планомерно уходим от зарубежных решений в сторону российских, отечественных аналогов.

Да где-то не дотягивают, но это лучше чем когда ты используешь зарубежное решение и оно превращается в тыкву: отзывают лицензию, техническую поддержку и остается только бумага с ручкой.

Если речь об обычном сотруднике, то это не нужно. Это затраты X2 на оборудование и защиту. Возможно, так делают в очень крупных компаниях, но мало где. Два компьютера — много бизнес-процессов и времени будут теряться.

Обычно прорабатывается именно политика доступов, создается матрица ролей доступа, где четко прописывается какими информационными системами имеют доступ те или иные сотрудники. В зависимости от должности и роли увеличиваются или уменьшаются доступы внутри системы.

Моя статистика показывает, что таких атак более 60%.

Лично я читаю Security Lab, Antimalware, каналы и группы в телеграмме.

Очень важно находить контакты людей из своей профессии, важен обмен опытом. Статьи, посты и видео помогают узнавать новую информацию в сфере, но диалог со специалистом, с которым можно обменяться кейсами — эффективнее.

Стараюсь брать пример с Алексея Лукацкого и с Луцика Павла.

Собственно, Луцик Павел известная личность — он директор департамента развития бизнеса компании КриптоПро, мы с ним вместе работали в интеграторе. Очень достойный человек и профессионал — стараюсь подражать ему.

Лучше подумать о безопасности в самом начале. Например, вы проведете кастдев и ваша гипотеза подтвердится, вы выступите перед инвестором или инвесторами и ваше решение понравится. Когда ваше решение выйдет в люди и его начнут покупать — его могут легко взломать и ваш стартап утонет.

Никто не запрещает кассирше из пятерочки пользоваться слитыми базами. Может она тоже в хакатонах участвует?

Сотрудники службы безопасности используют эти данные для анализа. Например, для поиска информации о кандидате, либо о контрагенте или для нахождения аоков.

Я встречал людей, которые не будучи безопасниками, планомерно ищут слитые базы, чтобы посмотреть о соседе Васе Пупкине.

Был такой интересный случай, когда из-за слитой базы Яндекс Еды узнали, что коллега дома не готовит и постоянно ест заказанную еду. За полгода он наел в Яндекс Еде на сумму 400 тысяч рублей —из этого можно сделать определенные выводы.

Вопрос: как происходит, что мошенники звонят и знают какие у человека кредитные карты, какие дебетовые, какой у них баланс?

Очень многие банки грешны, тем что рано или поздно у них происходил слив баз данных: где-то их взломали, где-то сотрудники использовали свое положение — это несмотря на ролевую модель и на грамотно построенную защиту. Такие случаи нередко бывают, учитывая тот факт, что мы пользуемся сервисами, как Гемотест, Яндекс Еда, Delivery Club и тд.

То есть, там мы тоже оставляем свои персональные данные. И есть ряд сервисов, которые собирают информацию с разных слитых баз данных опубликованных в интернете.

После 24 февраля 22 года таких баз данных стало в разы больше. Эти данные агрегируют в каком-то одном решении, например, в Telegram-боте и можно навести справки о человеке.

Пример: я скоро буду выступать на конференции по теме Синт и там подробно разберу, как я навел справки о человеке, который просто мне позвонил.

Я узнал, что он из Владикавказа, живет в Москве, снимал квартиру и работал в ряде операторов, затем взял квартиру, взял ипотеку в одном из банков. Даже должность и направление — за какими клиентами был закреплен. Значит, теоретически, можно через него узнать о доходах тех или иных лиц, если надавить на него.

| Синт — это разведка по открытым данным.

Вопрос: «Я подала заявку на ипотеку в сбербанк и мне тут же начали звонить из самых разных банков и предлагать оформить счет в банке (для ип). Это про слив базы. Как это все работает?»

Есть такая практика, то что банки договариваются между собой. Когда вы посещаете те или иные сайты нужно читать пользовательское соглашение — там вы даете согласие на обработку данных, сборку cookie, а потом это все продается.

К примеру, там в двадцать первом году был кейс, когда сеть дата-центров в Европе собирала данные с различных сайтов, а потом ее взломали. Грубо говоря, мы все пользуемся сетью интернет и работаем в браузерах и при посещении тех или иных сайтов различные маячки собирает информацию о нас, о нашем устройстве и эту информацию продают, также эту информацию можно перехватывать.

То есть, если вы не понимаете, почему после подачи документов на ипотеку — вам позвонило еще 50 банков с таким же предложением, то скорее всего вы невнимательно читали доп. соглашения.

Если вам интересна финансовая разработка, внутрянка финтех танков и особые гости, которые редко выходят из закулисья — подписывайтесь на наш телеграм-канал Kotelov digital finance.

В канале мы постоянно анонсим новые подкасты с крутыми гостями, статьи и другие новости из мира финансовой разработки. А еще Валера KOTELOV рассказывает про особенности финтех рынка с точки зрения диджитальщика.