Утечки данных: кто виноват и как защититься? Мнения экспертов

Специалисты прокомментировали возможности защиты данных пользователей.

Вчера в сети появилась информация об очередной утечке сведений о 55 тыс. клиентов банков. В рамках одного из исследований, аналитики компании КРОК пришли к выводу о том, что в первом полугодии 2020 года число инцидентов, в ходе которых мошенники получили доступ к базам данных, выросло на 47%. По их мнению, одна из причин роста статистики – повышение мотивации сотрудников организаций к получению дополнительного дохода. Редакция BloomChain решила узнать мнения экспертов о том, как обстоят дела в сфере обеспечения безопасности данных клиентов компаний.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Одним из первых своим видением ситуации с нами поделился директор департамента развития технологий компании «Аладдин Р.Д.», Денис Суховей. По его мнению, обилие новостей о резонансных утечках больших массивов персональных данных, данных платежных карт или другой конфиденциальной информации стало неотъемлемой частью информационного окружения современного человека.

Специалист отметил, что, в первую очередь всех интересует вопрос последствий подобных утечек. Коммерциализация утечек, как он считает, выходит на совершенно новый уровень своего развития.

«Если на заре эпохи информатизации похищенные выгрузки из СУБД (система управления базами данных) тиражировались на компакт-дисках и продавались в переходах крупных городов России (например, базы государственных номеров авто или базы паспортных данных), то далее процесс криминализации утечек существенно ускорился, а еще сравнительно недавно интернет наводнили электронные сервисы платного доступа к похищенных данным. Таким образом, преступные сообщества вышли на принципиально иной и хорошо масштабируемый уровень «бизнеса»», - так эксперт пояснил свою точку зрения.

По мнению Дениса Суховея, ничего не стоит на месте, и индустрия хищения и использования персональных данных продолжила свое развитие. В настоящий момент, как отметил специалист, масштабные утечки совершаются не для продажи в «розницу», но для перепродажи «оптом». Вследствие экономической сегментации отдельные группы занимаются только скупкой похищенных массивов СУБД и обогащением своих супер-ресурсов.

«Обогащение баз персональных данных, как важнейший процесс теневых Big data-ресурсов, позволил предложить совершенно легально участникам рынка очень ценную информацию. Похожей схемой использования персональных данных является инцидент с Facebook, в котором компания даже не скрывала факты коммерческой передачи данных своих пользователей аналитическим и рекламным агентствам. Facebook собирала и обогащала свою базу BigData, естественно, без ведома пользователей», - пояснил специалист.

Таким образом, по мнению Дениса Суховея, данные, которые похищаются из СУБД различных компаний и сервисов проделывают большой путь и могут быть использованы злоумышленниками не единожды, проходя по звеньям этой цепочки.

«Но на этом фоне наблюдается интересное явление. Всем интересны последствия, однако крайне мало задаются вопросом «а почему же масштабная утечка стала возможной?». По этому поводу есть сразу несколько полезных наблюдений», - отметил эксперт.

Организации, по его мнению, плохо защищают свои базы данных по ряду причин:

  • Сложность - СУБД и информационные модели в базах данных очень сложные и зачастую являются «черным ящиком» для самой организации.
  • Загруженность - самые ценные СУБД обычно очень сильно загружены по причине того, что наиболее ценные данные активно используются бизнесом (именно их обычно и похищают).

Специалистов СУБД, как отметил эксперт, на рынке очень мало, а тех, кто еще в дополнение имеет компетенцию по защите информации, - вообще единицы. В этих условиях у организации крайне мало шансов найти грамотного защитника СУБД.

Данные: Сбербанк

Помимо всего прочего, как считает Денис Суховей, существует определенный дефицит решений по защите информации в СУБД, особенно на отечественном рынке.

«Таким образом, сочетание перманентного технического и экономического прогресса преступных групп и безответственное поведение владельцев крупных баз персональных данных складывается в картину регулярных резонансных утечек, последствием которых являются списания денежных средств с карточных счетов, вездесущая реклама в смартфонах, проникновение на домашние и корпоративные компьютеры пользователей», - подытожил эксперт.

Директор центра противодействия мошенничеству НИП «Информзащита» Игорь Шульга, в свою очередь, обратил внимание на проблемы, с которыми сталкиваются жертвы мошенников. В качестве примера, он взял недавний эпизод утечки данных 55 тыс. клиентов российских банков.

Напомним, в руки мошенников попали первые шесть и последние четыре цифры номеров карт, информация о сроках их действия, ФИО клиентов финансовых организаций, их телефоны и даже адреса проживания. Для совершения операций по карте, по мнению Игоря Шульги, угрозы нет. Для того, чтобы мошенники могли проводить операции, как он считает, им не хватает полного номера карты. При этом эксперт отметил, что злоумышленники могут успешно использовать эти данные для социальной инженерии и «развода» граждан на деньги.

Клиенты банков, как он считает, могут перевыпустить карту, чтобы обезопасить себя на случай, если в руках мошенников оказались полные номера пластика.

«Но не факт, что банк сделает это бесплатно. Других компенсаций не будет. Клиент даже заявление в полицию не может подать, потому что ущерба не было», - подытожил Игорь Шульга.

Официальный представитель биржи криптовалют Garantex Татьяна Максименко также отметила, что для оплаты и снятия денег со счетов, прикрепленных к банковским картам, той информации, которая утекла в сеть, недостаточно. Но она может использоваться мошенниками для фишинговых атак. Также злоумышленники, как отметила эксперт, могут звонить держателям карт, представляясь сотрудниками банков, и убеждать сообщить какие-то дополнительные данные, а имея на руках столько информации они могут звучать в разговоре очень убедительно, и не очень искушенные в кибербезопасности пользователи могут стать жертвами мошенничества.

«К сожалению, правоприменительная практика в России не очень защищает клиентов. У нас нет практики громких коллективных исков, как в США, где компанию могут оштрафовать на несколько миллионов за подобные утечки. Это связано с американским законодательством, защищающим права потребителей. Там это работает не одну сотню лет, и успешность подобных дел напрямую связана с выгодой, которую видят юрфирмы в подаче коллективных исков», - отметила Татьяна Максименко.

За 2000-2010 гг. юрфирмы в США, по ее словам, заработали около $16 миллиардов на коллективных исках, а сами истцы при этом могли получить в копейки. В России физлица получили возможность подавать коллективные иски лишь в октябре 2019 года, и никаких громких дел пока не было.

«К тому же, в данном случае речь идет об утечке не из банков, а из маркетплейса Joom, которому клиенты банков сами передавали данные о своих картах», - подытожила Татьяна Максименко.

Узнайте больше о проблемах защиты персональных данных из нашего материала.

← Назад Поделиться:

Рекомендации

Попавшие в сеть данные финразведки США могут пролить свет на дело биржи BTC-e

17 часов назадAртем Галунoв4 мин
Американским банкам разрешили хранить резервы эмитентов стейблкоинов

Финансовые организации смогут официально предоставлять таким клиентам кастодиальные услуги.

2 часа назадЕвгения Лиходей2 мин

FinCEN: Старейший банк Америки причастен к отмыванию средств пирамиды OneCoin

Об этом свидетельствуют документы американского регулятора.

1 час назадЕвгения Лиходей2 мин

Россиянам предложили получать зарплату по номеру телефона

Для этого банки используют возможности системы быстрых платежей Центробанка.

12 минут назадЕвгения Лиходей2 мин

Клиентам Binance позволят торговать DeFi-токенами только после проверки риск-аппетита

Так биржа хочет оградить своих пользователей от рисков, к которым они могут быть не готовы. Для того, чтобы определить риск-аппетит клиента, его попросят ответить на два простых вопроса.

15 часов назадAртем Галунoв3 мин

Объем активов под управлением криптовалютных хедж-фондов удвоился за 2019 год

Основными инвесторами крипто-хедж-фондов являются «семейные офисы» и обеспеченные частные лица. При этом Bitcoin остается наиболее популярным активом среди подобных структур.

19 часов назадAртем Галунoв3 мин