Ни для кого не будет секретом, что деньги крадут даже из самых защищенных мест — из банков. Истории о вооруженных нападениях на инкассаторов или отделения банков, кражи, мошенничества с банкоматами и тому подобное достаточно часто появляются в прессе. Впрочем, потери от мошенничества и кражи денег могут нести не только банки, но и любая финансовая организация, например, страховая компания. В то же время о другом явлении, более редком и тем не менее более опасном — внутреннем мошенничестве и кражах, другими словами, инсайдерском мошенничестве сотрудника или партнера, вспоминают намного реже.
В финансовой организации практически любой сотрудник является потенциальным мошенником. Такое мошенничество возникает тогда, когда у сотрудника, обладающего возможностями — знаниями и правами доступами к ИТ-системам — появляются мотивы для совершения незаконных действий. Мотивом может послужить стремление решить свои финансовые проблемы, жажда мести, удовлетворение амбиций и т.п. Такому потенциальному мошеннику на руку играет и психологический аспект: он уже является «своим» и бдительность по отношению к нему меньше. В результате убытки от такого мошенничества больше, чем от ограблений в стиле вестерн.
Проблема
Но чем больше в организации появляется ИТ-систем и чем они разнообразнее, тем более проблематичными, а порой и непосильными, становятся задачи по обнаружению, реагированию и предотвращению мошенничества.
• Технический персонал имеет полный доступ (часто физический) к ИТ-системам, ограничить его чаще всего невозможно.
• Объемы событий, поступающих от ИТ-систем, — огромны, сколько-нибудь эффективный мониторинг обеспечить невозможно.
• Предназначение выполняемых операций сотрудниками в банковских ИТ-системах не всегда очевидно, чтобы их анализировать. Необходим контроль, основанный на глубоком знании ИТ-систем (часто на уровне разработчиков) и бизнес-процессов, которые обслуживают эти системы. Этими знаниями должны обладать сотрудники, осуществляющие контроль в банковских ИТ-системах.
• Число ИТ-систем может исчисляться десятками, а то и сотнями. Количество событий для анализа в таком случае будет исчисляться десятками тысяч в секунду. Чтобы качественно обработать такое огромное число событий, нужен поистине огромный штат сотрудников. Это неподъемная ноша для организации любого масштаба.
• В электронном мире определить, кто из сотрудников выполнил то или иное действие, не всегда легко, особенно если мошенник старается скрывать свои действия. Иногда используются искусственно созданные или украденные у других сотрудников учетные записи, учетные записи, не привязанные к определенному лицу (системные).
Решение в теории
С организационной точки зрения для решения этих проблем (предотвращения или в крайнем случае своевременного выявления) требуется следующее.
• Если невозможно ограничить доступ технического персонала, то все его операции на ИТ-системах необходимо детально фиксировать. Зафиксированная информация недоступна для изменений.
• Используйте автоматические системы обработки событий, которые позволят справиться с большими объемами поступающей информации. Они игнорируют несущественные, агрегируют однотипные и автоматически определяют важность (приоритет) событий. В результате квалифицированный персонал будет заниматься изучением значительно меньшего числа действительно важных событий.
• Автоматические системы обработки должны иметь возможность обнаруживать инциденты по различным сложным шаблонам на основании событий с различных корпоративных устройств. Это позволит проводить высококлассный преднастроенный анализ с недоступными человеку скоростями и выдавать результаты контролирующему персоналу. Персонал, выполняющий контроль, в таком случае обеспечивает только настройку шаблонов в автоматизированных системах и реагирует на выявленные или возможные факты мошенничества.
• Автоматические системы должны иметь возможность работать с различными ИТ-системами, различных производителей, с различными форматами сообщений о событиях и представлять все события в некотором удобочитаемом общем формате. Это даст возможность снизить требования к квалификации контролирующего персонала и уменьшит время разбора инцидентов.
• Обеспечьте индивидуальную привязку каждого события, полученного с ИТ-систем в организации, к конкретному сотруднику (персонализация). Если использовались учетные данные, не привязанные к определенному лицу, ограничьте возможность создания и обеспечьте выявление искусственных и поддельных учетных данных, повысьте защищенность учетных данных за счет двухи более факторной аутентификации. Потенциальный мошенник, зная, что скрыть свою причастность не получится, хорошенько подумает, прежде чем идти на нарушение закона.
Фактически, решение проблемы, связанной с использованием ИТсистем для мошенничества, разделяется на три части: выявление фактов преступлений или подготовки к ним за счет анализа событий ИТ-систем, управление учетными записями для точного выявления правонарушителя и надежная аутентификация сотрудников для защиты от выполнения действий под чужой учетной записью.
SIEM
Необходимую функциональность автоматической обработки событий обеспечивают системы класса SIEM. Их основное назначение заключается в сборе событий с разнообразных систем в организации и выполнении анализа по собранным событиям на основании преднастроенных шаблонов (сотрудниками или разработчиком). Их интерфейс позволяет отображать в виде диаграмм, графиков, таблиц выявленные или возможные инциденты, привязывать их к картам. Информация в таких системах отображается со скоростью близкой к реальному времени, события приоритезируются (определяется их важность) в зависимости от критичности для организации.
При этом следует помнить, что такая система должна обслуживаться отдельным техническим персоналом во избежание доступа «заинтересованных лиц» к собранной информации. Наличие автоматических систем SIEM дает возможность сразу выявлять случаи мошенничества, если они подпадают под предопределенный шаблон, либо получать информацию, необходимую при расследовании позднее выявленных фактов мошенничества.
IDM
Для управления учетными записями в организации применяются системы класса IDM. Они позволяют автоматизировать процессы по предоставлению доступа пользователям, выявлять учетные данные, созданные в обход принятых в организации процедур, фиксировать все события по управлению учетными данными и обеспечивают централизованное управление учетными данными в организации. В результате внедрения таких систем все события становятся персонифицированными, теперь можно точно указать сотрудника, выполнившего конкретное действие, вызвавшее некоторое событие.
SIEM + IDM
Системы SIEM и IDM должны плотно взаимодействовать для обеспечения оптимального контроля. Такое взаимодействие, к примеру, позволяет выявлять случаи создания или изменения учетных записей в обход принятых в компании процедур с привязкой к сотруднику, который выполнял неправомерные действия. Таким образом, организация получает информацию о всех событиях на всех ИТ-системах с точной привязкой к пользователю, ответственному за их возникновение.
Учитывая, что мошенник теперь не сможет использовать поддельные учетные данные, единственным вариантом скрыть свою личность остается кража учетных данных других пользователей. Для противодействия этой угрозе следует использовать двухфакторную аутентификацию, которая кроме связки логин/пароль может потребовать от пользователя физического подтверждения личности — сертификата, размещающегося на специальной физической картетокене. Это гарантирует, что операции выполняются человеком, который обладает как знанием секретного пароля так и физическим подтверждением его личности. При желании усилить защиту от кражи учетных данных можно за счет привязки сотрудников к конкретным рабочим устройствам, биометрического подтверждения личности, подтверждения местонахождения сотрудников с помощью RFID-устройств.
В результате мошенник для проведения незаконных действий будет вынужден использовать свою собственную учетную запись. Это означает, что факт мошенничества неизбежно обнаружат (сразу после совершения или позже в результате расследования).
Меняться вместе с бизнесом
Одного только грамотного внедрения и настройки описанных выше технических средств недостаточно для обеспечения эффективной борьбы с ИТмошенничеством или кражами, если злоумышленник знаком с принципом работы или уязвимостями ИТ-систем. Обязательно требуется квалифицированный персонал, в обязанности которого входит реагирование на выявленные факты мошенничества, обслуживание технических средств, создание или исправление шаблонов выявления фактов ИТ-мошенничества. Учитывая критичность этих систем, для обнаружения противозаконных действий внутри организации, внесение изменений должно быть жестко регламентировано и распределено. Например, один человек разрабатывает изменения, второй утверждает, третий вносит изменения в системы, четвертый проверяет работоспособность.
В организационном плане для эффективного применения технических средств требуется действующая и актуальная политика безопасности. Именно этот документ изначально определяет, какие в организации есть ИТ-системы, их назначение и что является нормальной и приемлемой работой для них. Только исходя из информации, зафиксированной в политике безопасности, можно эффективно определить шаблоны для выявления фактов мошенничества и понять, какие события для их выявления потребуется собирать, как на них реагировать.
Таким образом, защита организации от внутренних мошенников — это не просто набор дополнительных технических средств и даже не комплекс, а сложный процесс, который необходимо постоянно поддерживать в актуальном состоянии по мере изменения или роста компании.
Авторы статьи: Юрий Черниченко, технический руководитель проектов управления профессиональных услуг «ЭС ЭНД ТИ УКРАИНА»,
Александр Некряч, консультант отдела корпоративной безопасности и видеоконференцсвязи «ЭС ЭНД ТИ УКРАИНА».
