Утечка персональных данных из банков: чья вина и что делать?

Екатерина Зайцева
Июнь25/ 2019
Фото Depositphotos / Dmitriy Shironosov

В конце мая зафиксированы очередные случаи утечки персональных данных. На этот раз пострадали почти миллион клиентов российских банков. Кто виновен и как можно избежать подобных неприятных инцидентов в будущем, эксперты обсуждали в ходе круглого стола в Москве.

Две недели назад отечественные СМИ сообщили о нескольких утечках данных клиентов трех крупных банков: Альфа-банка, ОТП-банка,  «Хоум Кредит Энд Финанс Банка». В открытом доступе оказались паспортные данные, адреса и телефоны 900 тыс. россиян. ЧП послужило поводом для пресс-конференции в формате круглого стола «Защита персональных данных: стратегия банков, способы сохранности, новые вызовы в сфере информационной безопасности», которая прошла в пресс-центре ТАСС 24 июня, рассказывает портал Finversia.

Ведущая и продюсер конференций Виктория Кладиева перед началом мероприятия отметила: пресс-центр ТАСС приглашал представителей этих банков принять участие в мероприятии, но они не пришли.

Не стоит расслабляться

По мнению президента Ассоциации российских банков (АРБ) Гарегина Тосуняна, проблема будет лишь нарастать. Эпоха значительного электронного взаимодействия манит в том числе злоумышленников - они будут стремиться вторгнуться в нее.

«Причины могут быть и другие, связанные с ошибками в разработке программного обеспечения, намеренным изменением ПО со стороны тех, кто этим занимается, чтобы потом зарабатывать. И настройка ПО может быть некачественной, и несанкционированное внедрение вредоносных программ…», - предположил Тосунян.

Он отметил, что банковский сектор регулярно имеет дело со всем перечисленным, поэтому одновременно с расширением спектра рисков в сфере информационной безопасности больше становится инструментов для противодействия мошенникам.

«Те сбои, которые имели место быть, – они, конечно, вызывают массу вопросов, и в то же время на них, уверяю вас, и каждый банк, и система в целом, и регулятор в особенности, ищем решение и в той степени, в которой это возможно, максимально доводим не только до клиентов, не только до общественности, но и вовлекаем в это специалистов», - заверил глава АРБ.

Говоря о последней громкой утечке данных, Тосунян предположил несколько версий инцидента, среди которых:

  • недобросовестная конкуренция;
  • криминальные мотивы;
  • выражение персоналом банков протеста либо недовольства.

Заместитель начальника службы информбезопасности банка «Возрождение» Василий Окулесский не сомневается, что речь идет об инсайде. Утечки однозначно допущены при участии банковских сотрудников. Он якобы располагает сведениями, что обнародование данных 800 тыс. клиентов были вызваны «чистой безалаберностью», тогда как в основе оставшихся двух «кейсов» лежали преднамеренные действия.

Селфи или кража?

Сотрудники кредитных организаций нередко пытаются использовать базу данных для личных целей или для продажи, напомнил член совета директоров банка «Юнистрим» Олег Скворцов, возглавляющий также комитет АРБ по информационным и интернет-технологиям.

«Например, управляющий какого-то отделения или vip-менеджер увольняется, он выводит на экран компьютера базу своих клиентов, фотографирует на телефон, отправляет в WhatsApp, после этого чистит память от фотографий, и, в принципе, это можно выявлять только при постоянном видеонаблюдении над сотрудником. Да и то – он может сказать, что делал селфи, а не фотографировал экран», - пояснил Скворцов.

Эксперт видит решение данной проблемы в сфере технологий, внутренних процедур и работы с персоналом. За рубежом используются системы управления взаимоотношениями с клиентами - Customer Relationship Management (CRM). Зачастую в них невозможно «выгрузить» сведения о клиентах списком, как и увидеть номер телефона. Имеется лишь функция «Позвонить». Также надо разъяснять персоналу разницу между «хорошо и «плохо».

Окулесский в свою очередь рекомендовал публично наказывать провинившихся сотрудников, иначе от разъяснений эффекта не будет. Он также отметил, что в регионах банки нередко переманивают сотрудников у конкурентов. При этом они также рассчитывают на приведенных новичком и клиентов…

«HR должны уделять повышенное внимание людям, которые замечены в поисках новой работы. Может, ограничивать им доступ к данным, вести аудио-, видеозапись и т.д.», - советует эксперт «Возрождения».

Солидный теневой рынок данных

По словам представителя «Юнистрима», в утечках виновны не только банковские организации. Так, после открытия ИП либо ООО субъект в течение часа получает звонок с предложением открытия счета. И хотя банк не имеет отношения к утечке, он охотно использует такой случай.

Скворцов припомнил также опыт из личной жизни. Раз в год ему, как автовладельцу, начинали названивать различные страховые компании с предложением КАСКО. Это послужило одной из весомых причин для смены номера телефона. Но об утечках из баз некредитных организаций общество осведомлено  гораздо хуже, чем о банковских «сливах».

Специалисты «Смарт Лайн Инк» называют съемные накопители причиной 76% инсайдерских утечек данных. В компании называют и другие каналы ухода информации:

  • через снимки экранов -10%;
  • посредством печати документов на бумажном носителе – 5%;
  • через электронную и вэб-почту – 4%;
  • через соцсети и мессенджеры – 3%;
  • при помощи облачных файловых хранилищ – 2%.

Олег Скворцов назвал утечки информации большим теневым рынком. В качестве подтверждения правоты он показал присутствующим скриншоты интернет-поиска по запросам «База персональных граждан РФ купить» и «Купить сканы паспортов граждан России». Предложений было довольно много, причем не в отечественной доменной зоне.

Василий Окулевский добавил, что огласку получают не более 10% от общего объема утечек.

Агрессивная среда

По данным DeviceLock, базы данных в формате Exel продают по 20-25 коп. за запись. Они содержат ФИО,  пол, телефоны, паспортные данные, СНИЛС, адрес регистрации и проживания за 2017-2018 годы, и в основном используются для рассылок спама.

Скан паспорта с фото владельца продают уже по 150 руб., а комплект, куда входит скан паспорта, СНИЛС, права, ИНН – от трех сотен. Такие данные могут приобретать злоумышленники для оформления онлайн-кредитов. Также в «продаже» есть услуга «Пробив», где содержатся выписки по счетам клиентов из крупнейшей десятки банков. Они предлагаются по цене 8 тыс. руб. за месяц либо от 10 тысяч – за полгода.

Скворцов рассказал, что в ходе поиска сведений по теме антивирус выявил 31 попытку сбора данных о нем самом.

«Сама среда становится агрессивной, нужно шире об этом говорить», - считает представитель «Возрождения».

Тосунян позже предположил, что в базах данных на теневом рынке содержится довольно много ложной информации.

Причина уязвимости – человек

Василий Окулесский назвал банковский сектор самым защищенным из всех сфер экономики в плане информационной безопасности. Клиенты финансовых учреждений могут не волноваться за свои средства. Но пока в системе присутствует человек – не удастся полностью нейтрализовать уязвимости.

Порой технические средства защиты оставляют желать лучшего. Вроде бы штатная ситуация, когда банковское бизнес-подразделение планирует быстро развивать новый клиентоориентированный продукт, но отдел информбезопасности призывает коллег не перегибать палку..

«Весы «безопасность-клиентоориентированность, функциональность» не всегда находятся в равновесии», – подчеркнул Окулесский.

Глава АРБ напомнил о предпринимаемых регулятором мерах для защиты клиентов банков от утечек. Теперь участие в информационном обмене стало для банкиров обязательным правилом. Тосунян добавил, что в понедельник появилась информация о запрете некоторых банков на фотографирование экранов рабочих компьютеров.

Гарегин Тосунян, помимо человеческого фактора и несовершенства технологий видит проблему и в культуре самого общества. Воровство данных – такое же преступление как вскрытие квартиры и продажа чужих вещей.

«Наше время диктует создание определенных кодексов, корпоративных политик. Репутационный удар по банку может быть серьезнее каких-то денежных последствий. поэтому работа с персоналом и подбор персонала должен быть тщательным», – заключил Олег Скворцов.

Комментарии

  • Напишите что думаете! Пока комментариев нет...