Н.В. ЛЕГКОДИМОВ

Структура любой современной организации предполагает передачу все большего числа функций на исполнение сторонним организациям - аутсорсерам, сохраняя при этом зависимость от более традиционных поставщиков услуг, - маркетинговых фирм или компаний, предоставляющих услуги по размещению на своем веб-сервере корпоративного веб-сайта (так называемый хостинг). В статье говорится о возникающих при этом информационных рисках.

Н.В. ЛЕГКОДИМОВ, старший менеджер отдела управленческого консультирования и информационных технологий, КПМГ в России и СНГ

Сегодня крупный банк может привлекать со стороны услуги по целому ряду функций как по традиционным направлениям - ИТ, центры обработки звонков, юридические и аудиторские фирмы, бизнес-консультанты, - так и по функциям, ранее находившимся в ведении банка (коллекторская функция, услуги организаций типа "брокер-дилер", печать и доставка финансовых документов, процессинг трансакций по пластиковым картам, услуги депозитария и т.д.). У западных банков, привычных к услугам аутсорсинга, данный список, как правило, намного шире и включает в себя широкий спектр корпоративных функций от расчета компенсаций и социального пакета до учета кредиторской задолженности и проверок сведений, касающихся прошлого кандидатов.

Установление отношений с поставщиками услуг

В России, к сожалению, практика установления отношений с этими и другими поставщиками на сегодняшний день такова, что заключение контрактов и различных соглашений часто находится в зоне ответственности непосредственно бизнес-подразделения. Хотя договоры, как правило, перед заключением проходят через бухгалтерию и юридическую службу, они не всегда регистрируются даже в службе закупок, не говоря уже о привлечении к его рассмотрению служб экономической и внутренней безопасности банка. Централизованная оценка рисков по взаимодействию со сторонними организациями и с поставщиками если и производится, то поверхностно, лишь на уровне анализа финансовой и репутационной состоятельности контрагента, причем риски информационного взаимодействия часто остаются без внимания.

Даже в тех случаях, когда договоренности с поставщиками четко регламентируют так называемые уровни сервиса в SLA-соглашениях, вопросы информационной безопасности в них, как правило, не включаются. Аналогичным образом выглядит ситуация и с включением условий информационной безопасности в коммерческие договоры: обычно дальше общего обязательства сохранять конфиденциальность данных (и с недавних пор в свете Федерального закона N 152-ФЗ - обязательства по персональным данным и их обработке) дело не идет.

Но эти риски могут быть весьма существенными, и игнорировать их было бы легкомысленным. По результатам ежегодного глобального исследования, проводимого компанией КПМГ (KPMG Data Loss Barometer), в 2009 г. 11% всех утечек данных было связано с поставщиками и сторонними организациями. Кроме того, банки становятся жертвой таких утечек чаще, чем организации многих других отраслей. Согдасно оценкам этого же исследования, финансовая индустрия занимает 2-е место по инцидентам информационной безопасности с участием поставщиков, отставая в этом "соревновании" только от правительственного сектора (и опережает, например розничный сектор и телекоммуникации).

На Западе, где существуют многолетние традиции уведомления широкой публики об имевших место инцидентах (поддерживаемые, в первую очередь, банковскими и иными регуляторами), много шума за последние несколько лет наделали крупные утечки данных, случаи компьютерного мошенничества и другие ситуации, связанные с информационной безопасностью. Отмеченный многими всплеск публикаций на эту тему зачастую связан не только с возрастающей сложностью технологий и соответствующих информационных рисков, но и с подогретым интересом западной публики вкупе с обострившимся вниманием к этой проблеме регуляторов и журналистов. Тем не менее такого рода информацию не стоит игнорировать.

СПРАВКА

Примеры серьезных утечек информации

Крупный ирландский банк отправил 15 тыс. платежных поручений по неверным адресам из-за технической ошибки.

Поставщик, работавший с крупным нью-йоркским банком, утерял резервную магнитную ленту с данными о номерах социального страхования и банковских счетах 4,5 млн клиентов банка. Поставщик, хранивший у себя базу данных сотрудников крупной страховой компании из Массачусетса, признал утечку данных. Более чем 100-килограммовые мусорные ящики с клиентскими распечатками, оставленные на ночь за пределами банковского офиса для контрактора, уничтожающего бумажные документы, были похищены.

Два крупных немецких банка производят замену более чем 100 тыс. кредитных карт из-за утечки данных через их поставщика, находящегося в Испании.

Уже в нынешнем году в США "неизвестный доброжелатель" анонимно выслал в FINRA (Агентство по регулированию финансовой индустрии] пароли доступа к системе управления портфелями крупного страхового и инвестиционного холдинга. Эта утечка предположительно затронула более 1 млн клиентов. Представители компании сообщили, что пароли к системе, в соответствии с внутренней политикой холдинга, хранились конфиденциально, но были известны ряду аффилиированых структур.

Список можно было бы продолжить. Хотелось бы подчеркнуть, что зачастую подобные утечки связаны напрямую с утерей носителей данных поставщиками, относящимися к клиентским данным без должного внимания. Помимо репутационного ущерба, налагаемых штрафов и судебных издержек суды часто обязывают компании оплатить жертвам утечек мониторинг их кредитного рейтинга на некоторый период (как правило, на год или два).