Банковское обозрение

Финансовая сфера


17.03.2020 Best-practice
Данные в опасности

В октябре 2019 года Банк России опубликовал отчет о работе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), впервые раскрыв официальное число утечек персональных данных. Информация неутешительная: за первую половину текущего года было обнаружено около 13 тыс. предложений о покупке или продаже баз данных. И,В 12% случаев речь шла о базах кредитно-финансовых организаций. Давайте разберемся, что это значит для банков и их клиентов


Илья Тихонов
Руководитель направлений «Аудит» и «Комплаенс» департамента информационной безопасности группы компаний Softline

Как происходят утечки?

Сразу оговоримся: когда мы слышим об утечках персональных данных в финансовой сфере, скорее всего, речь идет о микрокредитных организациях и удаленных «точках кредитования», расположенных в торговых центрах. Крупные инциденты, такие как утечка базы данных клиентов Сбербанка, произошедшая в конце сентября, случаются крайне редко и быстро предаются огласке, что позволяет банку оперативно провести внутреннее расследование и найти виновных, а также сообщить клиентам о масштабах и возможных мерах предосторожности. Важно знать, что в руки злоумышленников почти никогда не попадают базы данных, которыми можно воспользоваться для прямого хищения денег со счета. Ключевая информация — пароли, CVC и прочие сведения, позволяющие получить доступ к счетам, — обычно хранится в зашифрованном виде. Мошенники могут использовать такие массивы данных для проработки методов социальной инженерии, например, звонков «от лица представителя банка» и рассылки фишинговых писем.

Финансовые учреждения подчиняются довольно жестким требованиям регуляторов и, как правило, очень ответственно подходят к вопросам обеспечения безопасности. Чаще всего причиной утечек информации в банках становятся не вирусы и хакерские взломы, а действия сотрудников. Работник может открыть фишинговое письмо, забыть закрыть вкладку с конфиденциальной информацией или для удобства переслать письмо себе на домашнюю почту. Важно не менее одного раза в год проводить пентесты (тестирования на проникновение) и оперативно реагировать на выявленные в их ходе угрозы и риски. Нередко хакеры годами используют одни и те же методы, целясь в те организации, которые недостаточно оперативно закрывают уязвимости. Сотрудник может также намеренно вступить в сговор с мошенниками и передать им данные на цифровом или бумажном носителе.

Минимизировать такие риски поможет внедрение решений для контроля за поведением персонала и предотвращения неправомерных действий. Нередко банки применяют политики ограничения доступа сотрудников на использование внешних носителей информации. Распространению данных через почтовые, облачные сервисы и мессенджеры помогают DLP-системы в режиме «блокировки», а устройства для контроля печати позволяют службам безопасности отслеживать, кто из пользователей распечатывает те или иные документы, и оперативно реагировать на возникающую подозрительную активность. Более того, чаще всего само знание о том, что компания контролирует действия сотрудников, может предотвратить преступление: немногие захотят рисковать, зная, что, скорее всего, окажутся пойманными.

Будет ли меняться законодательство?

Любое сообщение о масштабной утечке персональных данных порождает разговоры о возможном ужесточении законодательства в этой области. И они не лишены смысла, так как возникновение инцидентов нередко обусловлено именно отсутствием реального наказания за нарушение закона. Судите сами: сотрудник, передавший базу данных третьим лицам в целях последующей перепродажи, в худшем случае заплатит штраф в несколько десятков тысяч рублей и получит условный срок. При этом организация, в которой он работает, несет огромные репутационные потери, тратит время и средства на проведение внутреннего расследования, а ее клиенты могут стать жертвами мошенничества и потерять крупные суммы со счетов.

С момента принятия Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» меры ответственности за несоблюдение законодательства в этой сфере постоянно ужесточались. Например, в 2017 году были в несколько раз повышены штрафы за невыполнение тех или иных действий, предусмотренных в документе. Постоянно растут требования к внедряемым средствам обеспечения безопасности — как со стороны рынка, так и со стороны регуляторов. Логично предположить, что в ближайшем будущем мы услышим о новых поправках, ужесточающих наказания за невыполнение закона для физических и юридических лиц.

Как уберечь свои деньги?

К сожалению, нередко виновниками утечек персональных данных становятся сами их владельцы. Люди оставляют информацию о себе в социальных сетях, участвуют в сомнительных розыгрышах, совершают покупки на непроверенных сайтах. Озвучу несколько простых правил, которые помогут сохранить деньги, не отказываясь от использования современных банковских сервисов.

Сотрудник, передавший базу данных третьим лицам в целях последующей перепродажи, в худшем случае заплатит штраф в несколько десятков тысяч рублей и получит условный срок

Первое правило — пользоваться услугами только проверенных финансовых организаций. Если нужен кредит, даже небольшой, лучше обратиться за ним в ближайшее отделение банка, не прибегая к услугам микрокредитных компаний, не имеющих лицензии ЦБ РФ и точек кредитования, расположенных в торговых центрах. Работа сотрудников фронт-офиса в крупных банках обычно фиксируется на камеру, компании используют физические и технологические способы защиты документов (сейфы, политики ограничения доступа, системы DLP и прочие). Действия сотрудников удаленных точек часто никак не контролируются, а документы нередко хранятся без сейфа.

Не стоит хранить все сбережения на одном счете. Для онлайн-шопинга стоит завести отдельную карту и пополнять ее по мере необходимости. Даже если мошенники получат доступ к вашему счету, они не смогут лишить вас всех сбережений.

Один из излюбленных мошенниками методов хищения средств со счетов физлиц — это метод социальной инженерии. Злоумышленники пользуются наивностью жертв, застигнув их врасплох. Для того чтобы совершить звонок «от службы безопасности банка», достаточно знать ФИО и номер телефона, а любую уточняющую информацию (уровень дохода, название банка или страховой компании, услугами которой вы пользуетесь) легко почерпнуть из аккаунтов в социальных сетях. Поэтому надо фильтровать информацию, которую вы размещаете в открытых источниках, и помнить о том, что любые сведения о вас могут оказаться в руках злоумышленников. Не стоит также участвовать в опросах и розыгрышах, где требуется ввести персональные данные (номер телефона, данные карты, паспортные данные). Такие ресурсы могут собирать сведения для дальнейшей перепродажи.

Еще один совет — не передавайте конфиденциальную информацию организации, в чистоплотности которой вы не уверены. Если в каком-то учреждении вас просят оставить копию паспорта или другого документа, вы можете запросить разрешение на хранение и обработку персональных данных. Вам обязаны его предоставить. Нередко мы соглашаемся на передачу сведений, не зная, где и как они будут храниться и обрабатываться, как защищаются работающие в учреждении персональные компьютеры.

Мошенников с каждым годом используют все более изощренные методы. Если еще недавно звонки «от службы безопасности» совершались с обычных мобильных, то теперь хакеры научились подделывать номера единых справочных. Поэтому любое сомнение в чистоплотности собеседника должно стать поводом для прекращения разговора и перепроверки информации. Например, получив звонок с информацией о подозрительном переводе с вашего счета, положите трубку, самостоятельно проверьте баланс в онлайн-банке и при необходимости перезвоните по номеру, указанному на оборотной стороне вашей карты. Перехватить входящий звонок мошенники не смогут.




Сейчас на главной