Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Enemy inside: who in banks is the most threatening security

НСК-СБ

Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Mitglied seit
14.07.2011
Beiträge
3.180
Punkte für Reaktionen
2.181
Punkte
613
Ort
Новосибирск
Enemy inside: who in banks is the most threatening security

Hazard rating of employees of credit organizations

For more than seven years I worked at the bank as the head of the security department. And during this time he managed to draw up his own map of threats from employees. So, who is the most dangerous for the bank ... in the bank?

Leaders: time is short, but things are up to the mark
They are the most dangerous. Because they don’t have time for safety. And so in any field, not only in banks. Managers recognize the importance of our business on a business scale, but in practice they ignore safety rules. For example, without looking, they agree to the default privacy settings. Or use weak passwords. I knew a director who always used the same password, and when he needed to change it, he changed only the last digit. They can be understood: time is short, but things are up to the mark.

Everything is compounded by the fact that managers have the highest level of access to all company resources. Even if the chef does not use special corporate services and does not access databases, he receives the most important excerpt from the information that has been analyzed. And scammers are often more interested in accessing it than in the database itself. Take, for example, the development strategy and plans of the company: this is a value of a different order, so the director is the target by default.

I knew a director who always used the same password, and when he needed to change it, he changed only the last digit.

And the last aspect is mobility. Now managers are increasingly less likely to work stationary from the office. They are constantly traveling and using gadgets. These devices have a lot of confidential information, and executives often neglect passwords and locks. In the end, the device can be forgotten in the waiting room at the airport. And before the security service finds out about this and does at least something, the information will have time to leak into unnecessary hands.

What remains to the security service in working with the leader? Try to establish contact with him and try to convey to him the importance of following the rules. It is difficult, long and not always possible, but necessary.

IT Specialists: Delayed Start File Bomb
They have a second place in the hazard rating. The critical point is that these people manage the entire corporate infrastructure. Security technicians understand more than others, but they can make mistakes or become victims of manipulation. And the price of such an error will be greater than the incident due to the fault of the line employee.

In my practice, the most common cause of problems with IT specialists was banal negligence: I forgot to update the system or block the account after the dismissal of an employee. Sometimes such errors are expensive. Although the human factor has also not been canceled: there have been cases when system administrators abused rights intentionally.

This case was shared by our client. Their system administrator quit after being denied a promotion. But he left for a reason, but decided to take revenge: he left a file bomb in the corporate infrastructure - a program with a delayed launch. It was activated two weeks after the dismissal of a specialist and erased the configuration of network equipment. As a result, the work got up: employees could not send and receive letters, go online, and calls to sales managers were forwarded to the director. It took a month to restore the system. And I would have to spend even more if it were not for the recovery files.

Another nuance of working with IT specialists: their main task is to make services work and be affordable. And these principles often run counter to security measures. So the units should conduct a dialogue - this is in the interests of business.

How to minimize the risks in working with IT-specialists? Assess not only their professional competencies: take reliability into account and monitor loyalty. Do this when hiring employees and as part of your ongoing work. This is important, because a good IT specialist, if he wants, will always find a way to circumvent technical controls. These are costs, so risks must be accepted and mitigated by other methods. Use special security tools, of course, you need. But in parallel, it is imperative to establish relationships and control the human factor.

Back office employees: their email addresses are the entry point for scammers
They have the third place. We are talking about those employees who process incoming applications for account statements and other operations, as well as those who service various banking services and conduct correspondence with customers, contractors and other parties. Their email addresses can be an entry point for outside scammers.

For example, a letter from the tax inspectorate arrives in the accounting department - and the accountant is worried, opens and carefully reads. Sender - a scammer who created mail similar to a valid inspection address and put a virus in the letter. Spyware will install itself on the accountant’s computer and will collect sensitive information. This is one of the possible options.

As a result, the work got up: employees could not send and receive letters, go online, and calls to sales managers were forwarded to the director. It took a month to restore the system.

Phishing, spoofing, and social engineering are the most popular of the external attacks that financial institutions have to deal with today. On the part of the attackers, this is the easiest and cheapest way, so banks will have to withstand such attacks. And for this we need to work in three directions. First of all, to increase the information security literacy of staff in order to reduce the number of incidents due to negligence or lack of knowledge of the basic rules of information security. Next, take technical measures: introduce DLP (systems against information leaks and insider actions) and SIEM (events control systems in the IT infrastructure). With these tools, the organization will be able to track security policy violations in real time and prevent them.

And finally, the security service should log all the actions of the staff in order to be able to investigate any violations, establish all involved and circumstances.

Operationists: I want to earn money, but the salary is small
Fourth place in our ranking. Not cashiers, but those who serve the bank's customers in the operating room on deposits, leasing, lending, etc. These are employees with a sufficient level of access to classified information and relatively low salaries. This is an important moment, since many are not averse to earning beyond what is supposed to be, and there are proposals: for example, bank cards and databases are in great demand on the black market. But people in good positions are much less likely to risk a place for a one-time gain of 50-60 thousand rubles.

By the way, video in operating rooms is not a panacea. The camera records violations, but to study six hours of video in detail, you need about 12 hours of specialist work. And this is done only if there are suspicions collected in a different way. For example, complaints or inconsistencies in the papers.

And finally - let's be realistic - a huge flow of customers passes through the operating rooms. So violation of the rules due to banal fatigue is also a common practice. I recently turned to the bank - I had to answer questions for identification for half an hour. And the next time, the clerk checked the passport so fluently that almost anyone could stretch it out. Or one more thing: the employee unloaded ten businessmen from the database of the movement into the accounts, inserted letters in the body and sent them out - businessmen appreciated each other's successes. And after all, the specialist was good, but he broke a bank secret.

In order to minimize such risks, it is necessary to work out security policies for the main types of sensitive data that the operators work with. This is primarily customer bases, bank card data, information about transactions.

Using anti-leakage systems, you can track all operations with this information. Programs can “memorize” documents and compare with them the entire flow of information in the bank or recognize scanned copies of passports and cards. There are a lot of search possibilities, and the more detailed the program will understand the rules, the more effective it will be to notify employees of suspicious actions.

Ivan BIRULYA, Director of Security, SearchInform, for Banki.ru

Source: Banki.ru
Enemy inside: who in banks is the most threatening security
 
Original message
Враг внутри: кто в банках больше всех угрожает безопасности

Рейтинг опасности сотрудников кредитных организаций

Я больше семи лет работал в банке в должности начальника отдела безопасности. И за это время успел составить свою карту угроз со стороны сотрудников. Итак, кто самый опасный для банка... в банке?

Руководители: времени мало, а дел по горло
Они самые опасные. Потому что у них нет времени на безопасность. И так в любой сфере, не только в банках. Менеджеры осознают важность нашего дела в масштабах бизнеса, но на практике игнорируют правила безопасности. Например, не глядя соглашаются на настройки приватности по умолчанию. Или используют слабые пароли. Я знал директора, который всегда использовал один и тот же пароль, а когда его нужно было изменить, менял лишь последнюю цифру. Их можно понять: времени мало, а дел по горло.

Все усугубляется тем, что руководители имеют доступ самого высокого уровня ко всем ресурсам компании. Даже если шеф не использует специальных корпоративных сервисов и не обращается к базам данных, он получает самую важную выдержку из информации, подвергнутой аналитике. И получить доступ к ней мошенникам зачастую интереснее, чем к самой базе. Взять хотя бы стратегию развития и планы компании: это ценность другого порядка, так что директор — по умолчанию мишень.

Я знал директора, который всегда использовал один и тот же пароль, а когда его нужно было изменить, менял лишь последнюю цифру.

И последний аспект — мобильность. Сейчас менеджеры все реже работают стационарно из офиса. Они постоянно в разъездах и используют гаджеты. На этих устройствах много конфиденциальной информации, а руководители часто пренебрегают паролями и блокировкой. В конце концов, девайс можно забыть в зале ожидания в аэропорту. И до того, как служба безопасности узнает об этом и предпримет хоть что-то, информация успеет утечь в ненужные руки.

Что остается службе безопасности в работе с руководителем? Стараться наладить с ним контакт и пытаться донести до него важность соблюдения правил. Это сложно, долго и не всегда удается, но необходимо.

IT-специалисты: файл-бомба с отложенным запуском
У них в рейтинге опасности второе место. Критичность в том, что под управлением этих людей находится вся корпоративная инфраструктура. Технические специалисты в вопросах безопасности понимают больше других, но и они могут ошибиться или стать жертвой манипуляции. И цена такой ошибки будет больше, чем инцидент по вине линейного сотрудника.

В моей практике самой частой причиной проблем с IT-специалистами была банальная халатность: забыл обновить систему или заблокировать учетную запись после увольнения сотрудника. Иногда такие ошибки обходятся дорого. Хотя человеческий фактор тоже никто не отменял: бывали случаи, когда системные администраторы злоупотребляли правами намеренно.

Таким кейсом делился наш клиент. Их системный администратор уволился после отказа в повышении. Но ушел не просто так, а решил отомстить: оставил в корпоративной инфраструктуре файл-бомбу — программу с отложенным запуском. Она активировалась через две недели после увольнения специалиста и стерла конфигурации сетевого оборудования. В результате работа встала: сотрудники не могли отправить и получить письма, зайти в Интернет, а звонки sales-менеджерам переадресовывались директору. На восстановление системы ушел месяц. И пришлось бы потратить еще больше, если бы не файлы для восстановления.

Еще один нюанс работы с IT-специалистами: их главная задача — чтобы сервисы работали и были доступными. А эти принципы зачастую идут вразрез с мерами безопасности. Так что подразделениям стоит вести диалог — это в интересах бизнеса.

Как минимизировать риски в работе с IT-специалистами? Оценивайте не только их профессиональные компетенции: берите в расчет надежность и следите за лояльностью. Делайте так при найме сотрудников и в рамках текущей работы. Это принципиально, потому что хороший IT-специалист, если захочет, всегда найдет способ обойти технические средства контроля. Это издержки, так что риски нужно принять и нивелировать другими методами. Использовать специальные инструменты обеспечения безопасности, конечно, нужно. Но параллельно обязательно налаживать взаимоотношения и контролировать человеческий фактор.

Сотрудники бэк-офиса: их электронные адреса — точка входа для мошенников
У них третье место. Речь о тех сотрудниках, кто обрабатывает поступившие заявки на выписки со счетов и другие операции, а также тех, кто обслуживает различные банковские сервисы и ведет переписку с клиентами, контрагентами и другими сторонами. Их электронные адреса могут стать точкой входа для мошенников извне.

Например, приходит в бухгалтерию письмо из налоговой инспекции — и бухгалтер волнуется, открывает и внимательно читает. Отправитель — мошенник, который создал почту, похожую на действительный адрес инспекции, и вложил в письмо вирус. Программа-шпион сама установится на компьютер бухгалтера и будет собирать закрытую информацию. Это один из возможных вариантов.

В результате работа встала: сотрудники не могли отправить и получить письма, зайти в Интернет, а звонки sales-менеджерам переадресовывались директору. На восстановление системы ушел месяц.

Фишинг, спуфинг и социальная инженерия — самые популярные из внешних атак, с которыми сегодня приходится бороться финансовым организациям. Со стороны атакующих это самый простой и дешевый способ, так что банкам придется противостоять подобным атакам. А для этого надо работать в трех направлениях. Прежде всего — повышать ИБ-грамотность персонала, чтобы сократить число инцидентов по причине халатности или незнания базовых правил информационной безопасности. Далее — принять технические меры: внедрить DLP (системы против утечек информации и действий инсайдера) и SIEM (системы контроля событий в IT-инфраструктуре). С этими инструментами организация сможет отслеживать нарушения политик безопасности в реальном времени и пресекать их.

И наконец, служба безопасности должна логировать все действия персонала, чтобы иметь возможность расследовать любые нарушения, устанавливать всех причастных и обстоятельства.

Операционисты: заработать хочется, а зарплата маленькая
Четвертое место в нашем рейтинге. Не кассиры, но те, кто обслуживает клиентов банка в операционном зале по вопросам вкладов, лизинга, кредитования и проч. Это сотрудники с достаточным уровнем доступа к закрытой информации и сравнительно невысокими зарплатами. Момент важный, поскольку заработать сверх положенного не прочь многие, и предложения есть: например, банковские карты и базы данных пользуются огромным спросом на черном рынке. Но люди на хороших должностях гораздо реже готовы рисковать местом ради одноразовой выгоды в 50—60 тыс. рублей.

Кстати, видеосъемка в операционных залах не панацея. Камера фиксирует нарушения, но чтобы подробно изучить шесть часов видео, нужно примерно 12 часов работы специалиста. И это делают только в случае, если есть подозрения, собранные другим путем. Например, жалобы или несостыковки в бумагах.

И наконец — будем реалистами — через операционные залы проходит огромный поток клиентов. Так что нарушение регламента из-за банальной усталости тоже частая практика. Я недавно обращался в банк — пришлось полчаса отвечать на вопросы для идентификации личности. А в следующий раз операционист настолько бегло проверила паспорт, что протягивать его мог почти кто угодно. Или вот еще: работник выгрузил из базы данных движения по счетам десяти предпринимателей, вставил в тело письма и разослал — бизнесмены оценили успехи друг друга. И ведь специалист был хороший, но банковскую тайну нарушил.

Чтобы минимизировать подобные риски, следует хорошо проработать политики безопасности по основным видам чувствительных данных, с которыми работают операционисты. Это прежде всего клиентские базы, данные банковских карт, информация о трансакциях.

С помощью систем против утечек данных можно отслеживать все операции с этой информацией. Программы могут «запоминать» документы и сравнивать с ними весь поток информации в банке или распознавать скан-копии паспортов и карт. Возможностей поиска очень много, и чем детальнее программа будет понимать регламент, тем эффективнее будет оповещать о подозрительных действиях сотрудников.

Иван БИРУЛЯ, директор по безопасности «СёрчИнформ», для Banki.ru

Источник: Banki.ru
Враг внутри: кто в банках больше всех угрожает безопасности

До нового года осталось