Верхнее

Почему DLP-система не защитила от утечки

Почему DLP-система не защитила банк Санкт-Петербург от утечки?

На прошлой неделе стало известно о хакерской атаке на банк Санкт-Петербург, в результате которой «злоумышленникам стала доступна информация о нескольких тысячах карточных счетов — ФИО, номер счета и номер карты«.

Атака примечательна тем, что монетизировать украденную информацию хакеры попытались сразу же — путём вымогательства 29 миллионов рублей в обмен на нераскрытие украденной информации.

Шантаж не удался, банк на сделку не согласился, так как по мнению его представителей «никакой угрозы для клиентов нет«. Более того, и в СМИ банк, судя по всему, обратился самостоятельно, опередив злоумышленников, которые угрожали публичной оглаской.

Второй любопытный момент с этой атакой — банк выявил взлом, но не пресёк его, а перевёл в контролируемый режим:

…нами была своевременно обнаружена нетипичная для поведения клиентов активность в информационной базе. Специалисты банка изучили ситуацию и пришли к выводу, что данные, получаемые хакерами, не являются критичными для клиентов и не могут повлечь за собой возможность проведения мошеннических операций по их счетам. В результате было принято решение сразу не блокировать их доступ к этой информации, а дождаться, когда правоохранительные органы смогут найти улики, дающие возможность задержать преступников в будущем.

Наконец, вишенку на торт истории данного взлома положили коллеги из компании ИнфоВотч, опубликовав на официальном сайте более умеренный текст и без упоминания конкурентов, но при этом разместив в ЖЖ пост с важным пикантным добавлением:

Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, — заявил Анатолий Скородумов Коммерсанту, — инвестиции в ИБ – это инвестиции в репутацию компании.

С моей лёгкой(?) руки в Twitter и Facebook развернулась оживлённая дискуссия на тему того, что DLP-система не предотвратила эту утечку. Заодно были обсуждены и мои таланты в области «черного PR», но это к сути поста не относится =)

Несмотря на использованный мной довольно провокационный тезис, вырванный из контекста поста ИнфоВотч («В банке Санкт-Петербург, допустившем утечку персональных данных 300 тыс клиентов, была внедрена DLP-система Дозор-Джет«), на мой взгляд, вины вендора и интегратора (на момент самого внедрения, как я понимаю, это было одно и то же) в случившемся нет.

Попробую объяснить почему.

Во-первых, DLP-система, как и любое средство защиты информации, не даёт 100% гарантии отсутствия утечек (продавцы, утверждающие обратное, мягко говоря, преувеличивают). Речь может идти только о снижении вероятности. Сколько утечек успешно ранее предотвратил Дозор-Джет — мы не знаем, поэтому выводы о его эффективности на основании одного случая сделать не получится.

Во-вторых, DLP-система призвана отслеживать лишь ограниченное число потенциальных каналов утечки, а не все мыслимые и немыслимые. Сокращение числа лишних каналов как раз одна из задач при внедрении DLP — в статье Коммерсанта, например, говорится о контроле доступа сотрудников в Интернет с той самой целью сокращения числа каналов утечки. Каким конкретно каналом воспользовались хакеры — не известно, вполне вероятно, что его DLP как раз и не отслеживала.

В-третьих, несмотря на то, что в контролируемость самой утечки не так просто поверить, мы имеем официальное заявление банка об этом, сделанное в СМИ, так что DLP-система могла быть просто отключена самими сотрудниками банка.

Наконец, надо отметить, что противостояние внешнему взлому не является функцией DLP-системы, поэтому проникшие в сеть банка хакеры могли деактивировать DLP или, выявив её присутствие, воспользоваться какой-либо техникой обхода (для опытного специалиста вряд ли такое будет нерешаемой задачей).

Кстати, в статье Коммерсанта, на которую ссылаются коллеги из ИнфоВотч, упоминания конкретного продукта нет, но вроде бы никто из представителей Инфосистем Джет или Solar Security не отрицает факт использования именно DLP-системы Дозор-Джет (текущее название — Solar Dozor).

В любом случае, дать адекватную оценку эффективности используемых в банке Санкт-Петербург средств защиты информации можно только обладая полной информацией о случившемся. Было бы здорово, если банк обнародовал результаты внутреннего расследования причин случившегося — полагаю, открытость в данном вопросе нивелировала бы хотя бы частично урон, нанесённый его репутации.

Ведь персональные данные всё-таки утекли и не очень правильно будет просто закрыть на это глаза, тут с коллегами из ИнфоВотч соглашусь.

Изображение

, , , , , , , ,