Личные данные в банках: утечки и способы защиты
Кто и как крадет персональную информацию из российских финансовых организаций
Платежные данные пользователей в России «утекают» значительно реже, чем в среднем по миру. Однако если в РФ более 75% всех утечек происходит по вине сотрудников финансовых учреждений, то в глобальном масштабе информация становится публичной в основном из-за внешних атак. Для предотвращения «сливов» Центробанк принял ряд требований к участникам рынка. Финансовые организации, в свою очередь, предлагают собственные решения защиты информации. Помимо мер технологического характера, важно проводить разъяснительную работу с персоналом.
КАК УТЕЧКА СТАЛА PR-ХОДОМ
В июне 2019 года появилась новость о том, что персональные данные (ПД) около 900 тыс. россиян – клиентов «ОТП Банка», Альфа-Банка и «Банка Хоум Кредит» – оказались в открытом доступе.
В банках провели внутренние расследования. Впоследствии IT-директор Альфа-Банка назвал информацию об инциденте уткой.
Роскомнадзор оперативно включил сайт phreaker.pro, где базы с информацией о месте работы, остатках на банковском счете, ФИО и паспортными данными граждан размещались для платного скачивания, в Реестр нарушителей прав субъектов ПД.
Причины утечек могут быть разными, но недобросовестную конкуренцию надо рассматривать в первую очередь
Такое заявление сделал президент Ассоциации российских банков (АРБ) Гарегин Тосунян на пресс-конференции.
«900 тысяч – громко звучит, это пиар-ход, не имеющий к реальным событиям никакого отношения», – заявил заместитель руководителя службы ИБ банка «Возрождение» Василий Окулесский.
Эксперт отметил, что налицо отдельный кейс, который был связан «с разгильдяйством» IT-специалистов. «Инцидент, скорее всего, произошел в одном из банков в процессе переноса старой клиентской базы на новое ПО», – сказал он.
«Резервная копия большей части этих данных в результате небрежного отношения персонала давно оказалась в DarkNet, находилась там десять лет. Когда поняли, что ее сложно коммерциализировать, она попала в открытый доступ», – объяснил В. Окулесский.
Часть свежих ПД была скопирована на внешние носители и сфотографирована с экрана монитора. Вероятно, информацию хотел сохранить увольняющийся сотрудник, предположил В. Окулесский.
ФОТО НА РАБОЧЕМ МЕСТЕ – КРАЖА ИЛИ СЕЛФИ?
Доля утечек, совершенных через фотографирование дисплеев компьютеров камерами смартфонов, резко выросла (с 1-2% в 2018 году до 10% в 2019-м), констатировали аналитики компании «Смарт Лайн Инк». Они объясняют это тенденцией к незаконному заказному получению информации («пробиву») об отдельных гражданах.
Внутрибанковским системам видеонаблюдения сложно понять, делает сотрудник селфи или фотографирует данные с экрана, отметил руководитель комитета АРБ по информационным и интернет-технологиям Олег Скворцов. Он уточнил, что такие манипуляции невозможны в иностранных финансовых учреждениях.
В. Окулесский добавил, что
несколько российских банков уже ввели запрет на фотографирование дисплеев компьютеров
Базы ПД в формате Excel с ФИО, телефоном, паспортными данными, адресом продаются в теневом секторе по 20-25 коп. за запись. Комплект из сканов паспорта, ИНН, СНИЛС и водительских прав оценивается в 300 рублей. Выписки за месяц с клиентских счетов из банков, входящих в топ-10, предлагаются от 8 тыс. рублей, рассказал О. Скворцов.
Одним из эффективных способов ограничения доступа к конфиденциальной информации становится использование защитных пленок. Они наклеиваются на экран, затемняют его при просмотре под углом и таким образом препятствуют подсматриванию, рассказала RSpectr специалист по направлению «Материалы и системы для экранов» компании 3М Алиса Шевченко.
Нужно применять не только традиционные методы ИБ, но и защищать сами данные – маскировать их и обезличивать, отметил в разговоре с RSpectr управляющий партнер DIS Group Александр Тарасов. По его словам, эффективная защита включает в себя два этапа. На первом нужно найти данные, которые нуждаются в маскировании. Второй этап – непосредственное блокирование доступа к определенной информации в зависимости от роли сотрудника. «Примеров успешного маскирования ПД достаточно и на зарубежном рынке, и на российском», – пояснил А. Тарасов.
100% БАНКОВ УЯЗВИМЫ
«По данным InfoWatch, более 75% всех утечек в РФ происходит по вине внутреннего, а не внешнего нарушителя», – напомнил RSpectr коммерческий директор IT-компании «Онсек» Дмитрий Огородников.
Согласно исследованию Group-IB, основная масса хакерских атак (70%) в 2018 году в РФ традиционно пришлась на финансовый сектор, при этом:
– 74% банков оказались не готовы к кибератакам,
– у 29% обнаружены активные заражения вредоносными программами,
– более 60% были неспособны централизованно управлять своей сетью.
В конце июня ЦБ сообщил, что обнаружил проблемы с кибербезопасностью во всех 75 проверенных банках. «Нарушения не критические, но в любой момент они могут стать серьезными, если руководители банков закроют на них глаза и ничего не станут предпринимать», – отмечала глава ЦБ Эльвира Набиуллина.
«Современные банки мигрируют в сторону так называемых финтехов*, что кратно увеличивает площадь атаки на них. Постоянный поиск и использование новых технологий (не всегда безопасных), а также гонка за конкурентами приводят к тому, что банковские продукты не успевают проходить соответствующие тестирования безопасности», – объяснил RSpectr начальник отдела консалтинга Центра ИБ «Инфосистемы Джет» Павел Волчков.
Он также отметил основные вызовы для банков:
– сокращение отставания ИБ от IT: наращивание усилий в области комплексной защиты разработки (DevSecOps), защита веб-приложений, облаков и больших объемов данных (Big Data);
– необходимость соответствовать большому количеству нормативных актов по ИБ, которые не всегда адекватно предписывают защиту новых технологий.
«Финансовый сектор ориентируется на удобство клиентов, поэтому банки торопятся внедрить технологии и цифровые услуги, даже если в них есть уязвимости. Это осознанный риск: если продукт появится на рынке раньше, банк заработает больше денег, которые можно потратить в том числе на его ИБ-защиту. В результате ни один российский банк “в моменте” не защищен полностью», – высказал RSpectr свою точку зрения руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Эксперт сослался на недавнее исследование, в котором говорится, что 100% банков уязвимы.
МЕТОДЫ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ
Положительным сдвигом А. Парфентьев называет требования ЦБ по обеспечению кибербезопасности, которые вступили в силу 1 июня 2019 года.
Раньше кредитные организации должны были обеспечивать ИБ только при проведении операций по переводу денег, а теперь норма действует и в отношении процедуры по привлечению вкладов.
Документ также обязывает банки один раз в год проводить анализ уязвимостей в ПО с участием сторонних специалистов.
Главное, чтобы требования выполнялись по факту, а не «на бумаге», отмечает А. Парфентьев.
По мнению директора департамента ИБ Oberon Андрея Грузинова, создать федеральный закон, которой будет полностью обеспечивать безопасность, не представляется реальным. Объясняет он это несхожестью инфраструктур в банках и невозможностью ежедневного внесения изменений, учитывающих новые угрозы и способы защиты.
Г. Тосунян напомнил, что еще год назад банки не сообщали о хакерских атаках в ЦБ: участие в информационном обмене было добровольным. С 1 июля 2018 года уведомление о нападениях и предложение планируемых мер стали обязательными для всех кредитных организаций. Тогда же была введена в эксплуатацию автоматизированная система обработки инцидентов. По информации АРБ,
на основе этой структуры вскоре будет запущена база данных о случаях и попытках осуществления переводов денег без согласия клиента
InfoWatch подтверждает, что платежные данные российских пользователей «утекают» значительно реже, чем в среднем по миру.
Тем не менее, отметил А. Грузинов, «для любой информационной системы (не только банкам) важно проводить регулярный аудит, пользоваться услугами пентестеров и так называемых редтимеров, которые проверяют сеть на наличие угроз и имитируют атаки хакеров». В дальнейшем по таким отчетам можно выстроить или дополнить существующую ИБ-инфраструктуру.
Защита данных клиентов в России происходит на многих уровнях и не сводится только к противодействию хакерским атакам и разграничению прав доступа к информации у сотрудников банка, рассказал RSpectr ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. Это также:
– защита банковских приложений для смартфонов, которые сканируют устройство на наличие вредоносных программ перед началом работы со счетами в банке;
– комплексная защита карточного процессинга и всех внутренних систем банка, обрабатывающих данные клиентов.
На каждом из этих уровней мы наблюдаем совершенствование систем безопасности и повышение степени защищенности, отметил С. Голованов.
«Если раньше защиту от кибератак встраивали в уже существующую архитектуру, то сейчас “безопасников” подключают еще на этапе проектирования системы. И это правильно. Подушки безопасности в автомобиль необходимо устанавливать на заводе, а не силами автовладельца после покупки», – отметил в разговоре с RSpectr директор по бизнес-развитию направления биометрических систем группы компаний ЦРТ Андрей Хрулев.
Участники рынка сегодня активно предлагают собственные решения. В частности,
Сбербанк анонсировал платформу для обеспечения ИБ Threat Intelligence Platform, которая позволит прогнозировать действия киберпреступников
По словам В. Окулесского, помимо технологической защиты, важна воспитательная работа с персоналом. Необходимы как разъяснения, так и публичные наказания в случае обнаружения фактов утечек, считает он. При этом службы внутренней безопасности в банках должны следить за настроениями сотрудников и уделять повышенное внимание тем, кто намерен искать новую работу.
Д. Огородников добавил, что «доля умышленных “сливов” информации в нашей стране не так высока, и большая часть внутренних нарушений в банках связана с халатностью и небрежным обращением с конфиденциальными данными». Эксперт также подчеркнул важную роль повышения осведомленности внутреннего персонала в вопросах защиты информации и проведения киберучений.
5G и IoT – ОПАСНОСТЬ ДЛЯ ИБ?
Угрозу для ИБ эксперты видят и в развитии новых технологий. 20 июня на Международном конгрессе
Сбербанк назвал 5G риском для кибербезопасности, поскольку сети пятого поколения не только быстро передают информацию, но и препятствуют скорой остановке ее утечки
Аналитики отмечают и дополнительные риски удаленной идентификации. Банковские трояны в мобильных приложениях могут перехватывать изображение с камер и голос с микрофона – таким образом возможна подмена личности клиента.
На Конгрессе эксперты говорили, что интернет вещей также несет угрозы защите личных или корпоративных данных. Объектом DDoS-атак может стать любое устройство, находящееся в банке – роутер, видеокамера, чайник и т. д.
Однако Д. Огородников считает, что не стоит беспокоиться, поскольку инструменты ИБ совершенствуются так же быстро, как навыки и умения хакеров. Особенно в тех отраслях, которые, как и банковские услуги, «завязаны» на сохранности клиентских данных.
Например, «Лаборатория Касперского» в 2019 году разработала руководство для защиты интернета вещей с точки зрения ИБ.
По мнению А. Грузинова, не 5G, IoT и биометрия будут виновны в утечках данных. Это всего лишь способ передачи и взаимодействия, где обязанности по защите возлагаются на систему, предоставляющую услуги.
А. Хрулев рассказал RSpectr, что продукты разработчика голосовой и лицевой биометрии, речевой аналитики, синтеза и распознавания речи ГК ЦРТ оснащены защитой от взлома, мошеннических атак и человеческих ошибок. Технология liveness detection позволяет системе не просто опознать пользователя, но и подтвердить, что перед ней не синтезированная копия лица или голоса.
Эксперт ГК ЦРТ рекомендует клиентам банков сдать свои биометрические образцы, пока за них это не сделали мошенники: в этом случае профиль пользователя уже не сможет быть связан с данными злоумышленника.
***
Собеседники RSpectr единодушны в том, что утечки ПД – не специфическое банковское явление, а проблема общества, обусловленная в том числе низким уровнем цифровой грамотности пользователей.
Эксперты рекомендуют пользователям никому не сообщать по телефону ПД или данные о своих платежных картах и электронных кошельках, обновлять антивирусное ПО, использовать сложные пароли при доступе к сервисам в интернете, не подключать оплату гаджетами сомнительного производства, учиться распознавать фишинговые сайты и в целом заботиться об информационной безопасности.
*FinTech – отрасль, игроки которой используют финансовые инновации, чтобы конкурировать с традиционными сервисами в банковской сфере.
**ФинЦЕРТ – центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, структурное подразделение Банка России.
Изображение: lori.ru, RSpectr
ЕЩЕ ПО ТЕМЕ:
Российские особенности утечек данных
В мировом рейтинге стран, пострадавших от утечек, Россия заняла второе место с долей в 12%. На первом с огромным отрывом находится США.