Кто виноват в утечках персональных данных?

Некоторое время назад средствам массовой информации стало известно об утечке персональных данных 900 тысяч клиентов «ОТП-Банка», «Альфа-банка» и «Хоум Кредит Энд Финанс Банка». Имена, адреса, телефоны и паспортные данные клиентов оказались в открытом доступе. По итогам этого происшествия в ТАСС состоялась пресс-конференция в формате круглого стола «Защита персональных данных: стратегия банков, способы сохранности, новые вызовы в сфере информационной безопасности».

– Мы приглашали представителей этих банков принять участие (в пресс-конференции, – прим. ред.), рассказать, но, как видите, их здесь нет, – сказала Виктория Кладиева, ведущая и продюсер конференций пресс-центра ТАСС.

Проблема будет нарастать

– Проблема будет идти по нарастающей. Чем больше мы входим в эпоху значительного электронного взаимодействия, тем больше стремлений в эту систему вторгнуться у злоумышленников, – сказал президент Ассоциации российских банков Гарегин Тосунян. – Причины могут быть и другие, связанные с ошибками в разработке программного обеспечения, намеренным изменением ПО со стороны тех, кто этим занимается, чтобы потом зарабатывать. И настройка ПО может быть некачественной, и несанкционированное внедрение вредоносных программ…

Со всем перечисленным банковский сектор постоянно имеет дело, сказал глава АРБ. Расширяется как спектр рисков в сфере информационной безопасности, так и инструментарий противодействия.

– Те сбои, которые имели место быть, – они, конечно, вызывают массу вопросов, и в то же время на них, уверяю вас, и каждый банк, и система в целом, и регулятор в особенности, ищем решение и в той степени, в которой это возможно, максимально доводим не только до клиентов, не только до общественности, но и вовлекаем в это специалистов, – сказал Гарегин Тосунян.

Комментируя конкретный июньский инцидент, глава АРБ допустил вероятность недобросовестной конкуренции, криминальных мотивов, равно как и того, что персонал этих организаций обнародовал данные в качестве выражения протеста или недовольства.

По мнению заместителя руководителя службы информационной безопасности банка «Возрождение» Василия Окулесского, речь однозначно идёт об инсайде (утечках «изнутри», то есть допущенных при непосредственном участии сотрудников банков). По его сведениям, произошедший инцидент можно подразделить на три кейса, первый из которых (утечка данных 800 тысяч клиентов) вызван «чистой безалаберностью», а оставшиеся два представляли собой преднамеренные действия.

В пресс-центре ТАСС.
Фото: Альберт Тахавиев, Finversia.ru

Делал селфи или фотографировал экран?

Руководитель комитета АРБ по информационным и интернет-технологиям, член совета директоров банка «Юнистрим» Олег Скворцов напомнил, что нередко сотрудники банка хотят использовать базу данных для своих личных бизнес-целей либо продать их.

– Например, управляющий какого-то отделения или vip-менеджер увольняется, он выводит на экран компьютера базу своих клиентов, фотографирует на телефон, отправляет в WhatsApp, после этого чистит память от фотографий, и, в принципе, это можно выявлять только при постоянном видеонаблюдении над сотрудником. Да и то – он может сказать, что делал селфи, а не фотографировал экран.

Решение этой проблемы лежит в сфере технологий (использования систем управления взаимоотношениями с клиентами, англ. Customer Relationship Management, CRM), внутренних процедур и работы с персоналом, уверен Скворцов. В западных системах CRM зачастую нельзя «выгрузить» данные клиентов единым списком или увидеть телефон клиента (можно только нажать кнопку «Позвонить»). Кроме того, нужно разъяснять сотрудникам, что хорошо и что плохо, подчеркнул Скворцов. «Если мы не будем публично наказывать тех сотрудников, которые это делают, то эффекта от разъяснений не будет», – чуть позже высказал свою точку зрения Василий Окулесский.

– Когда в регионах переманивают человека из одного банка в другой, им интересно, чтобы человек не просто пришёл сам, но и привёл своих клиентов, – продолжил тему эксперт «Возрождения». – HR должны уделять повышенное внимание людям, которые замечены в поисках новой работы. Может, ограничивать им доступ к данным, вести аудио-, видеозапись и т.д.

Большой теневой рынок данных

В утечках, само собой, виноваты не только банки. Представитель «Юнистрим» привёл простейший пример: после открытия ООО или ИП всегда получают в течение часа звонок из банка с предложением открыть счёт. Это пример утечки данных, в которой сам банк не виноват, но охотно ею пользуется.

Скворцов рассказал ещё один случай из жизни: «Я владелец автомобиля, и мне раз в год начинали звонить страховые компании, чтобы предложить КАСКО. Я получал не менее двадцати таких звонков, и во многом из-за этого я сменил телефон». Об утечках данных из баз некредитных финансовых организаций не так много знают, как об утечках из банков.

По данным компании «Смарт Лайн Инк», инсайдерские утечки данных происходят в 76% случаев через съёмные накопители, 10% – через снимки экранов, 5% – при помощи печати документов на бумажном носителе, 4% – через электронную почту, вэб-почту, 3% – через социальные сети и мессенджеры, 2% – посредством облачных файловых хранилищ.

Олег Скворцов продемонстрировал скриншоты поиска в интернете по запросам: «База персональных граждан РФ купить» и «Купить сканы паспортов граждан России». Предложений оказалось немало (разумеется, не в российской доменной зоне).

– Это большой теневой рынок, – прокомментировал Скворцов.

Огласку получают лишь 1-10% всех утечек, прокомментировал Василий Окулесский.

Среда становится агрессивной

По данным компании DeviceLock, базы персональных данных в формате Exel, содержащие ФИО, пол, телефон, полные паспортные данные, СНИЛС, адрес регистрации и проживания за 2017-2018 годы, продаются по 20-25 копеек за одну запись и используются в основном для рассылки спама.

Скан паспорта вместе с фотографией владельца паспорта продаются по цене от 150 рублей за «комплект», а «набор» из сканов паспорта, СНИЛС, прав и ИНН стоит от 300 рублей. Эти данные могут приобретаться для криминальной деятельности, например, мошеннического получения онлайн-кредитов. Кроме того, в «продаже» имеется услуга под названием «Пробив» – это выписки по счёту клиентов из топ-10 банков по цене от 8000 рублей за месяц или от 10 тысяч рублей за полгода.

Олег Скворцов признался: пока он искал эти данные в интернете, антивирус обнаружил 31 попытку сбора данных про него самого. «Сама среда становится агрессивной, нужно шире об этом говорить», – призвал Скворцов.

Не исключено, что в реализуемых таким образом базах данных содержится достаточно большой объём ложной информации, прокомментировал чуть позже Тосунян.

Пока в системе есть человек – уязвимости будут

– Банковский сектор – наиболее защищённый с точки зрения информационной безопасности среди всех секторов экономики, – сказал Василий Окулесский. – В целом клиенты могут быть спокойны. Но пока в системе есть человек, уязвимости будут.

Кроме того, технические средства защиты иногда оставляют желать лучшего. Обычная ситуация: бизнес-подразделение банка хочет очень быстро и клиентоориентированно развивать новый продукт, а отдел информационной безопасности призывает не перегибать с этим палку (если, конечно, он вообще участвует в обсуждениях). «Весы «безопасность-клиентоориентированность, функциональность» не всегда находятся в равновесии», – сказал Окулесский.

Гарегин Тосунян напомнил, что Банк России предпринимает усилия для защиты клиентов банков от утечек. Участие в информационном обмене между банками стало обязательным. «Сегодня прошла информация, что ряд банков ввёл запрет на рабочем месте на фотографирование с экрана», – добавил Тосунян.

По мнению руководителя АРБ, проблема заключается не только в человеческом факторе или изъянах технологий, но ещё и в культуре общества. «Воровать данные – такое же воровство, как если ты вскрыл квартиру, вынес вещи и идёшь их продавать», – сказал Гарегин Тосунян.

– Наше время диктует создание определённых кодексов, корпоративных политик. Репутационный удар по банку может быть серьёзнее каких-то денежных последствий. поэтому работа с персоналом и подбор персонала должен быть тщательным, – отметил Олег Скворцов.

Москва.