Банковские утечки: кто их организует и как защититься

Из-за пандемии банки по всему миру перевели своих сотрудников на удаленную работу. Защита домашнего компьютера зачастую слабее офисной, поэтому риск потерять пользовательские данные стал выше. Президент по кибернетическим и интеллектуальным решениям Mastercard Аджай Бхалла оценил потери от кибератак на финансовые организации в $5,2 трлн, а риски, связанные с ними, назвал главной угрозой доверию со стороны клиентов. Из-за этого банки и финтех-сервисы увеличивают расходы на информационную безопасность: по данным Deloitte, в 2020 году они выросли в среднем на 15%, а в следующем году станут еще больше.

Bloomchain выяснил, кто, как и зачем похищает данные, и что могут сделать банки и пользователи, чтобы себя защитить.

Что интересно мошенникам

Больше всего злоумышленников интересуют персональные данные клиентов и их счета. По словам основателя сервиса разведки утечек данных DLBI Ашота Оганесяна, самой ценной считается информация об остатках и транзакциях по счету. «Она используется в разных мошеннических схемах – от телефонных звонков «службы безопасности» до перехвата управления счетами с помощью поддельных доверенностей или замены SIM-карт», – рассказал он Bloomchain.

Основной спрос на слитые данные формируют сотни криминальных колл-центров, отмечает Оганесян. По его словам, они обзванивают владельцев счетов под видом сотрудников банков и пытаются получить SMS-коды подтверждения транзакций.

«Достаточно часто похищенные данные используют продавцы из банков-конкурентов, которые пытаются выйти на клиентов со своими «эксклюзивными предложениями». В редких случаях данные покупают мошенники, которые специализируются на крупных счетах и похищают средства с помощью поддельных документов и электронных подписей», – добавляет Оганесян.

Как злоумышленники получают доступ к данным

Данные утекают по разным причинам. Условно их можно разделить на две большие группы: намеренные и ненамеренные. В первом случае речь идет о работе «инсайдеров» – чаще всего это сотрудники банков, которые сознательно идут на преступление и продают данные на черном рынке. Во втором – о случайной ошибке работника или бреши в безопасности.

Известный пример работы инсайдеров произошел в октябре 2019 года, когда в сеть утекли актуальные данные о 5 000 держателей кредитных карт Сбербанка. Виновного в утечке потом нашли – базу продал 28-летний руководитель в одном из бизнес-подразделений банка, у которого был доступ к данным. 

Читайте также: самые крупные утечки данных из российских банков

По словам Оганесяна, в России утечки с участием инсайдеров происходят примерно раз в месяц. «На рынке есть как минимум десяток продавцов, которые работают с до сих пор не выявленным и постоянно действующим каналом [инсайдером]. Они предлагают как базы данных в объеме до десятков тысяч записей в месяц, так и услуги по «пробиву» конкретных клиентов банков», – отмечает он. По его оценке, ущерб от действий инсайдеров достигает нескольких миллиардов рублей ежегодно.

Самые распространенные способы хищения персональной информации инсайдерами. Источник: Смарт Лайн Инк

Иногда информацию о пользователях «сливают» не отдельные сотрудники, а целые компании. Чаще всего это банки или финтех-сервисы – они передают данные тем, кто может на этом заработать. 

Недавно приложение для трейдеров Robinhood поймали на продаже информации компаниям с Уолл-стрит, которые используют данные о сделках для спекуляций на рынке высокочастотной торговли. Это обернулись для сервиса скандалом и штрафом в $10 млн.

Однако чаще всего утечки данных происходят не по чьему-то злому умыслу, считает начальник отдела информационной безопасности компании SearchInform Алексей Дрозд. «Судя по нашим опросам представителей финансовой сферы, инциденты чаще происходят непреднамеренно. Даже хакеры предпочитают не штурмовать хорошо защищенную инфраструктуру, а использовать человеческий фактор во всех его проявлениях», – рассказал он Bloomchain.

Алексей Дрозд считает, что чаще всего причинами непреднамеренных утечек персональной информации из банков случаются:

  • если в проектировании банковских систем и сервисов есть ошибки или уязвимости – по большей части их допускают стартапы, в которых вопросам безопасности уделяют недостаточно внимания;

  • когда администраторы случайно открывают доступ к серверу или забывают ограничить доступ к резервным копиям данных;

  • из-за «инсайдеров поневоле» – сами того не желая сотрудники становятся жертвами социальной инженерии и, как следствие, точками входа для хакеров.

Как чаще всего совершают атаки на финансовую отрасль. Источник: Positive Technologies

Как банки и финтех-компании борются с утечками данных

Пока в России нет законодательных норм, которые обязывают банки и финтех-сервисы выполнять какой-либо набор действий для защиты пользовательских данных, – но есть рекомендации Центробанка (.pdf). 

Алексей Дрозд считает, что предложения Банка России для защиты от утечек данных в целом отвечают сегодняшним угрозам. Среди рекомендаций ЦБ:

  • аудит инфраструктуры и внутренних процессов, который позволяет банку найти основные «болевые точки» своей системы безопасности;

  • следование концепции security by design – она подразумевает, что при разработке сервисов должны быть предусмотрены не только функциональность и удобство, но и безопасность;

  • участие в программах Bug bounty или создание собственных команд по поиску уязвимостей;

  • контроль, расследование инцидентов и неотвратимость наказания, которые должны сдерживать сотрудников от совершения преступлений.

В одной из таких директив рекомендуют использовать специальное программное обеспечение, которое защищает внутренние системы от внешних атак. Они называются DLP-системами – от англ. Data Leak Prevention или предотвращение утечек. «На деле банки часто не готовы внедрять DLP просто по рекомендации. К тому же, даже то программное обеспечение, которое уже есть в организации, может быть установлено в недостаточном объеме или обслуживаться ненадлежащим образом. Это повышает риск утечек», – отмечает Алексей Дрозд.

Требования регулятора носят лишь рекомендательный характер, но несмотря на это, кредитно-финансовая сфера в России остается одной из самых защищенных с точки зрения информационной безопасности. По словам Дрозда, внешние атаки на финансовые системы организаций становятся все более дорогим удовольствием: отечественные банки тратят большие деньги на защиту данных и нанимают в штат квалифицированных специалистов.

«На фоне этого внутренний фактор [утечек] становится все более значимым. Тем более, что в этой части регулятор не так требователен – рекомендации по защите от инсайдерских сливов есть, но это не директивы. Поэтому на мой взгляд, от внешних злоумышленников банки сейчас защищены лучше, чем от внутренних»,  – отметил Алексей Дрозд в разговоре с Bloomchain.

По данным InfoWatch, в 2019 году количество утечек в российских финансовых компаниях выросло на 58% и достигло 13% от общего количества подобных инцидентов в стране. За этот же период во всем мире количество утечек увеличилось на 8%. Такая разница объясняется эффектом низкой базы – в России только недавно стали фиксировать подобную статистику. Общий мировой объем утечек персональных данных и платежной информации в 2019 году вырос более чем в 27 раз и насчитывал 1,04 млрд пользовательских записей.

Типы утечек данных в финансовых организациях в России и в мире в 2019 году. Источник: InfoWatch

Что говорит закон

Важный элемент защиты персональной информации – это то, каким образом банки и финтех-стартапы получают разрешение на ее обработку. По словам руководителя компании «IT-Юрист» Алексея Шаталова, в этом направлении российское законодательство проработано достаточно подробно и защищает клиентов финансовых организаций как от сбора избыточной информации, так и от незаконной передачи собранных данных третьей стороне.

«Согласие человека – основополагающий акт любой обработки данных. В банках его берут, как правило, в письменной форме. Однако это не означает, что клиенту могут просто «подсунуть» на подпись этот документ и обрабатывать любые данные, которые предоставил человек», – рассказал Шаталов Bloomchain.

По его словам, персональные данные, которые собирают компании, должны соответствовать целям их обработки. К примеру, если нужно проверить кредитную историю человека, то банку незачем обрабатывать данные о его вероисповедании. Обработка персональных данных без согласия владельца запрещена. И даже если клиент дал согласие, но передумал, его всегда можно отозвать. 

Все эти нормы можно найти в законе о персональных данных, и в целом они схожи с правилами других стран, добавляет Шаталов. 

Ответственность за нарушение о защите персональных данных в России:

  • административная – штраф от 1000 ₽ до 800 000 ₽ для физических лиц, от 30 000 ₽ до 18 000 000 ₽ для юридических (ст. 13.11 КоАП РФ);

  • уголовная – от крупного штрафа до лишения свободы на пять лет (ст. 137, 140 272 УК РФ);

  • гражданско-правовая – возмещение убытков и компенсация морального вреда, как правило в размере от 5000 ₽ до 30 000 ₽ (ст. 15, 151 ГК РФ);

  • дисциплинарная – увольнение, замечание или выговор (ст. 81, 90, 192 ТК РФ).

Единственное важное отличие между российскими и европейскими нормами в том, насколько свободно финансовые организации могут распоряжаться полученной информацией. Речь идет о продаже данных третьим сторонам – например, маркетинговым партнерам. 

В Европе действует Регламент по защите персональных данных – General Data Protection Regulation, GDPR. Он позволяет продавать пользовательскую информацию, но лишь в той ситуации, когда пользователя заранее и должным образом об этом проинформировали. В России этот вопрос пока не решен, однако продажа данных третьей стороне будет однозначно незаконной, даже если человек даст согласие на него, отмечает Шаталов.

«О легальной продаже данных в России пока говорить нельзя, поскольку законодательством это никак не регулируется. Это проблема не только банков, но и всей экономики. Если мы утверждаем, что развиваем цифровую экономику, построенную на данных, то рынок данных должен быть урегулирован», – сказал Bloomchain научный руководитель факультета информационных технологий и анализа больших данных Финансового университета при правительстве России Борис Славин.

Как защитить свои персональные данные

В теории клиент банка или пользователь финтех-сервиса надежно защищен законом от преступного или нецелевого использования своей персональной информации. Но на практике дела обстоят хуже, считает Борис Славин. «К сожалению, с наказанием конкретных мошенников в России дела обстоят крайне плохо, в результате чего потребитель оказывается практически не защищен», – отметил он.

С этим согласен и Алексей Шаталов: он уверен, что на практике у жителей России могут возникнуть проблемы с реализацией своих законных прав по защите данных. Сложности возможны уже на первом этапе, когда данные оказались скомпрометированы и нужно определить, куда следует обращаться.

«Нет единого подхода в разрешении той или иной ситуации – все зависит от деталей нарушения. К примеру, если незаконную обработку данных совершило юридическое лицо, то нужно обращаться в суд. Если кто-то взломал вашу почту, то в полицию. А если ваши персональные данные утекли через сеть, то в Роскомнадзор», – отметил Шаталов.

При этом даже добравшись до суда, пользователь не всегда может гарантировано возместить себе ущерб или рассчитывать на привлечение виновных к ответственности. «Шансы истца зависят от корректного сбора доказательственной базы, проработки правильной позиции по делу. Судебная практика по нарушениям законодательства о персональных данных в России крайне неоднородна», – говорит Шаталов.

Сейчас единственный надежный способ защитить себя от утечек – меньше пользоваться услугами, которые требуют обработки персональных данных, добавляет Славин. «Нужно быть крайне осторожным и недоверчивым, когда кто-то извне запрашивает личную информацию», – заключил эксперт.

← Назад Поделиться:

Рекомендации

Информационная безопасность

Что не так с защитой персональных данных

Bloomchain Research

Глава JPMorgan: банки должны «до смерти» бояться конкуренции с финтех-компаниями

Джейми Даймон завил, что банкам не стоит недооценивать игроков финтех-сектора, и обвинил компанию Plaid в недобросовестном использовании конфиденциальных данных клиентов.

Aртем Галунoв4 мин