Что не так с защитой персональных данных

Информационная безопасность

Сегодня стало известно об очередной утечке данных из крупного российского банка. «Известия» обнаружили в теневом интернете объявление о продаже базы данных клиентов банка ВТБ. По информации издания, в базе было пять тысяч строк. В банке признали утечку, однако назвали данные из базы неактуальными. Как сообщили РИА «Новости» в пресс-службе ВТБ, информация была актуальна по состоянию на 2016 год, а сейчас угрозы информационной безопасности нет

Это далеко не первая утечка персональных данных за последнее время.

От потери данных не застрахованы клиенты крупных банков, платежных сервисов, криптобирж.

За первую половину 2019 года Центробанк насчитал почти 13 тысяч объявлений о покупке и продаже персональных данных россиян. 12% объявлений относились к базам данных банков. 

утечки из банков

Более 97% хищений со счетов физлиц и 39% хищений со счетов юрлиц в прошлом году злоумышленники совершили, используя приемы социальной инженерии. В этом случае конечная цель — убедить жертв перевести деньги на счета мошенников. Часто для этого достаточно знать только ФИО и номер телефона физического лица. «Данные, относящиеся к банковской тайне, необязательны для совершения противоправных действий, они лишь уточняют и дополняют необходимую информацию», – отмечают в ФинтЦЕРТе.

защита баз данных

По данным «Лаборатории Касперского», в 2019 году 27% российских компаний со штатом не более 50 человек столкнулись с утечками данных. В прошлом году показатель был на 12% меньше. В крупном бизнесе каждая третья корпорация столкнулась с утечками, годом ранее – каждая четвертая. Эксперты говорят, что владельцы бизнеса часто предпринимают недостаточные меры для защиты данных. 

Четверть компаний малого бизнеса используют защитные решения, включающие только базовые функции.

Почти 30% небольших компаний вообще не имели подходящих защитных решений на момент утечки. Тем не менее бизнес понимает, что нужно усиливать защиту своих данных. По данным опроса «Лаборатории Касперского», сегодня половина компаний малого бизнеса готова вкладываться в IT-безопасность, чтобы избежать утечек. 

От Сбербанка до Instagram

Среди громких утечек осени — «кейсы» Сбербанка, SmartWM, «Билайна» и Instagram. В начале октября СМИ сообщили, что на черном рынке стали доступны данные о 60 млн кредитных карт Сбербанка; как действующих, так и уже закрытых. После расследования инцидента банк признал утечку данных пяти тысяч клиентов и заявил, что угрозы средствам клиентов нет. Учетные записи продал сотрудник уральского отделения Сбербанка, он сделал это несколькими траншами в теневом интернете. Злоумышленника поймали, карты перевыпустили. 

Читайте также: самые крупные утечки из Сбербанка

В конце октября появились сообщения о еще одной утечке данных клиентов Сбербанка. В самой финансовой организации заявили, что ее не было. Позже полиция рассказала о задержании подозреваемого в хищении данных пользователей крупнейшего банка России. Им оказался сотрудник коллекторского агентства «Национальная служба взысканий», с которым сотрудничал банк.

Еще одна утечка была связана с сервисом перевода электронных денег SmartWM. Данные клиентов платформы также оказались скомпрометированы. Компания занимается обменом, выводом и пополнением Qiwi, «Яндекс.Денег», Webmoney, Сбербанка, «Альфа-банка» и т.д. Базу данных клиентов SmartWM продавали на черном рынке за $50 тысяч. 

утечки
Сообщение Telegram-канала «Утечки данных».

В даркнете также обнаружили базу данных «Билайна». Она включала информацию о 8,7 млн пользователей со всей России, которые подключили домашний интернет. В базе были найдены как действующие, так и закрытые договоры. В самом «Билайне» сообщили, что в сеть действительно утекла часть абонентской базы, но значительная часть информации устарела.  

СМИ также писали об утечке 20 млн аккаунтов Instagram. Злоумышленники продавали базу данных за 2,8 bitcoin. В руках хакеров оказались никнеймы пользователей, их ID, имена и фамилии владельцев аккаунтов, статистика страниц, ссылки на главную фотографию и описание профиля. Для части аккаунтов также оказались доступны номера телефонов, почтовые адреса и e-mail. Базу разместили на одном из закрытых форумов в интернете.

Человеческий фактор

За прошлый год Банк России провел 122 проверки и выявил 694 нарушения требований к кибербезопасности. Часто они были связаны с человеческим фактором: доступом работников к защищенной информации, отсутствием средств защиты данных от вредоносного кода, отсутствием учета и контроля состава программного обеспечения. 

Кроме того, в ряде случаев использовался один и тот же антивирус на серверном оборудовании и рабочих станциях, либо антивирусной защиты не было. Среди других причин, приводящих к нарушениям, – конфликт интересов при совмещении функций разработки и сопровождения, разработки и эксплуатации софта, недоведение до клиентов рекомендаций по защите информации от воздействия программных кодов.

ФинЦЕРТ назвал возможные причины проблем безопасности в банках:

  • недостаточное знание нормативной базы по вопросам информационной безопасности;
  • недостаточно хорошая организация внутреннего аудита и контроля по вопросам кибербезопасности;
  • отсутствие обеспечения информационной безопасности среди приоритетов банка.

Нередко утечки данных происходят не по вине банков, а по неосмотрительности и доверчивости их клиентов.

Последние сообщают по телефону незнакомым людям, представившимся сотрудниками кредитной организации, персональные данные, в том числе номер и CVV-код банковской карты. Часто пользователи регистрируются на сомнительных сайтах интернет-магазинов и площадках, предлагающих лотереи, выигрыши и выгодные предложения.

Читайте также: правила защиты от утечек 

По данным ФинЦЕРТа, чаще всего персональные данные россиян утекают именно с сайтов онлайн-магазинов и торговых площадок, где может быть установлен вредоносный софт. Также утечки происходят из чат-ботов в Telegram. 

Что делают банки

Банки подходят к обеспечению информационной безопасности комплексно. Так, в «Райффайзенбанке» применяют комплексный подход к защите информации при обработке персональных данных клиентов. Он включает в себя повышение осведомленности сотрудников и клиентов по вопросам защиты данных и противодействия мошенничеству, использование современных средств защиты и решений для предотвращения утечек данных.

В «Газпромбанке» проводят обучение персонала по вопросам информационной безопасности в очной и дистанционной форме. Также в банке проходят киберучения и регулярные проверки соблюдения работниками требований режима конфиденциальности. Кроме того, кредитная организация применяет меры защиты персональных данных: систему мониторинга событий информационной безопасности, системы выявления утечек информации в различных каналах, системы анализа поведения пользователей в системах, системы корреляции событий с признаками инцидентов.

«Любая выявленная уязвимость в системе, продукте или процессе, как в объекте защиты, всесторонне анализируется экспертами, проверяется и устраняется в минимальные сроки без ущерба для целевого объекта. Подобный подход повышает общебанковскую исполнительскую дисциплину, легко масштабируется на региональные представительства и позволяет управлять риском утечки конфиденциальной информации», рассказал Bloomchain начальник управления режима информационной безопасности «Газпромбанка» Алексей Плешков.

Как защитить свои данные от мошенников

Есть несколько простых советов, которые повышают защиту личных данных:   

  • Никогда никому не сообщайте CVV-коды, пароли, смс-коды
  • Подозрительный звонок из “банка” — перезвоните сами
  • Переводы от незнакомцев лучше отменить через банк
  • Проверяйте реквизиты платежей и переводов
  • Сообщите банку о смене номера телефона

Защитите смартфоны и компьютеры

  • Скачивайте официальные приложения банков
  • Используйте антивирусы
  • Не переходите по подозрительным ссылкам

При использовании банкоматов

  • Проверяйте банкомат: нет ли сторонних устройств
  • Прикрывайте клавиатуру при вводе пин-кода
  • Дождитесь завершения операции предыдущего клиента

Минимизация рисков

Эксперты заявляют, что абсолютной защиты от утечек конфиденциальной информации не существует. Ландшафт угроз постоянно меняется и усложняется, а мошенники придумывают все более изощренные способы кражи данных.

Атаковать, как правило, легче и дешевле, чем защищаться.

Говоря о непредумышленных утечках, эксперты отмечают большую роль человеческого фактора.

Аналитики призывают не забывать, что хакеры обычно ищут то, что легко украсть ошибки в конфигурации, непроплаченные серверы. «От этого помогают две вещи. Первая регулярный пин-тест: компании нужно проверять саму себя, проводить тестовые атаки. Вторая патчинг серверов и инвентаризация. Были случаи, когда все хорошо в банке, но какой-нибудь один сервер забудут, на котором крутится реклама 2000-х годов, и через него заходят», говорит Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Каждой компании по силам минимизировать риски для своих информационных активов, куда входят коммерческие тайны, производственные ноу-хау, данные сотрудников и клиентов, уверены эксперты.

«Защита от утечек строится по двум большим блокам. Первый – это системы кибербезопасности, направленные на противодействие внешним угрозам. Это антивирусы, межсетевые экраны, сканеры уязвимостей, решения для выявления целевых атак. Также компаниям целесообразно использовать шифрование данных, резервное копирование, двухфакторную аутентификацию, управление событиями (SIEM)», – рассказал Bloomchain руководитель отдела аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.

Второй блок составляют системы и решения для борьбы с внутренними нарушителями. В частности, это системы управления доступом (в том числе привилегированным), решения для анализа трафика, системы предиктивной аналитики, системы типа Content Discovery, MobileDevice Management. Основное значение в борьбе со случайными нарушениями играют системы предотвращения утечек (DLP, Data Loss Prevention). Правильно настроенные, они позволяют контролировать информационные потоки по всем основным каналам — сеть, электронная почта, USB, печать — и предотвращают неправомерные действия с конфиденциальными данными.

Кроме того, бизнесу важно регулярно объяснять сотрудникам правила обращения с конфиденциальной информацией и повышать квалификацию администраторов информационных систем, отмечает эксперт InfoWatch.

В отличие от банков и других крупных компаний, средний и малый бизнес, часто ограничен в расходах на кибербезопасность. Однако и при относительно скромных финансовых возможностях компании могут построить довольно эффективные системы защиты от внешних и внутренних угроз – на рынке есть соответствующие решения для сферы МСБ, заключает Арсентьев.