Банковские утечки: кто их организует и как защититься

4 декабря 2020 Bloomchain | Периодика
Поддержать проект

Элиттрейдер топит за спорт!

Наша лучшая инвестиция - активный образ жизни
Из-за пандемии банки по всему миру перевели своих сотрудников на удаленную работу. Защита домашнего компьютера зачастую слабее офисной, поэтому риск потерять пользовательские данные стал выше. Президент по кибернетическим и интеллектуальным решениям Mastercard Аджай Бхалла оценил потери от кибератак на финансовые организации в $5,2 трлн, а риски, связанные с ними, назвал главной угрозой доверию со стороны клиентов. Из-за этого банки и финтех-сервисы увеличивают расходы на информационную безопасность: по данным Deloitte, в 2020 году они выросли в среднем на 15%, а в следующем году станут еще больше.

Bloomchain выяснил, кто, как и зачем похищает данные, и что могут сделать банки и пользователи, чтобы себя защитить.

Что интересно мошенникам
Больше всего злоумышленников интересуют персональные данные клиентов и их счета. По словам основателя сервиса разведки утечек данных DLBI Ашота Оганесяна, самой ценной считается информация об остатках и транзакциях по счету. «Она используется в разных мошеннических схемах – от телефонных звонков «службы безопасности» до перехвата управления счетами с помощью поддельных доверенностей или замены SIM-карт», – рассказал он Bloomchain.

Основной спрос на слитые данные формируют сотни криминальных колл-центров, отмечает Оганесян. По его словам, они обзванивают владельцев счетов под видом сотрудников банков и пытаются получить SMS-коды подтверждения транзакций.

«Достаточно часто похищенные данные используют продавцы из банков-конкурентов, которые пытаются выйти на клиентов со своими «эксклюзивными предложениями». В редких случаях данные покупают мошенники, которые специализируются на крупных счетах и похищают средства с помощью поддельных документов и электронных подписей», – добавляет Оганесян.

Как злоумышленники получают доступ к данным
Данные утекают по разным причинам. Условно их можно разделить на две большие группы: намеренные и ненамеренные. В первом случае речь идет о работе «инсайдеров» – чаще всего это сотрудники банков, которые сознательно идут на преступление и продают данные на черном рынке. Во втором – о случайной ошибке работника или бреши в безопасности.

Известный пример работы инсайдеров произошел в октябре 2019 года, когда в сеть утекли актуальные данные о 5 000 держателей кредитных карт Сбербанка. Виновного в утечке потом нашли – базу продал 28-летний руководитель в одном из бизнес-подразделений банка, у которого был доступ к данным.

По словам Оганесяна, в России утечки с участием инсайдеров происходят примерно раз в месяц. «На рынке есть как минимум десяток продавцов, которые работают с до сих пор не выявленным и постоянно действующим каналом [инсайдером]. Они предлагают как базы данных в объеме до десятков тысяч записей в месяц, так и услуги по «пробиву» конкретных клиентов банков», – отмечает он. По его оценке, ущерб от действий инсайдеров достигает нескольких миллиардов рублей ежегодно.

Банковские утечки: кто их организует и как защититься

Самые распространенные способы хищения персональной информации инсайдерами. Источник: Смарт Лайн Инк

Иногда информацию о пользователях «сливают» не отдельные сотрудники, а целые компании. Чаще всего это банки или финтех-сервисы – они передают данные тем, кто может на этом заработать.

Недавно приложение для трейдеров Robinhood поймали на продаже информации компаниям с Уолл-стрит, которые используют данные о сделках для спекуляций на рынке высокочастотной торговли. Это обернулись для сервиса скандалом и штрафом в $10 млн.

Однако чаще всего утечки данных происходят не по чьему-то злому умыслу, считает начальник отдела информационной безопасности компании SearchInform Алексей Дрозд. «Судя по нашим опросам представителей финансовой сферы, инциденты чаще происходят непреднамеренно. Даже хакеры предпочитают не штурмовать хорошо защищенную инфраструктуру, а использовать человеческий фактор во всех его проявлениях», – рассказал он Bloomchain.

Алексей Дрозд считает, что чаще всего причинами непреднамеренных утечек персональной информации из банков случаются:

если в проектировании банковских систем и сервисов есть ошибки или уязвимости – по большей части их допускают стартапы, в которых вопросам безопасности уделяют недостаточно внимания;

когда администраторы случайно открывают доступ к серверу или забывают ограничить доступ к резервным копиям данных;

из-за «инсайдеров поневоле» – сами того не желая сотрудники становятся жертвами социальной инженерии и, как следствие, точками входа для хакеров.


Как чаще всего совершают атаки на финансовую отрасль. Источник: Positive Technologies

Как банки и финтех-компании борются с утечками данных
Пока в России нет законодательных норм, которые обязывают банки и финтех-сервисы выполнять какой-либо набор действий для защиты пользовательских данных, – но есть рекомендации Центробанка (.pdf).

Алексей Дрозд считает, что предложения Банка России для защиты от утечек данных в целом отвечают сегодняшним угрозам. Среди рекомендаций ЦБ:

аудит инфраструктуры и внутренних процессов, который позволяет банку найти основные «болевые точки» своей системы безопасности;

следование концепции security by design – она подразумевает, что при разработке сервисов должны быть предусмотрены не только функциональность и удобство, но и безопасность;

участие в программах Bug bounty или создание собственных команд по поиску уязвимостей;

контроль, расследование инцидентов и неотвратимость наказания, которые должны сдерживать сотрудников от совершения преступлений.

В одной из таких директив рекомендуют использовать специальное программное обеспечение, которое защищает внутренние системы от внешних атак. Они называются DLP-системами – от англ. Data Leak Prevention или предотвращение утечек. «На деле банки часто не готовы внедрять DLP просто по рекомендации. К тому же, даже то программное обеспечение, которое уже есть в организации, может быть установлено в недостаточном объеме или обслуживаться ненадлежащим образом. Это повышает риск утечек», – отмечает Алексей Дрозд.

Требования регулятора носят лишь рекомендательный характер, но несмотря на это, кредитно-финансовая сфера в России остается одной из самых защищенных с точки зрения информационной безопасности. По словам Дрозда, внешние атаки на финансовые системы организаций становятся все более дорогим удовольствием: отечественные банки тратят большие деньги на защиту данных и нанимают в штат квалифицированных специалистов.

«На фоне этого внутренний фактор [утечек] становится все более значимым. Тем более, что в этой части регулятор не так требователен – рекомендации по защите от инсайдерских сливов есть, но это не директивы. Поэтому на мой взгляд, от внешних злоумышленников банки сейчас защищены лучше, чем от внутренних», – отметил Алексей Дрозд в разговоре с Bloomchain.

По данным InfoWatch, в 2019 году количество утечек в российских финансовых компаниях выросло на 58% и достигло 13% от общего количества подобных инцидентов в стране. За этот же период во всем мире количество утечек увеличилось на 8%. Такая разница объясняется эффектом низкой базы – в России только недавно стали фиксировать подобную статистику. Общий мировой объем утечек персональных данных и платежной информации в 2019 году вырос более чем в 27 раз и насчитывал 1,04 млрд пользовательских записей.


Типы утечек данных в финансовых организациях в России и в мире в 2019 году. Источник: InfoWatch

Что говорит закон
Важный элемент защиты персональной информации – это то, каким образом банки и финтех-стартапы получают разрешение на ее обработку. По словам руководителя компании «IT-Юрист» Алексея Шаталова, в этом направлении российское законодательство проработано достаточно подробно и защищает клиентов финансовых организаций как от сбора избыточной информации, так и от незаконной передачи собранных данных третьей стороне.

«Согласие человека – основополагающий акт любой обработки данных. В банках его берут, как правило, в письменной форме. Однако это не означает, что клиенту могут просто «подсунуть» на подпись этот документ и обрабатывать любые данные, которые предоставил человек», – рассказал Шаталов Bloomchain.

По его словам, персональные данные, которые собирают компании, должны соответствовать целям их обработки. К примеру, если нужно проверить кредитную историю человека, то банку незачем обрабатывать данные о его вероисповедании. Обработка персональных данных без согласия владельца запрещена. И даже если клиент дал согласие, но передумал, его всегда можно отозвать.

Все эти нормы можно найти в законе о персональных данных, и в целом они схожи с правилами других стран, добавляет Шаталов.

Ответственность за нарушение о защите персональных данных в России:

административная – штраф от 1000 ₽ до 800 000 ₽ для физических лиц, от 30 000 ₽ до 18 000 000 ₽ для юридических (ст. 13.11 КоАП РФ);

уголовная – от крупного штрафа до лишения свободы на пять лет (ст. 137, 140 272 УК РФ);

гражданско-правовая – возмещение убытков и компенсация морального вреда, как правило в размере от 5000 ₽ до 30 000 ₽ (ст. 15, 151 ГК РФ);

дисциплинарная – увольнение, замечание или выговор (ст. 81, 90, 192 ТК РФ).

Единственное важное отличие между российскими и европейскими нормами в том, насколько свободно финансовые организации могут распоряжаться полученной информацией. Речь идет о продаже данных третьим сторонам – например, маркетинговым партнерам.

В Европе действует Регламент по защите персональных данных – General Data Protection Regulation, GDPR. Он позволяет продавать пользовательскую информацию, но лишь в той ситуации, когда пользователя заранее и должным образом об этом проинформировали. В России этот вопрос пока не решен, однако продажа данных третьей стороне будет однозначно незаконной, даже если человек даст согласие на него, отмечает Шаталов.

«О легальной продаже данных в России пока говорить нельзя, поскольку законодательством это никак не регулируется. Это проблема не только банков, но и всей экономики. Если мы утверждаем, что развиваем цифровую экономику, построенную на данных, то рынок данных должен быть урегулирован», – сказал Bloomchain научный руководитель факультета информационных технологий и анализа больших данных Финансового университета при правительстве России Борис Славин.

Как защитить свои персональные данные
В теории клиент банка или пользователь финтех-сервиса надежно защищен законом от преступного или нецелевого использования своей персональной информации. Но на практике дела обстоят хуже, считает Борис Славин. «К сожалению, с наказанием конкретных мошенников в России дела обстоят крайне плохо, в результате чего потребитель оказывается практически не защищен», – отметил он.

С этим согласен и Алексей Шаталов: он уверен, что на практике у жителей России могут возникнуть проблемы с реализацией своих законных прав по защите данных. Сложности возможны уже на первом этапе, когда данные оказались скомпрометированы и нужно определить, куда следует обращаться.

«Нет единого подхода в разрешении той или иной ситуации – все зависит от деталей нарушения. К примеру, если незаконную обработку данных совершило юридическое лицо, то нужно обращаться в суд. Если кто-то взломал вашу почту, то в полицию. А если ваши персональные данные утекли через сеть, то в Роскомнадзор», – отметил Шаталов.

При этом даже добравшись до суда, пользователь не всегда может гарантировано возместить себе ущерб или рассчитывать на привлечение виновных к ответственности. «Шансы истца зависят от корректного сбора доказательственной базы, проработки правильной позиции по делу. Судебная практика по нарушениям законодательства о персональных данных в России крайне неоднородна», – говорит Шаталов.

Сейчас единственный надежный способ защитить себя от утечек – меньше пользоваться услугами, которые требуют обработки персональных данных, добавляет Славин. «Нужно быть крайне осторожным и недоверчивым, когда кто-то извне запрашивает личную информацию», – заключил эксперт.
Источник: https://bloomchain.ru/

Томас Эдисон Страстный изобретатель, опередивший время
Открытый журнал | Финансист
«Астраханская энергосбытовая компания» Обзор показателей российской региональной энергетической
Открытие | Компании
Booz Allen Hamilton потому что война может быть актуальна
Тинькофф Банк | Компании | Инвест-идеи
Энергетика: из грязи в князи!
investing.com | Обзор рынка
Rolls Royce: гигант FTSE 100 расширяет горизонты
investing.com | Акции | Rolls-Royce
Как я декларацию 3-НДФЛ за 2020 год подавал: вычет ИИС-А, 241 дивидендная выплата от иностранных
Статьи
Он возвращается
ProfitGate | Периодика
Джек Ма и другие китайские миллиардеры таинственно исчезают под давлением власти
Freedman Club | Новости
Биотех Repligen удвоил стоимость за 2020 г.
Фридом Финанс | Компании
Часть похищенных у Livecoin средств оказалась на бирже KuCoin
ForkLog | Новости

Еще материалы
Данный материал не имеет статуса персональной инвестиционной рекомендации При копировании ссылка http://elitetrader.ru/index.php?newsid=535015 обязательна Условия использования материалов