Каналы утечки информации

При этом наибольшую опасность для банков представляют утечки персональных данных клиентов и конфиденциальной информации. Такой точки зрения придерживается абсолютное большинство респондентов (78%). Опасения финансовых компаний вполне оправданы: 54% респондентов опасаются потери клиентов, а 46% – ухудшения общественного мнения вследствие утечки. Отметим, что прямые финансовые убытки оказались лишь на четвертом месте с 28% голосов. Это, действительно, соответствует реальному положению дел, так как в Украине ни одна организация не обязана нести прямые потери вследствие утечки. В отличие от США и Евросоюза, где компании могут лишиться лицензии, заплатить многомиллионный штраф за утечку, а в некоторых случаях высшее руководство может даже оказаться в тюрьме. По этой же причине столь малая доля респондентов указала юридические издержки (2%) и преследование со стороны регуляторов рынка (23%). Таким образом, банки совершенно справедливо оценили наиболее плачевные утечки. Как известно, общественность и пресса всегда отрицательно реагируют в случае кражи персональных данных граждан, что приводит, как минимум, к ухудшению репутации и потере клиентов.

На следующем этапе исследования аналитический центр InfoWatch предложил респондентам указать самые распространенные каналы утечки информации. Распределение ответов представлено в таблице.

По мнению аналитического центра InfoWatch, несмотря на то, что мобильные накопители и электронная почта оказались самыми популярными каналами утечки, это вовсе не значит, что организации должны брать под контроль только эти 2 канала. Решение проблемы утечек – комплексная задача. Чтобы создать эффективную систему внутренней информационной безопасности, требуется контролировать абсолютно все каналы. Если какой-то канал не удается взять под контроль, а риск утечки слишком велик, от его использования следует отказаться. Например, в банковской среде можно просто запретить служащим пользоваться интернет-пейджерами (типа ICQ), так как они все равно не нужны для выполнения служебных обязанностей.

Далее одним из самых важных моментов исследования стал вопрос о количестве утечек конфиденциальной информации, которые респонденты допустили в течение 2006 года (см. диаграмму). Лидером оказалось стандартное "Затрудняюсь ответить", так как слишком многие респонденты еще не используют специализированных решений для выявления утечек.

Теперь посмотрим, какие средства безопасности используют банки. Среди наиболее популярных инструментов за последний год оказались антивирусы (99%), межсетевые экраны (82%) и контроль доступа (73%). Однако лишь 13% применяют средства защиты от утечки.

На следующем этапе аналитический центр InfoWatch предложил респондентам определить наиболее эффективные пути защиты от утечек. Здесь речь идет о тех решениях, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней безопасности. Как оказалось, наиболее эффективным средством являются комплексные информационные продукты (52%). Далее следуют организационные меры (23%), ограничение связи с внешними сетями (19%) и тренинги персонала (6%). Причем, как полагают эксперты InfoWatch, наиболее эффективным способом минимизации инсайдерских рисков является комбинация различных способов. Правда, базовой основой все равно должно быть комплексное решение на основе ИТ, так как только с его помощью можно закрепить положения политики безопасности на рабочих местах.

Этот вывод полностью подтверждают результаты последнего вопроса, в котором аналитический центр InfoWatch предложил респондентам определить свои планы на ближайшие 2-3 года. Согласно распределению ответов, практически девять респондентов из десяти (91%) планируют внедрить в ближайшие три года ту или иную систему защиты от утечек.

Наибольшим вниманием респондентов пользуются комплексные решения (34%). Этот показатель несколько отстает от общеотраслевого (почти на 10%), но следует иметь в виду, что банковский сектор уже в данный момент является рекордсменом по использованию систем защиты от утечек. Среди других планов респондентов следует отметить средства мониторинга электронной почты (27%), Интернет-трафика (18%), а также системы контроля над рабочим станциями (12%).