Как достичь нового уровня защиты данных в банках, снижая 8 видов рисков за раз
В 2022-2023 годах совокупный объем украденных средств в российских компаниях составил 30 млрд рублей, а количество успешных операций по краже достигло 1,17 млн. В банковском секторе за 2023 год потери клиентов выросли на 11,5%, а общий объем штрафов за утечки данных за этот период составил 4,2 млн рублей. Когда киберугрозы нарастают, а регуляторные требования ужесточаются, банки вынуждены искать максимально эффективные способы защиты данных.
8 главных типов рисков
Современные банки сталкиваются с восемью основными типами рисков. Владимир Каширский, генеральный директор «Перфоманс Лаб», поясняет: «Среди всех сегментов рынка, именно банковский сектор хранит и обрабатывает наибольший объем персональных данных по клиентам. Это является причиной особого внимания мошенников, которые используют всё более изощренные способы для получения доступа к данным. Для защиты персональных данных, банки должны использовать все возможные средства для защиты клиентов, в том числе обезличивать данные на тестовых стендах, что является одним из уязвимых мест».
- Риск получения крупных штрафов в случае утечки данных. Несоблюдение требований Федерального закона № 152-ФЗ может повлечь штрафы и административные санкции.
- Риск персональной ответственности ИБ и ИТ-директоров. ИТ-директора и руководители служб информационной безопасности несут персональную ответственность за утечку данных, что подтверждается многочисленными случаями в судебной практике. Например, в 2022 году несколько ИТ-директоров крупных банков были привлечены к административной ответственности за несоблюдение требований по защите данных, что привело к их отстранению от должностей и значительным штрафам.
- Риск кибератак. По данным «Лаборатории Касперского», в 2023 году было зафиксировано более 1 миллиона атак на финансовые учреждения в России, что на 20% больше по сравнению с предыдущим годом. Основными целями атак являются: кража персональных данных клиентов и финансовые махинации.
- Риск несоответствия строгим отраслевым требованиям к защите данных, особенно в крупных корпорациях. Банковская отрасль регулируется Федеральным законом № 152-ФЗ «О персональных данных» и ГОСТ Р 57580. Крупные корпорации чаще подвергаются проверкам, что увеличивает риск выявления несоответствий и наложения ограничений в работе.
- Риск недостатка квалифицированного персонала для соблюдения всех требований по защите данных. По данным исследовательской компании IDC, к 2024 году нехватка специалистов в области кибербезопасности в России составит около 40,000 человек.
- Риск возникновения технических проблем при интеграции решений. По данным Accenture, около 30% всех внедрений новых ИТ-решений в банковской сфере сталкиваются с серьезными техническими проблемами, которые требуют дополнительных ресурсов для их устранения.
- Риск ошибок в обработке данных из-за отсутствия автоматизации процессов. Отсутствие автоматизации процессов обработки данных увеличивает вероятность ошибок и требует значительных временных и ресурсных затрат. По данным McKinsey, автоматизация может сократить количество ошибок на 60-70% и повысить общую эффективность работы на 30-40%.
- Риск утечки данных при подключении аутсорс команд к персональным данным. Несмотря на все меры предосторожности, сторонние компании могут не соблюдать внутренние стандарты безопасности на должном уровне. Это повышает вероятность несанкционированного доступа к конфиденциальным данным.
Введение эффективных сценариев защиты данных позволяет минимизировать эти риски и защитить как внутренние процессы, так и клиентов.
Больше материалов на эту тему читайте в Компас CIO
«Нормальный», «хороший» и «отличный» сценарии защиты данных
Компания «перфоманс Лаб» различает сценарии защиты в зависимости от уровня их зрелости. «Каждая организация может самостоятельно определить, на каком уровне защиты данных она находится, и выбрать для себя стратегию развития этого направления. Безусловно, нужно стремиться к развитию комплексной системы управления данными, вплоть до изолированного контура для разработки и тестирования, которая позволяет обезопасить себя от мошенников». – комментирует Владимир Каширский.
Первый, «нормальный» сценарий направлен на минимизацию рисков с помощью основных мер. В этом случае банки фокусируются на удалении персональных данных из среды разработки и тестирования, что значительно уменьшает вероятность утечек. Реализация базового сценария защиты может вызвать проблемы с контролем качества, поскольку тестовые данные могут не полностью соответствовать реальным условиям, и увеличить время выхода на рынок из-за дополнительных мер предосторожности. Среди возможных рисков: недостаточный контроль и отсутствие четкого понимания мест хранения данных, высокая вероятность возврата к исходным методам работы или выбору другого решения, а также незрелые процессы разработки, приводящие к сбоям и ошибкам.
Второй, «хороший» сценарий включает централизованный подход и автоматизацию управления персональными данными. Эти меры помогают значительно уменьшить количество ошибок и улучшить качество данных. Внедрение централизованного подхода и профилирование баз данных сокращают время на обработку благодаря автоматизации. Вероятность ошибок и утечек снижается за счет более четкой системы контроля. Уровень контроля и прозрачности процессов повышается, что приводит к быстрому реагированию на инциденты.
Третий, «отличный» сценарий, включает комплексную систему управления данными. Она включает: профилирование, моделирование, деперсонализацию и постоянное обновление данных. Такая система позволяет использовать автообновляемые модели данных, что минимизирует разницу между промышленными и тестовыми средами. Также внедряются инструменты для совместной работы с другими департаментами. Создается единая структура данных, доступная для всех баз.
Преимущества этого подхода: высокое качество данных, автоматизация обезличивания, возможность создания конфигурационных дата-сетов за считанные минуты, сокращение времени на доставку обезличенных данных и улучшение времени выхода продуктов на рынок. Обеспечивается прозрачное распределение зон ответственности и четкие метрики по каждому направлению, что позволяет эффективно управлять ресурсами и оптимизировать бюджет. Внедрение системы оценки трудозатрат помогает оптимизировать рабочие процессы и повысить эффективность работы команд.
Кейс: Переход на новый уровень защиты с DataSan
DataSan представляет собой комплексное, гибкое решение для деперсонализации данных. Оно обеспечивает высокий уровень безопасности и полный контроль над информацией, минимизируя риски утечек. Разработанный с учетом специфики банковской индустрии, DataSan соответствует отраслевым стандартам, помогая избежать несоответствия требованиям защиты данных.
Проблема: В 2024 году один из крупнейших российских банков столкнулся с необходимостью деперсонализации большого объема данных в сжатые сроки. Для решения этой задачи было выбрано комплексное решение DataSan, которое показало свою эффективность, обезличив 20 ТБ данных всего за 16 часов. Используя шифрование и анонимизацию, DataSan обеспечил нулевой доступ к данным, исключив их утечку.
Применение комплексного подхода DataSan, включающего оценку рисков и автоматизацию процессов, позволило банку существенно снизить вероятность утечек и, следовательно, избежать значительных штрафов. Легкая интеграция и масштабируемость решения минимизировали технические проблемы при внедрении, облегчая использование.
Поддержка клиентов DataSan решила проблему нехватки квалифицированного персонала. Поддержка и обучение повысили квалификацию сотрудников, обеспечив соблюдение требований при ограниченных ресурсах.
По мнению Владимира Каширского, «DataSan выделяется среди конкурентов своей технологией, обрабатывая данные исключительно на серверах компании-заказчика, что обеспечивает высочайший уровень безопасности и полный контроль над информацией. Отсутствие ETL-процессов позволяет обеспечить высокую скорость обезличивания данных и сократить потребности в дополнительной инфраструктуре. Такой подход минимизирует риски утечек и гарантирует полную очистку остаточных данных, делая DataSan надежным и эффективным инструментом для защиты данных».