Председатель совдира "СерчИнформ" рассказал о способах остановки утечки персональных данных из банков

Председатель совета директоров "СерчИнформ" в своей статье для Forbes рассказал о способах остановки утечки персональных данных клиентов банков.

Дня не проходит, чтобы в новостях не сообщили, что очередной клиент пообщался с "сотрудником» банка и расстался с энной суммой денег. А примерно раз в месяц СМИ рассказывают о "новом способе мошенничества", который изобрели злоумышленники. На деле ничего нового в этих способах нет. Вся новизна — в объеме подробностей о жертве, которые теперь злоумышленники используют для своих манипуляций. Это делает их атаки более точечными и действенными.

Утечки персональных данных стали универсальной проблемой. Одинаково незащищенными оказались и бабушка с пенсионной карточкой, и олигарх с платиновой. Информация о каждом гуляет в даркнете. Только стоит разных денег.

ЧТО И ПОЧЕМ?

Главные поставщики информации — инсайдеры. В паре со злоумышленником на стороне они составляют настоящую боевую ячейку. «Вербовочные» сервисы работают в русскоязычном сегменте даркнета практически открыто. Через них вербовщики договариваются с сотрудниками банков, которые поставляют информацию о клиентах. Предложения разнообразны. В даркнете можно купить:

  • готовую базу;
  • базу по конкретным параметрам, например, держатели карт крупного банка с остатком на карте 100 тысяч рублей. Работают по схеме "вечером деньги, утром архив";
  • информацию по VIP-клиентам с выборкой по региону, городу, профессии.

Стоимость так называемого пробива зависит от «дырявости» банка, объема запрашиваемой информации и должности инсайдера. Чем серьезнее должность и уровень доступа, тем дороже услуги.

Аналитики "СерчИнформ" выяснили, что в среднем за пробив состояния счета жертвы берут от 5000 до 15 000 рублей. Срок исполнения — от нескольких минут до недели с момента получения оплаты. Самое дорогое предложение по "пробиву банковской информации", — 300 000 рублей за данные по конкретному человеку из всех банков РФ.

Но такие "гибридные атаки" — только вершина айсберга. Инсайдеры часто и сами организуют схемы. Вот примеры кейсов, которые встречаются в судах по уголовным статьям 159.6 (мошенничество), 183 (незаконное разглашение сведений), 272 (неправомерный доступ к компьютерной информации): сотрудники снимают деньги со счетов, о которых клиент, вероятно, забыл; подменяют телефонные номера в карточках клиентов, чтобы незаметно вывести деньги; открывают счета на клиентов, чтобы "прогонять" по ним деньги. Из самого безобидного — сообщения "по дружбе" о том, сколько денег на счете у бывшего мужа.

КОРЕНЬ ПРОБЛЕМЫ

Есть несколько пробелов в регулировании, которые не мотивируют банки защищать данные от утечек по вине сотрудников. Во-первых, стандарты и рекомендации описывают требования по защите персональных данных рамочно.

Например, в ГОСТе "Безопасность финансовых (банковских) операций…", а также в рекомендации "По предотвращению утечек информации» говорится о необходимости контроля только четырех каналов перемещения информации — почты, веб-трафика, принтеров и устройств хранения. Это устаревший список, он не соответствует тому, как организованы бизнес-процессы в банках сегодня. Сотрудники используют куда большее число каналов, от облаков до веб-версий мессенджеров.

Но даже эти рамочные требования не являются директивными. Про рекомендации все понятно из самого названия. А вот что касается стандарта, то большая проблема заключается в методике, которая описывает процесс поверки исполнения требований стандарта. В ней нет ни единого слова о том, что ЦБ контролирует, внедрены ли в банках системы защиты от утечек данных. Это один из примеров, описывающий, насколько схематичны документы, которыми руководствуются российские банки, защищая персональные данные.

В такой ситуации лишь малая часть "сознательных банков" прислушиваются к рекомендациям и делают для защиты данных все, что нужно. Остальные рассуждают: "За это не штрафуют» — и надеются на русское "авось обойдется".

ЧТО ДЕЛАТЬ

По данным VMware, только 25% банков и страховых компаний в России и СНГ внедряют инновации параллельно с защитными решениями. Таковы жертвы цифрового прогресса: чтобы быть конкурентоспособными, банкам приходится внедрять технологии быстрее, чем защитные механизмы.

Но выявлять нарушителей, собирать доказательства вины и принимать меры — задача хоть непростая, но и не фантастическая. По сути необходимы два элемента: качественные программные комплексы для защиты данных и профессиональная служба безопасности.

Однако и без "волшебного пинка" регулятора никак не обойтись. Рекомендации должны перейти в разряд директив, иначе россиянам и дальше придется гадать, относится ли его банк к четверти самых ответственных и в безопасности ли его данные. Пока же каждому клиенту банка остается только надеяться, что никто не решит его "пробить", и внимательнее относиться к звонкам от сотрудников банков.

Ситуация становится тем опаснее, что в прошлом году кредитные организации начали собирать биометрию. И если начнут утекать образцы нашего голоса или сетчатки глаза — проблема выйдет на новый уровень, тогда как мы еще не защитились на предыдущем.