Обзор "ИТ в банках и страховых компаниях 2007" подготовлен	При поддержке

Пример решения: InfoWatch защищает ВТБ от инсайдеров

О заказчике

«ВТБ» — один из крупнейших коммерческих банков России. В результате IPO в апреле-мае 2007 г. он привлек 8 млрд. долл., а его рыночная капитализация составила 35,5 млрд. долл. Банк имеет наивысший среди российских финансовых организаций рейтинг международных агентств Moody’s Investors Service, Standard & Poor’s и Fitch. В рамках концепции развития как сетевого банка федерального уровня ВТБ предоставляет клиентам услуги через разветвленную сеть своих подразделений, включающую свыше 200 офисов обслуживания клиентов. За рубежом он представлен двенадцатью представительствами, дочерними и ассоциированными банками.

В рамках концепции развития как сетевого банка федерального уровня, ВТБ предоставляет клиентам услуги через разветвленную сеть своих подразделений, включающую свыше 200 офисов обслуживания клиентов. За рубежом он представлен двенадцатью представительствами, дочерними и ассоциированными банками.

До внедрения

Одной из причин успеха коммерческой деятельности ВТБ является повсеместное использование последних достижений высоких технологий. Вычислительная сеть организации насчитывает более 10 тыс. территориально распределенных рабочих мест, все ключевые бизнес-процессы интегрированы в ИТ-систему. Однако информационные технологии несут в себе и известную долю рисков, связанных как с враждебным внешним окружением (вирусы, спам, хакерские атаки), так и с угрозой изнутри — промышленный шпионаж, конкурентная разведка, другие умышленные и неосторожные действия сотрудников организации. Причем если для защиты от внешних атак ИТ-инфарструктура банка уже давно оснащена целым арсеналом средств, то проблемы внутренней безопасности требовали немедленного решения.

«Особенность работы сети ВТБ заключается в циркуляции большого количества данных, составляющих коммерческую и банковскую тайну. Без должной защиты такой информации немыслимо оказание качественных услуг клиентам, а репутация организации находится под постоянной угрозой. Именно поэтому внедрение надежной защиты конфиденциальных данных является приоритетом развития информационной системы банка», — комментирует Олег Смолий, главный специалист управления по обеспечению безопасности ВТБ.

В связи с тем, что ВТБ оказывает услуги физическим лицам, в его распоряжении находится база персональных данных граждан. Утечка этой информации могла бы нанести существенный удар по репутации компании, привести к сокращению клиентской базы и подрыву доверия со стороны инвесторов и партнеров. Вдобавок, уже на тот момент в Госдуме обсуждался законопроект «О персональных данных» (к моменту окончания внедрения проект уже превратился в федеральный закон). Таким образом, утечка приватных сведений граждан могла привести в обозримом будущем к череде судебных исков и существенным юридическим издержкам.

Принимая решение о внедрении системы защиты от внутренних угроз, специалисты ВТБ ориентировались на Стандарт Банка России по ИТ-безопасности, а также положения соглашения Basel II в плане минимизации операционного риска. Каждый из этих нормативных актов требует от организации взять под контроль инсайдеров и предотвратить утечку классифицированной информации. Прежде всего, специалисты банка обратили внимание на почтовые ресурсы — это самый уязвимый коммуникационный канал с точки зрения утечки данных и злоупотребления со стороны служащих. В результате перед ВТБ стояла задача:

• Взять под контроль канал электронной почты, чтобы предотвратить утечку конфиденциальных и персональных данных;
• Обеспечить архивирование всего почтового трафика для последующего ретроспективного анализа, например, при расследовании инцидентов;
• Удовлетворить требованиям Стандарта Банка России по ИТ-безопасности в плане защиты от инсайдеров и архивирования электронной почты;
• Минимизировать часть операционного риска, связанную с утечкой классифицированной информации, и адресовать тем самым требования соглашения Basel II.

Кроме того, заказчик предъявил целый ряд чисто технических требований к внедряемому решению:

• Продукт должен быть достаточно производительным и отказоустойчивым, чтобы обрабатывать в среднем 10 Гб почтового трафика ежесуточно, а гарантированное максимальное время задержки одного сообщения не превышало 1 секунды.
• Фильтр конфиденциальной информации должен уметь обрабатывать не только стандартные форматы файлов, предусмотренные разработчиком, но еще и внутренние форматы заказчика;
• Решение должно быть достаточно кастомизированным, чтобы фильтровать дополнительные типы и форматы данных;

Все эти требования были сформулированы на этапе предпроекта, после чего заказчик провел открытый конкурс, опубликовав свои технические и бизнес требования.

Выбор решения

Эксперты ВТБ провели глубокий сравнительный анализ представленных на российском рынке систем мониторинга и архивировании электронной почты. Особое внимание уделялось соответствию таким требованиям, как возможность дополнить продукт до комплексного решения, чтобы покрыть все уязвимые коммуникационные каналы организации (Интернет, принтеры, рабочие станции и т.д.). Кроме того, специалистам ВТБ требовалось получить кастомизуемое решение, в которое можно добавить новый функционал по поддержке дополнительных форматов файлов и данных. Для этих целей представители Банка проверяли эксплуатационные характеристики решений в специально выделенном тестовом сегменте сети. По результатам проверки руководство ВТБ остановило свой выбор на следующих продуктах:

• InfoWatch Mail Monitor — программный продукт для предотвращения утечки конфиденциальной информации через корпоративную почтовую систему. В режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные.
• InfoWatch Mail Storage — программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. Модуль в режиме реального времени накапливает копии электронных писем, укладывает их в хранилище и позволяет делать аналитические выборки из него для расследования случаев утечки конфиденциальных данных.

Наиболее высокой оценки заказчика удостоилась возможность расширения набора продуктов до комплексного решения InfoWatch Enterprise Solution с покрытием дополнительных коммуникационных каналов. Кроме того, специалисты ВТБ отдельно отметили высокую производительность мониторов трафика и хранилища электронной почты. В рабочем режиме система InfoWatch Mail Storage, работающая всего на одном выделенном сервере, способна обрабатывать 50 тыс. писем или 10 Гб трафика в день и поддерживать актуальный архив корреспонденции за период не менее 3 лет. Кроме того, модуль полностью удовлетворяет требованиям к гарантированному максимальному времени задержки одного сообщения. Наконец, технические специалисты InfoWatch реализовали в своем фильтре поддержку специфичного для ВТБ внутреннего формата файлов, а также возможность добавлять в базу контентной фильтрации новые конфиденциальные данные в этом формате. Таким образом, продукты InfoWatch полностью справились с интенсивным информационным потоком организации.

Среди других доводов в пользу выбора решений компании InfoWatch были следующие:

• Широкий спектр сопроводительных и консалтинговых услуг: не только внедрение решения «под ключ», но еще и полноценная интеграция системы защиты от утечек и инсайдеров в уже существующую комплексную систему ИТ-безопасности компании;
• Опыт реализации проектов такого масштаба в крупнейших коммерческих и государственных организациях;
• Возможность модернизации комплексного решения под нужды заказчика;
• Инновационный характер компании-поставщика: архитекторы и разработчики InfoWatch всегда находятся на переднем крае. Они постоянно совершенствуют механизмы защиты от утечек и инсайдеров, модернизируют свои продукты и привносят элемент инноваций в ИТ-инфраструктуру заказчика. При этом все новые версии продуктов InfoWatch доступны заказчикам бесплатно в рамках технической поддержки;

Проанализировав преимущества решений компании InfoWatch, специалисты ВТБ остановили свой выбор именно на данном поставщике. Таким образом, лидер российского финансового сектора подтвердил высокие характеристики продуктов InfoWatch.

После внедрения

Проект внедрения InfoWatch Mail Monitor и InfoWatch Mail Storage был реализован в течение 3 месяцев в соответствии с поэтапным планом, составленным специалистами заказчика и поставщика совместно. В информационной инфраструктуре заказчика был создан кластер из двух узлов, на которых под управлением Red Hat Linux были установлены модули InfoWatch Mail Monitor. Этот кластер ежедневно фильтрует почтовый трафик от 5 тыс. пользователей центрального офиса ВТБ. В нем обеспечена балансировка нагрузки и отказоустойчивость. Максимальное время задержки одного почтового сообщения гарантированно не превышает 1 секунды. Централизованный архив InfoWatch Mail Storage вынесен за пределы кластера и размещен на отдельном сервере. В результате заказчик получил эффективную и производительную систему защиты почтовых каналов от инсайдеров и утечек. Все цели проекта были достигнуты.

Схема работы InfoWatch Mail Monitor и InfoWatch Mail Storage в ВТБ

Эксперты заказчика высоко оценили функциональность и устойчивость к нагрузкам InfoWatch Mail Storage. Этот модуль не только позволяет архивировать корпоративную корреспонденцию, но и обладает мощными возможностями для последующего ретроспективного анализа. В результате в распоряжении лидера российского финансового сектора оказался инструмент для эффективного расследования инцидентов внутренней ИТ-безопасности и разрешения многих деловых задач. Кроме того, модуль InfoWatch Mail Storage отлично справился с интенсивным почтовым потоком ВТБ, достигающим в среднем 10 Гб в сутки.

Итоги

По итогам внедрения заказчик получил эффективную и управляемую систему защиты почтового канал от инсайдеров и утечек. На базе продуктов компании InfoWatch заказчик обеспечил частичную совместимость с ФЗ «О персональных данных», Стандартом ЦБ по ИТ-безопасности, соглашением Basel II и требованиями секции 404 американского закона SOX.

Отметим, что в результате внедрения заказчик не только решил проблему внутренних угроз, но и значительно сэкономил на реализации своей нормативной стратегии. Банку удалось закрыть часть требований сразу трех нормативных актов с помощью единого решения ИТ-безопасности. При этом у ВТБ появилась возможность дополнить внедренный продукт до комплексного решения InfoWatch Enterprise Solution. Такая перспектива позволяет создать максимально эффективную систему защиты от утечек и инсайдеров, а также обеспечить соответствие требованиям всех указанных нормативов в сфере внутренних угроз.

«Мы остались довольны этим внедрением. Теперь в случае необходимости наш Банк может достаточно быстро дополнить внедренные продукты до комплексного решения InfoWatch Enterprise Solution и создать тем самым полноценную систему защиту от утечек и инсайдеров. При этом мы уже убедились, что продукты InfoWatch обладают прекрасной производительностью и отказоустойчивостью. Кроме того, технические специалисты InfoWatch реализовали в своем фильтре поддержку наших внутренних форматов файлов, что позволило очень удачно вписать новое решение в нашу ИТ-инфраструктуру. Быстро и без потери прозрачности», — подводит итог Олег Смолий, главный специалист управления по обеспечению безопасности ВТБ.

 Таким образом, лидер российского финансового рынка может эффективно работать с персональными данными клиентов и корпоративной конфиденциальной информацией, не боясь, что эти сведения утекут по электронной почте.