Торговля на вынос
экспертиза
Почти во всех кредитных организациях России, за редким исключением, процветает "тотальное воровство клиентских баз", убеждена генеральный директор ГК InfoWatch НАТАЛЬЯ КАСПЕРСКАЯ.
— Как часто к вам за помощью обращаются российские банкиры, желающие пресечь кражи баз данных?
— Не так часто, как нам хотелось бы. На самом деле у нас в стране происходит тотальное воровство клиентских баз. В результате недавно проведенного АЦ InfoWatch опроса среди руководителей 30 российских банков фактически каждый уходящий из компании менеджер по продажам уносит с собой базу клиентов. Текучка клиентских менеджеров в российских банках, в особенности розничных, составляет более 10%.
— Насколько опасны такие кражи?
— Например, унесли данные по ипотечному займу, согласно которым клиент выплачивает ежемесячно, скажем, 36 тыс. рублей и остаток его задолженности составляет 1,5 млн рублей. Конкурирующий банк предлагает клиенту рефинансирование долга по более низкой ставке, в результате чего ему нужно будет платить уже не 36 тыс., а 32 тыс. рублей ежемесячно. С таким подходом конвертация украденной ипотечной базы будет составлять практически 100%. Ведь никто не откажется платить 32 тыс. вместо 36 тыс. Потери в данном случае могут исчисляться сотнями миллионов рублей! При портфеле же банка в $2-3 млрд потери от таких уводов составляют около $600 млн!
— Осознают ли руководители банков масштаб внутренних угроз информационной безопасности?
— Я встречалась с несколькими руководителями банков. В целом они осознают данную проблему, им легко объяснить необходимость применения средств защиты от данной угрозы. Однако они не считают это первостепенной задачей, поскольку эти потери не являются прямыми. Если же потери не столь наглядны, являются скорее косвенными, чем прямыми, и не выражены в явных цифрах, то будь они сколь угодно огромны, они не трансформируются в немедленную потребность. Приходя к владельцу банка, мы сразу предлагаем ему рассчитать в точных цифрах размер ущерба от одного типичного инцидента с утечкой клиентской базы к конкуренту. После этого ущерб становится очевидным, и, как правило, дальше мы уже начинаем обсуждать с руководителем организации коммерческие условия.
— В чем заключается основная проблема рынка информационной безопасности в России?
— В отсутствии масштабной разъяснительной работы на уровне владельцев бизнеса. Если потери не выражены в конкретных цифрах, задача по защите информации переходит с бизнес-уровня на уровень директоров информационной безопасности, у которых совершенно иные задачи (тотальность контроля, удобство пользования, возможность осуществления слежки и прочие показатели, которые не относятся к бизнес-задачам).
— Ваши аналитики по этой теме опросили руководителей более 30 отечественных банков. К каким выводам они пришли?
— Результаты опроса показали: когда сотрудник увольняется и уносит с собой базу данных или ее часть, то вероятны три сценария дальнейшего развития событий. 20% данных использовано не будет, 10% данных будет использовано для кросс-продаж (схожее, но не аналогичное направление), 70% данных будет использовано конкурентом для продажи аналогичных услуг. Наиболее ценной является информация по VIP-клиентам. Украденные данные с большой долей вероятности будут качественно использованы конкурентами. Страшно даже представить масштаб возможного ущерба в крупных финансовых учреждениях с огромными клиентскими базами, если утечка 1000 записей кредитных карт оценивается аналитиками в среднем в 20 млн руб.! И это только прямые финансовые потери от ухода клиентов, не говоря уже о репутационных потерях, затратах на выплату компенсаций и устранение ущерба и упущенной выгоде. Анализ различных инцидентов утечки данных показал, что ущерб от единичного случая утраты существенного объема критичной информации может составлять десятки и даже сотни миллионов рублей. В то же время стоимость внедрения и обслуживания системы защиты корпоративной информации и данных от внутренних угроз соизмерима с размером только прямых потерь от одного среднего инцидента. Следовательно, использование таких систем имеет ощутимый экономический эффект и поможет банкам серьезно сэкономить на ликвидации последствий инцидента.
— Какой ущерб, по вашим оценкам, наносит подобная "миграция" клиентских баз банкам?
— В розничных банках это процентов 30 ушедших клиентов, в корпоративном сегменте многое зависит от уровня текучести ключевых кадров, то есть менеджеров по работе с клиентами. На самом деле, каждый банк может для себя рассчитать потенциальный ущерб.
— Какие факторы способствуют "миграции" данных?
— Во-первых, увольнение сотрудников. Поэтому в розничных банках стоит обратить особое внимание на call-центр, где происходит практически 100-процентная ротация кадров за год. Второй фактор — это большое количество фронтальных сотрудников, в особенности в банках, специализирующихся на потребительских кредитах, или в организациях с разветвленной филиальной сетью. В таком случае сложнее осуществлять контроль над сотрудниками, поэтому торговля базами носит тотальный характер. По нашим наблюдениям, в таких банках наблюдается ежегодная утечка от 20% до 50% клиентских баз.
Вообще, ментальность в отечественной корпоративной среде поражает: сотрудники российских компаний, работающие с клиентами, считают, что клиентская база является их личной собственностью, а не собственностью компании. И на этом основании клиентские менеджеры считают, что могут "своих" клиентов забирать из компании и уводить к конкуренту. Парадокс в том, что большинство владельцев бизнеса мирятся с такой ситуацией.
— Каким образом можно противодействовать "миграции" клиентских данных из одного банка в другой?
— Даже те немногие банки, которые при приеме сотрудника включают соответствующий пункт в договор, в подавляющем большинстве случаев не осуществляют преследование по закону сотрудников, уличенных в воровстве конфиденциальной информации.
Существуют следующие меры противодействия данной угрозе: во-первых, расставание с клиентским менеджером должно быть дружественным. С таким сотрудником еще до увольнения надо договориться за определенные отступные о том, что он оставляет компании клиентов в течение какого-то определенного срока. За этот срок новый менеджер войдет в доверие к этим клиентам, и увести их из компании будет сложнее. Во-вторых, это технические меры контроля, такие, как системы защиты данных от утечки, например InfoWatch Traffic Monitor Enterprise. На основании данных, собранных программой, можно сделать несколько выводов о потенциальной угрозе. Например, значительно возросшие объемы скачивания конкретным сотрудником клиентских данных, массовый обзвон старых клиентов, с которыми до этого менеджер контактировал не чаще чем раз в месяц и т. д. Подобные действия служат веским поводом для серьезного разговора с сотрудником и принятия соответствующих контрмер. Однако такой подход более эффективен применительно к банкам, работающим с корпоративными клиентами. Что касается розничных банков, здесь прежде всего важен принцип неотвратимости наказания.
Все мы при приеме на работу подписываем трудовой договор, в котором порой много сказано о необходимости соблюдения коммерческой тайны, неразглашении конфиденциальной информации и т. д. При этом подавляющее большинство сотрудников ежедневно разглашает коммерческую тайну в частных разговорах с коллегами, в беседах с родственниками и друзьями. Надо понимать, что если никаких последствий не наступает, то и к договору относятся несерьезно.
С другой стороны, действительность такова, что издержки на юридическое преследование сотрудника иногда могут превышать ущерб, который сотрудник нанес компании кражей клиентских данных. В этом случае преследование теряет смысл.
Поэтому в розничных банках важен четкий контроль действий сотрудников, имеющих доступ к клиентской информации, для выявления угрозы на ранней стадии и проведения профилактической беседы с попавшими под подозрение сотрудниками.
Что касается изменения ментальности в сторону более ответственного отношения к конфиденциальной корпоративной информации, то думаю, что нас это ожидает очень нескоро. Ведь даже на Западе, который более дисциплинирован в этом отношении, согласно исследованиям аналитиков, половина сотрудников, оставивших или потерявших свои рабочие места, продолжают хранить ценную конфиденциальную информацию со своего прошлого места работы, а 40% из них планируют пользоваться этой информацией на своем будущем рабочем месте. По нашим наблюдениям, в России этот показатель значительно выше.
В розничных банках необходимо предотвращать возможность скачивания больших объемов конфиденциальной информации путем ограничения прав доступа к чувствительным данным, а также следовать принципу неотвратимости наказания: за торговлю клиентской базой должно быть предусмотрено немедленное увольнение сотрудника, которое должно осуществляться публично. Так, в одном российском банке за первый квартал уволили 90 сотрудников, которые сливали конфиденциальную информацию, из них 4, как выяснилось, работали на конкурирующие компании. В результате в следующем квартале кандидатов на увольнение набралось лишь 15.
Для финансовых организаций, обслуживающих корпоративных клиентов, самым эффективным способом будет раннее обнаружение желания менеджера по работе с клиентами сменить работодателя путем выявления повышенной активности с конфиденциальными данными с помощью систем мониторинга информации. Сейчас мы расширяем функционал нашей системы InfoWatch Traffic Monitor Enterprise для того, чтобы новые возможности системы позволяли осуществлять мониторинг активности сотрудников и состояния систем для раннего обнаружения потенциальных угроз утечки информации, как то подготовка к сговору, саботажу, краже информации. Это новое слово в информационной безопасности, вполне в духе современных трендов больших данных, которые позволяют делать выводы на основе анализа множества различных, на первый взгляд не связанных между собой событий.
— Как с кражей данных борются на Западе?
— Я бы не сказала, что западные компании широко применяют какие-то средства защиты информации, которых не используют российские. В области информационной безопасности мы не отстаем от мирового рынка и вполне находимся в тренде.
Я бы даже отметила, что среди российских офицеров информационной безопасности больше тех, кто зациклен на тотальной защите и предпочитает устанавливать много разнообразных ИБ-систем, не согласуясь с целесообразностью их применения. Да и, откровенно говоря, воровство корпоративной информации в западных компаниях (особенно банках) не носит столь масштабного характера, как в России. Дело в том, что европейские и американские банки имеют устоявшиеся финансовые системы с насыщенным рынком. И в такой ситуации перетекание клиентов из одной организации в другую минимально.
В России закредитованность населения составляет лишь 30%, тогда как, например, в США этот показатель составляет 90%, если не все 100%! Соответственно, у нас возможны массовые перетекания клиентов из одного банка в другой на более привлекательных условиях, а также огромная вариативность по процентным ставкам.
На Западе разница в процентной ставке для случайных и "своих" клиентов составляет не более 1,5%, а у нас вариативность ставок в зависимости от банка может колебаться от 9% до 40%! Кроме того, в России финансовая грамотность населения пока невысока, что также способствует более легкому переходу клиента из одного банка в другой.
Также на Западе большинство банковских продуктов привязано к какой-либо покупке, например автомобилю, недвижимости. Соответственно, приобретение конкретного автомобиля или квартиры привязано к определенной услуге конкретного банка — у вас просто не будет выбора, если вам нужна именно данная машина или жилье. Весь рынок четко поделен, финансовые организации объединены в альянсы, все банковские продукты запакетированы. Сделано все для сведения любых рисков к минимуму. Но даже при этих условиях риски потери конфиденциальной информации высоки. И мы постоянно видим в СМИ новости о хищении той или иной клиентской базы. Так что средства защиты от утечек, увы, будут полезны всем!
Любительские утечки
Максим Волков, директор департамента информационных технологий ООО "КБ "Судостроительный банк"", не сомневается, что основной канал утечки данных из банка — это сотрудники.
Ответственные лица должны трижды подумать, основательно проверить сотрудника, прежде чем предоставить ему доступ к "чувствительным" данным. Именно об этом и говорят стандарты информационной безопасности, как рекомендованные ЦБ, так и внутрибанковские документы. Случаев промышленного шпионажа в СБ-банке не было. Если же говорить о случайном раскрытии данных или "любительской" утечке, то технические средства контроля здесь играют наиважнейшую роль. Эти меры, в частности, затрагивают отключение USB-устройств, контроль отправляемой электронной почты, доступа к файлам и информационным ресурсам, контроль пребывания на рабочем месте во внерабочее время и т. д. и т. п. Средства обеспечения информационной безопасности включают регулярные инспекции рабочих мест сотрудников, настройку политик в Active Directory и в ПО брандмауэра, учет фактов доступа к чувствительной информации, использования криптографических средств при передаче данных и прочее. Сама по себе задача контроля и недопущения утечек довольно многоплановая. Очевидно, что при современном уровне развития фотографического дела в мобильных телефонах останавливать работу нельзя ни на день. Защита информации — это не единовременная акция, а ежедневная кропотливая работа.
Мягкое увольнение
По мнению Гульнары Романовой, начальника управления по работе с персоналом ЗАО "Коммерческий банк "Росэнергобанк"", сохранить лояльность увольняемого работника к банку можно и нужно.
Увольнение по инициативе работодателя несет в себе большие риски для организации, допустим, разглашение финансовой информации, создание стрессовой ситуации в коллективе, когда негатив транслируется на коллег, появление озлобленных отзывов о банке на сайтах и т. д. Поэтому первое, что нужно сделать,— донести информацию до сотрудника так, чтобы он понял причину принятия такого решения и по возможности принял ее. Помимо обязательных выплат в таких случаях, согласно ТКРФ, увольняемому работнику работодатель может помочь в поисках новой работы.
Мягкое увольнение, или так называемый аутплейсмент, становится все популярнее среди отечественных работодателей, так как решает сразу несколько задач: снижает уровень напряженности у сотрудника, позволяет сохранить лояльность и показать человеческое лицо работодателя.