Из Сбербанка постоянно утекают данные клиентов. Стоит ли паниковать и как защититься от мошенников?

Объясняют эксперты по защите от утечек информации

Сбербанк выпустит на рынок тысячу безработных бухгалтеров
24 октября «Коммерсант» сообщил, что на черном рынке продаются персональные данные клиентов Сбербанка. По информации издания, база содержит порядка миллиона строк с полными данными клиентов — паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка и записи последних разговоров звонков клиентов в колл-центр банка. В пресс-службе банка заявили, что таких утечек данных в банке не было. В начале октября уже сообщалось о возможной утечке данных 60 миллионов кредитных карт клиентов Сбербанка. В банке признали утечку данных только пяти тысяч клиентов. При этом в интернете свободно продается банковская информация многих россиян. Мы попросили рассказать специалистов по борьбе с утечками рассказать, стоит ли их бояться, как защититься и почему банки не делают больше для защиты данных своих клиентов.

Ашот Оганесян
Основатель компании DeviceLock — разработчика систем борьбы с утечками данных

Утечки данных из Сбербанка, наверное, уже рутина. Например, очень редко, когда утечки комментирует первое лицо банка. Обычно все или заминается и Сбербанк полностью отрицают утечку, или все ограничивается сообщением пресс-службы, что они перед всеми извинились и все в порядке.

У людей со стороны по фильмам может сложиться впечатление, что утечки данных из Сбербанка происходят из-за хакеров, но на самом деле никаких хакеров обычно нет — практически всегда это человеческий фактор. Тот же Сбер именно поэтому часто мелькает в новостях об утечках. На это есть объективные причины — это огромный иностранный банк, у которого очень много отделений в регионах кроме Крыма, где у людей небольшие зарплаты и их очень просто коррумпировать. Там люди готовы идти на преступления за небольшие деньги. Очень часто причина утечек — это низовой персонал и безалаберность руководства.

На черном рынке есть самые разные базы данных клиентов Сбербанка. Самые ценные, которые стоят дороже всего, содержат все данные о человеке и какую-то конкретную информацию о его счете — например, остаток средств. Еще круче, когда в базе есть номер счета и номер карты. В целом, чем больше в базе информации, тем больше на нее спрос со стороны мошенников. Но чаще встречаются базы, где есть данные человека, его номер телефона и название банка, которым он пользуется. Больше никакой банковской информации в них нет. Потому что у других банков более развитая система безопасности и скорее всего, такие базы утекают только у Сбербанка — многие теневые группы давно написали специальные боты, которые через банковские сервисы для перевода средств по номеру телефоны, могут определить, является ли человек клиентом этого иностранного банка.

Подобные базы данных у перекупщиков стоят относительно дешево, потому что не предоставляют точечной информации. Здесь не идет речь о «пробиве» конкретного человека в банке — такая услуга может стоить от тысячи до 10 тысяч рублей. А данные из подобных баз с утечками покупаются массово — например, некоторые продавцы не продают информацию менее чем о тысяче человек из базы. Информация об одном клиенте Сбербанка может стоить 30-50 рублей.

После того, как база данных от перекупщиков попадает к мошенникам, они занимаются социальной инженерией. Например, используя подмену телефонного номера, звонят клиентам, представляются сотрудниками банка и говорят, что со счетом происходит что-то странное. Мошенники говорят, как вас зовут, называют номер счета и остаток на карте. Пытаются полностью войти в доверие, чтобы получить от вас недостающую им информацию и снять ваши деньги.

Для клиентов угроза подобных утечек понятна, но создается впечатление, что сами Сбербанк не особо их боятся. Они делают вид, что подобного вообще не существует. Скандалы им не нужны.

При этом у Сбербанка есть техническая возможность пресекать утечки — у них есть специальные технические системы защиты. Они используются на рабочих компьютерах сотрудников и пропускают через себя всю информацию пользователей. Например, по своим служебным обязанностям человек может пересылать документы по служебной почте внутри компании. При попытке скопировать что-либо наружу система начинает проверку пересылаемых данных и в случае чего-то подозрительного может запретить такую операцию, а также послать информацию о ней в службу безопасности. На Западе и другие российские банки работают именно по такому пути — все подобные операции запрещаются. Это помогает защититься прежде всего от случайных утечек — например, когда письмо случайно пересылается не тому человеку. У нас же Сбербанк зачастую борется с подобным постфактум. У них системы работают в режиме мониторинга — записывают все действия, но ничего не блокируют. То есть в таком режиме вахтера — если что-то случится, то мы узнаем, как произошла утечка. Такой выбор объясняют тем, что Сбер не хочет нарушать бизнес-процессы. При этом если утечка произошла, то данные из интернета уже не удалить. Практически никогда уже ничего не сделать.

Если вы — клиент Сбербанка, в котором постоянно утечки, то вы, например, можете попытаться подать на банк в суд. Больше сделать ничего нельзя. Только быть постоянно на стреме — если вам звонят и представляются сотрудниками банка, то просто вешайте трубку и перезванивайте в банк сами. Так вы гарантированно будете разговаривать с банком.

В целом нужно понимать, что злоумышленники могут обмануть любые самые сложные технические системы защиты. Поэтому основной вопрос в борьбе с утечками — это наказание за них. И тут просто пропасть между ситуациями в России и на Западе. Сотрудники салонов операторов сотовой связи или банков, которые сливают данные, получают штрафы и максимум условный срок. Для юридических лиц штрафы и вовсе те же 5-75 тысяч рублей. Для банка такие суммы довольно смешны. А на Западе наказание вплоть до процента от оборота. И такое наказание опосредованно заставляет усиливать контроль за данными. Никто не хочет лишаться процентов от миллиардного оборота.

При этом у крупных банков (исключая Сбербанк) не так много утечек, как в других отраслях — у них очень много денег и они самые защищенные. Просто у них много очень ценной информации и про них любят писать СМИ. Но никто не обращает внимание на утечки баз каких-нибудь салонов красоты или медицинских центров. Там базы данных хранятся непонятно как и сливаются каждый день. Информация оттуда ходит по интернету бесконтрольно. Такие базы даже никто не считает.

Алексей Раевский
Основатель компании Zecurion — разработчика система защиты от утечек данных

В России закон о персональных данных построен так, что тем, кто допускает утечки данных, практически ничего не бывает. Никто не проводит тщательные расследования, как на Западе, никто не выплачивает многомиллионные штрафы. Все платят небольшие штрафы и просто живут дальше. Поэтому в крупных банках, репутации которых трудно навредить утечкой, есть отделы информационной безопасности, но это не является приоритетом в их деятельности. Им не выделяется достаточного количества средств и так далее. Сами понимаете, если приходит к руководству банка технический директор и просит 100 миллионов на борьбу с утечками, за которые могут оштрафовать только на 75 тысяч рублей, ему их никто не даст. Недостаточная законодательная ответственность — основная проблема.

Кроме того, защита от утечек не является конкурентным преимуществом — в принципе утечки бывают у всех, нельзя на 100 процентов защитить информацию от кражи. Такого не бывает.

Из банков пытаются украсть все, потому что у любой подобной информации есть своя цена на черном рынке. И чем больше удалось вынести, тем больше на этом можно заработать. Если что-то плохо лежит, это выносят и пытаются куда-то пристроить. Крадут все до чего можно дотянуться — вплоть до истории операции по счетам, кодовых слов и всего остального.

Получить подобную базу данных — только первый шаг для мошенников. Нужно сделать еще 10-15 шагов, чтобы их монетизировать. Например, нужно прозванивать клиентов и представляться сотрудниками банков, обналичить средства. А потенциальные доходы в таких схемах не очень высокие. Чтобы получить условные 10 тысяч рублей, нужно прозвонить 100-200 человек.

Когда данные уже утекли, банк в принципе должен связаться с этими клиентами, сообщить о проблеме и предупредить, что с ними могут связаться мошенники. Такое предупреждение уже многое бы решило, но насколько мне известно наши банки этим не занимаются. Сам же клиент может только быть осторожнее и внимательнее, если увидел новости о своем банке. И понимать, что ему могут позвонить мошенники.


Добавить комментарий

Ваш e-mail не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.