Несколько дней назад в сети появилась база данных, содержащая информацию о работниках Сбербанка и нескольких его «дочек». В банке уверяют, что сведения, оказавшиеся в открытом доступе, ничем не могут повредить клиентам или автоматизированным системам. По словам представителей Сбербанка, эта адресная книга доступна всем сотрудникам компании, и их персональных данных в ней нет.
Технический директор Qrator Labs Артем Гавриченков уверен, что утечек корпоративных данных непосредственно клиентам опасаться не стоит.
«Что касается контактов сотрудников, то в любой компании существует определенный компромисс между удобством работы сотрудников и защищенностью, закрытостью данных. Еще начиная с 90-х годов XX века, считалось, что в рамках этого компромисса списки и внутренние контакты всех сотрудников могут быть доступны каждому в корпоративной системе», — отмечает эксперт.
Клиенты в данном случае не являются пострадавшей стороной, считает руководитель департамента финансовых рейтингов НРА Карина Артемьева.
Безопасности клиентов — приоритет
Защищенность системы хранения данных в любой компании напрямую зависит от характера содержащихся в ней данных – максимальная защита у финансовой информации и персональных данных клиентов.
«Если речь идет о финансовой информации, уровень ее защиты в надёжных банках, как правило, имеет максимальный приоритет, к тому же за соблюдением необходимых требований обеспечения безопасности следит, в том числе, регулятор», — указывает Гавриченков.
Между тем Сбербанк как крупнейший банк России является и главной мишенью для киберпреступников, то есть даже по теории вероятности хоть несколько атак могут оказаться успешными – главное, чтобы при этом не были потеряны важные данные клиентов. Но то, что банк является крупнейшим, с другой стороны, позволяет ему тратить большие ресурсы на поддержание безопасности инфраструктуры.
«Сбербанк покрывает более половины финансового рынка в регионе, что делает нас главной мишенью для русскоговорящих киберпреступников, ведущих активную деятельность на территории России, стран бывшего СССР, Восточной Европы и СНГ. В 2017 году передовая система кибербезопасности Сбербанка позволила нам отразить 100% кибератак», — заявлял на ежегодной конференции Sibos 2018 в конце октября текущего года директор дочерней компании Сбербанка по кибербезопасности BI.ZONE Дмитрий Самарцев.
Неизбежность утечек
Утечки персональных данных и в России, и в других странах мира давно перестали быть редкостью – им подвержены и крупнейшие транснациональные корпорации, и небольшие предприятия, и рядовые граждане разных государств. В Банке России отмечают, что полностью исключить риск подобных атак невозможно –
злоумышленники все время придумывают новые способы обхода систем защиты, но их главным оружием остается человеческий фактор.
«Уровень грамотности россиян в сфере информационной безопасности позволяет мошенникам из года в год успешно использовать информационные технологии и средства связи в сочетании с приемами так называемой «социальной инженерии» (злонамеренное введение в заблуждение путем обмана или злоупотребления доверием) для хищения средств с их личных счетов или счетов их работодателей. Так, в 2017 году мошенники похитили у физлиц более 1 млрд рублей», — заявлял в августе текущего года зампред Центробанка Дмитрий Скобелкин.
Согласно данным аналитического центра Infowatch, в 2017 году СМИ и другие открытые источники сообщили о 254 случаях утечки конфиденциальной информации из российских компаний и государственных органов, что составляет 12% от числа утечек в мире. При этом по вине рядовых сотрудников произошло 69% всех инцидентов. Более 90% утечек были связаны с компрометацией персональных данных и платежной информации.
Панацеи от утечки персональных данных обычных граждан не существует. К примеру, граждане сами оставляют номера телефонов и адреса электронной почты на своих страницах в социальных сетях, в торговых точках, выдающих скидочные карты, и так далее.
«На 100% обезопаситься от подобных инцидентов затруднительно. Для профилактики стоит с осторожностью вводить свои данные на любого вида сайтах и оставлять свои контакты на публичных ресурсах», — говорит специалист поддержки продуктов ESET Russia Борис Соболев.
Клиентам любых организаций в любой ситуации нужно быть бдительными и соблюдать элементарные правила безопасности. Например, обычно сами банки предупреждают – по подозрительным ссылкам в СМС не переходить, вложения из писем незнакомцев не загружать, пароли не выдавать даже сотрудникам кредитных организаций – мошенники могут маскироваться под операторов колл-центров.
«Утечка данных сотрудников банка может привести к тому, что для тех его клиентов, которые не соблюдают правила цифровой «гигиены», попытки мошенничества и социальной инженерии со стороны злоумышленников будут выглядеть более правдоподобно. Ещё раз подчеркнём: если вам звонит человек и представляется сотрудником банка, никаких существенных данных сообщать ему нельзя, более того, рекомендуется положить трубку и самостоятельно перезвонить в банк по телефону, указанному на его сайте; если представитель банка тот, за кого себя выдает, он сможет ответить вам по внутренней связи», — подчеркнул Гавриченков.
Утечкам данных подвержены и финансовые компании, и организации сферы здравоохранения, и государственные ведомства, подтверждает веб-аналитик «Лаборатории Касперского» Владислав Тушканов. В таком случае рекомендуется вспомнить, не дублируются ли пароли в сервисах компании и в других местах. «Повторяющиеся пароли вообще плохая практика, но если этот пароль был установлен где-то ещё — обязательно его поменяйте», — указывает Тушканов. Если оглашена информация вроде адреса, номера телефона и имен членов семьи, то повышается вероятность таргетированных фишинговых атак. В случае с банковскими учреждениями не лишним является и проверка своей кредитной истории.
Бой с тенью
Банк России уже несколько лет ведет активную борьбу с киберпреступниками – регулятор разрабатывает и обновляет стандарты информационной безопасности для кредитных организаций, выпускает рекомендации по хранению персональных данных клиентов. Кроме того, в 2015 году Банк России решил объединить участников финансового рынка в едином информационном пространстве, где их будут оперативно информировать об актуальных киберугрозах. Участники системы также получали в свое распоряжение набор программных средств и рекомендаций, применение которых минимизирует ущерб и потери этих структур и их клиентов.
Эта система получила название FinCERT. До 1 июля 2018 года участие в информационном обмене было добровольным, но с этого момента стало обязательным для всех кредитных организаций. Тогда же была введена в эксплуатацию первая очередь автоматизированной системы обработки инцидентов, к которой подключились все российские банки. На основе этой структуры вскоре будет запущена базы данных о случаях и попытках осуществления переводов денег без согласия клиента. В Банке России уверены, что это существенно повысит эффективность работы по предотвращению хищений денежных средств со счетов клиентов
«Начиная с 2020 года оперативное получение информации о киберугрозах станет одним из инструментов снижения киберриска, расходы на покрытие потерь от которого будут влиять на размер капитала кредитных организаций», — говорится в отчете FinCERT за период с 1 сентября 2017 года по 31 августа 2018 года.
К концу августа информацию о кибератаках в Банк России предоставляли 718 организаций – за год их число увеличилось на 16%. Подавляющее большинство участников обмена данными составляют банки, еще примерно четверть – это иные финансовые организации, госструктуры, телеком-провайдеры, операторы сотовой связи, а также IT-компании (в том числе в сфере кибербезопасности), энергетические и промышленные предприятия.
По мнению специалистов Центробанка, общий тренд снижения количества успешных крупных хищений у кредитных организаций сохранится. При этом число хищений у клиентов банков (юридических лиц и индивидуальных предпринимателей) может возрасти. Одна из возможных причин – утечка в интернет исходного программного кода ВПО, используемого преступниками.