Банки данных. Насколько выросла в России утечка информации о клиентах кредитных организаций?
Персональные данные о клиентах банков воруют во всем мире. На долю России приходится не самый большой объем украденной информации, но по темпу роста утечек информации наша страна бьет рекорды. По данным исследования компании InfoWatch, за прошлый год количество таких случаев в России выросло в шесть раз больше, чем во всем мире.
Информационное воровство
Как отмечают аналитики InfoWatch, в целом за прошлый год «слили» более одного миллиарда записей данных клиентов банков, страховых компаний и пенсионных фондов.
Абсолютным рекордсменом тут стала First American Financial Corporation – с сервера этой крупнейшей американской страховой компании весной 2019 года скачали 885 млн записей.
Был большой скандал, поскольку в чужие руки попали персональные данные ипотечных заемщиков. Именно этот случай обеспечил общемировой рост в 27 раз объема украденных данных финансовых организаций.
Если же считать без этого и еще двух крупных инцидентов, то «мелкие кражи» составили около 10 млн записей, а их количество во всем мире увеличилось лишь на 8 процентов.
В России «информационное воровство» выросло за прошлый год сразу на 57 процентов - то есть в семь раз больше, чем в среднем в мире.
По данным InfoWatch, которые приводят «Известия», объем утечек в России в прошлом году составил 2,7 млн записей.
Исследователи отмечают, что в 2019 году стало известно о 218 случаях утечки данных из финансовых организаций во всем мире, в том числе - о 33 случаях в России. Речь идет только о публичных инцидентах, но фактически их на порядки больше.
Правда, «обворованные» кредитные организации, по словам аналитиков, как правило, не признают факты и истинные объемы «пропаж», беспокоясь о своей репутации.
Человеческий фактор
В октябре 2019 года СМИ сообщали об утечке данных по 60 млн кредитных карт, принадлежащих клиентам Сбербанка РФ. Но представители крупнейшего банка страны признали компрометацию информации лишь о пяти тысячах клиентах, отметив, что им во избежание проблем сразу же заменили банковские карты.
Прошлой осенью в СМИ также попала информация об онлайн продажах базы данных по клиентам ВТБ с суммой вкладов свыше миллиона рублей.
Как писали «Известия» в тестовом фрагменте этой базы, которую продавали через «вторые руки», содержались ФИО вкладчиков, их домашние адреса, номера телефонов и адреса электронной почты.
Представители ВТБ сообщили, что связались с «засвеченными» клиентами, предупредили и извинились, отметив, что эта утечка не содержит никаких данных, необходимых для доступа к счетам.
Но предотвратить дальнейшие утечки пока не получается.
В начале февраля появились сообщения в СМИ о том, что на форумах в Интернете продаются данные минимум о 20 тысячах клиентов Сбербанка.
И дело, похоже, не в каких-то технических недочетах электронных систем защиты. Срабатывает пресловутый «человеческий фактор».
Так после осенней утечки в Сбербанке прямо заявили, что ее виновником стал банковский сотрудник, который руководил «сектором в одном из бизнес-подразделений». Эксперты считают, что в ВТБ информацию также мог «слить» сотрудник, имеющий доступ к базе VIP-клиентов.
Мотивы тут могут быть самыми разными – от обид на руководство до желания дополнительно подзаработать. Способы тоже разнообразны – от фотографирования экрана компьютера до изъятия жесткого диска.
В 2019 году персональные сведения россиян стали чаще утекать через сотрудников IT-служб.
По данным исследования DeviceLock инсайдерских утечек информации из российских компаний, число инцидентов невелико (менее 2%), но на долю сисадминов может приходиться 25–30% объема похищенной информации.
И бороться с этим можно лишь усилиями служб безопасности банков, ужесточением их контроля за сотрудниками.
Ну и руководство банка может постараться создать такую атмосферу в коллективе, чтобы не появлялось желающих «отомстить» или «кинуть» коллег. По мнению экспертов, ограничить утечки можно, только повысив их лояльность работников.
Что имеем – не храним?
Впрочем, в лаборатории компьютерной криминалистики Group-IB рост объема утечек связывают и с безответственным отношением к обработке и хранению информации.
Аналитики InfoWatch считают, что рост количества и объема утечек личной информации клиентов происходит также из-за недостаточной защиты при хранении в облачных сервисах.
В исследовании отмечается, что в России предметом «информационных краж становятся в основном персональные данные граждан, для защиты которых в нашей стране был принят отдельный федеральный закон.
Так вот на долю персональных, в том числе паспортных данных, в прошлом году пришлось почти 77% всей скомпрометированной конфиденциальной информации клиентов.
Еще 13,5% - это данные по платежам, оставшиеся менее 10 процентов — данные, составляющие коммерческую тайну организаций.
Объем украденных сведений растет в целом пропорционально накопленным данным – кредитные организации и аккумулируют всё больше информации о клиентах, которую планируют использовать в маркетинговых целях – для настойчивой и адресной рекламы своих продуктов.
Но все чаще получается, что информацией о клиентах, которую банки собирали для себя, пользуются совсем другие юридические и физические лица.
В недобрые руки
Украденные данные в России чаще попадают в руки мошенников — на них приходится более 44% утечек, тогда как в мире в корыстных целях используется только 19,3% скомпрометированной финансовой информации.
Информации, которая содержится в базах, продаваемых на черном онлайн рынке, недостаточно для того чтобы списывать деньги со счетов или оплачивать покупки.
Но ее вполне достаточно, чтобы методами так называемой «социальной инженерии» выманить деньги у перспективных клиентов.
В лучшем случае это сделают маркетологи сторонних компаний – будут настойчиво звонить и писать, нажимая на «нужные точки», чтобы «впарить» свой товар или услугу.
В худшем случае телефонные мошенники уговорят-таки клиента назвать CVV-код банковской карты или одноразовый пароль из СМС и, используя его, перевести деньги на свой счет.
Дополнительная информация из баз данных помогает втереться в доверие.
Как отмечают эксперты «Лаборатории Касперского», злоумышленники, представляясь банковскими работниками, могут предложить сверить паспортные данные, предложить перевести средства на «безопасный счет» и тому подобное.
Будьте бдительны!
Никто не даст стопроцентной гарантии, что личные данные, которые вместе со своими деньгами сегодня клиент оставил в банке, завтра не попадут в чужие руки.
О сохранности своих денег нужно заботиться самим. Причем лучше всего, следуя старым добрым принципам – «Будьте бдительны!» и «Никогда не разговаривайте с незнакомцами!»
В связи с цифровизацией экономики растет и электронный оборот личных данных граждан. Одновременно увеличивается спрос на эту информацию на «черном рынке» и уровень профессионализма тех, кто ее добывает.
У них хватает возможностей для того, чтобы аккумулировать данные о том, где проживает и работает человек, что на него есть у судебных приставов и налоговой службы, какова кредитная история клиента, кто из близких был его поручителем.
И в службах безопасности, и в полиции рекомендуют следовать простым правилам. Самостоятельно перезванивать в банк по ранее вписанным в договор номерам, никому не сообщать одноразовые пароли и не устанавливать по чьей-то просьбе сторонние приложения на смартфон.
Если постоянно звонят с незнакомых номеров с московскими кодами 495, ни в коем случае не перезванивать (со счета сразу уйдут деньги), после каждого такого звонка, заносить номер в черный список благо для этого в смартфонах есть, много приложений.
В Центробанке обещают уделять особое внимание контролю информационных потоков финансовых организаций.
Здесь разрабатывают предложения по усилению защиты персональной информации и планируют в ближайшее время направить их в Минкомсвязь и Роскомнадзор.
Но пока суть да дело, лучше следовать девизу «Помоги себе сам!».
Написать комментарий