С пугающей частой появляются сообщения об утечках данных из банков. Осенью 2019 года под удар кибераферистов попали крупнейшие кредитные организации страны — Сбербанк и Альфа-банк. Почему банки «теряют» данные клиентов, зачем они мошенникам и чего стоит опасаться гражданину, чья персональная и финансовая информация продана на черном интернет-рынке?
В октябре в даркнете появилось объявление о продаже персональных данных 60 миллионов клиентов Сбербанка. Впоследствии кредитная организация признала факт утечки данных, но только 5 тысяч клиентов. Служба безопасности быстро нашла виновника «слива». Им оказался руководитель сектора в одном из бизнес-подразделений, имевший доступ к базам данных. Глава Сбербанка Герман Греф назвал ситуацию «внутренним предательством».
В начале ноября еще одно, похожее объявление. На этот раз «на прилавке» оказались данные владельцев кредитных карт Альфа-банка. Продавец утверждал, что может предоставить информацию о 3,5 тысячах держателей карт и еще почти 3 тысячах клиентов «АльфаСтрахования».
В выставленных на продажу документах якобы были ФИО, номера телефонов, паспортные данные, адреса регистрации, кредитные лимиты клиентов. При этом, как сообщило РБК со ссылкой на неназванные источники, в договорах не были указаны номера карт и CVV-коды, что исключило прямой доступ мошенников к деньгам.
В Альфа-банке подтвердили факт утечки данных, но не 3,5 тысячи, а 15 клиентов. При этом в банке подчеркнули, что нарушения защиты корпоративной информационной системы банка не было, и сейчас идет внутреннее расследование для выявления причин утечки.
Ротозеи в банках?
Не всегда за утечкой данных стоят целенаправленные действия или злой умысел сотрудников. Порой работники могут стать невольными передатчиками информации о клиентах, прокомментировал «Известиям» старший контент-аналитик «Лаборатории Касперского» Татьяну Щербакову.
Например, мошенники присылают на почту банковским специалистам письма с предложением пройти тест на знания и навыки. Когда сотрудник проходит по ссылке на якобы HR-портал, его просят авторизоваться: ввести логин и пароль от рабочей почты.
Дальше все просто: с логином и паролем мошенники получают доступ к переписке. Если документы с персональными данными клиентов пересылаются в открытом виде, то злоумышленники тут же скачивают их.
В большинстве случаев сохранность данных зависит от ответственности и здравого смысла сотрудника банка, согласился с Щербаковой специалист в сфере IT-безопасности финансового сектора Виктор Маленков.
«Банковские системы достаточно хорошо защищены от внешнего воздействия. И при соблюдении сотрудниками всех должностных инструкций, правил и требований информационной безопасности сложность взлома увеличивается. В большинстве банков сотрудникам запрещается передавать любые сведения, обеспечивающие доступ к базам данных финансового учреждения, и тем более вводить их на сторонних ресурсах», — прокомментировал Маленков Sibnet.ru. Невероятная комбинация: как создать надежный пароль
Директор департамента информационной безопасности банка «Открытие» Владимир Журавлев также считает, что на 100% обезопаситься от утечки персональных данных невозможно, всегда будут существовать какие-то риски. Хотя любая кредитная организация тщательно подходит к подбору персонала и внедряет дополнительные системы контроля по обращению с персональными данными своих клиентов.
«Наш банк использует DLP систему, а также применяет принцип разграниченного доступа к персональным данным, ведение подробного логирования действий сотрудников при работе с данными клиентов. Но даже совокупность всех этих мер, к сожалению, не может предотвратить, например, фотографирование недобросовестными сотрудниками экранов мониторов с персональными данными или выписывание персональных данных на лист бумаги», — ответил эксперт на вопрос об уязвимостях систем безопасности.
Кому нужны ворованные данные?
Использовать персональные данные, по словам Маленкова, можно несколькими способами. И чем больше детализирована информация, тем выше будет ее ценность на «черном рынке».
«Если там только фамилия, имя и отчество (в украденных данных), то с этим особо ничего и не сделаешь. Но любая дополнительная информация о человеке дает недобросовестным людям большие возможности. Если, например, есть номер телефона, номер карты и счета, это уже дает шанс использовать данные для незаконного обогащения», — объяснил он.
Например, теоретически возможно продублировать SIM-карту клиента, отключив «симку» настоящего владельца, и вывести деньги с банковской карты через мобильный банк, мобильное приложение. Но этот способ редко используется киберпреступниками, так как у сотовых операторов тоже есть системы защиты данных.
Как понять, что звонит мошенник >>«Скорее всего, мошенники используют информацию одним из самых распространенных способов... Просто позвонят, представятся сотрудником банка. А когда человеку звонят "из банка" и называют не только его имя, но и паспортные данные, номер карты и так далее, то вероятность того, что он поверит мошенникам, увеличивается», — сказал Маленков.
По данным собеседников, сейчас чаще всего похищают деньги у клиентов банков с помощью социальной инженерии (получение нужных данных без использования технических методов). И количество пострадавших постоянно растет.С меньшей степенью вероятности данными с «черного рынка» воспользуются банки-конкуренты. Во-первых, их деятельность жестко регламентируется законом и контролируется надзорными органами.
«Вряд ли серьезное кредитное учреждение, соблюдающее законы и заботящееся о своей репутации на рынке, станет рисковать. Во-вторых, как это будет проходить по бухгалтерии у финансовой организации? Статья расходов какая будет? Покупка информации о конкурентах на "черном рынке"?», — задался вопросом Маленков.
Кто ответит за утечки?
Утечка данных клиентов несет не только большие репутационные, но и прямые финансовые потери для банка, добавил директор «Сибирской юридической компании» Сергей Карпекин.
«Если произошла такая утечка, то банк или аналогичная организация, которая является оператором данных, несет два вида ответственности. Во-первых, за сам факт утраты этой информации, если о нем стало известно и если он подтверждается, регулирующий орган (Роскомнадзор) привлекает финансовую организацию к ответственности и штрафует», — сказал юрист.
Второе — это ответственность перед пострадавшим клиентом, если и использование утраченной информации нанесет ему материальный ущерб или моральный вред.
Однако юрист предупредил — это не означает, что все, чьи данные «утекли» из банков, могут поспешить за компенсацией от кредитного учреждения. Как управлять деньгами с помощью мобильника«Если никаких действий на использование данных с последующим нанесением вреда или ущерба не было, то особо обращаться не с чем. Но если выяснится, что какая-то полузаконная, полулегальная структура начнет использовать данные во вред клиента: звонить по ночам, предлагать услуги, рассылать спам, то теоретически можно предъявить моральный вред», — предположил собеседник в разговоре с Sibnet.ru.
Но в любом случае потребуется доказать прямую взаимосвязь потери данных банком и мошенничества, в результате которого клиент лишился денег. «Если удастся установить причинно-следственную связь, что именно те данные, которые были проданы на "черный рынок", способствовали совершению мошеннических действий и причинению ущерба, тогда можно привлекать банк к ответственности. Но, думаю, что доказать это будет крайне сложно», — резюмировал Карпекин.