Advokat-inform.ru

Юридический советник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Утечка персональных данных из банка

Эксперты: профилактика утечек персональных данных клиентов банков должна осуществляться путем совершенствования технических решений и управления персоналом

В современном обществе достаточно остро стоит вопрос обеспечения информационной безопасности. Речь идет в том числе и о проблеме защиты персональных данных. Персональные данные, напомним, – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физлицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Персональными данными могут являться имя, фамилия, отчество гражданина, информация о поле, возрасте, месте рождения и проживания, изображение человека, биометрические данные, номер телефона, адрес электронной почты, паспортные данные, сведения о финансовом положении и т. д. Крупными операторами данных о клиентах являются банки. При этом граждане, как правило, чувствительно относятся к нарушениям порядка обработки персональных данных в этом секторе.

К сожалению, на что обратил внимание руководитель комитета Ассоциации российских банков по информационным и интернет-технологиям, член совета директоров банка «Юнистрим» Олег Скворцов, если в поисковой строке браузера задать запрос по типу «купить персональные данные», то система выдаст множество соответствующих ссылок. Теневой рынок торговли персональными данными достаточно обширен. При этом эксперт отметил, что банковская система на самом деле является более защищенной от утечек персональных данных, по сравнению, например, с рынками страхования и микрофинансирования. Но соответствующие проблемы в банковском секторе, как правило, «громче» освещаются.

«Проблема защиты персональных данных будет развиваться по нарастающей. Чем интенсивнее развивается электронное взаимодействие, тем больше рисков», – считает президент Ассоциации российских банков Гарегин Тосунян. Причины утечек персональных данных, как заметил представитель банковского сообщества, могут быть различными, в том числе связанными с ошибками при разработке или настройке программного обеспечения либо целенаправленными действиями злоумышленников. Комментируя ситуацию недавней утечки данных о клиентах трех разных банков (как сообщается в СМИ, в свободном доступе оказались суммарно данные примерно о 900 тыс. физлиц) эксперт указал на то, что утечки были в прошлом и еще будут, но банковская система ищет способы эффективной борьбы с такими явлениями. Гарегин Тосунян подчеркнул, что в современных условиях люди должны осознавать риски возникновения подобного рода ситуаций, так как невозможно достичь стопроцентного уровня гарантированности защиты персональных данных. Кроме того, большим количеством информации, которая может использоваться в мошеннических целях, люди делятся добровольно, например в соцсетях.

БЛАНК

Утечки могут быть связаны с внешним проникновением в банковские системы или действиями сотрудников банков. Олег Скворцов, ссылаясь на статистику «Смарт Лайн Инк», указал, что большая часть утечек (76%) происходит при задействовании съемных носителей, 10% инсайдерских утечек данных реализуется посредством фотографирования экрана монитора рабочего компьютера сотрудника с выведенной на него информацией из базы данных, 5% утечек осуществляется посредством воспроизведения данных на бумажных носителях, 4% – с помощью электронной почты, 3% – через мессенджеры, соцсети, и еще 2% – через облачные файловые хранилища. Эксперт считает, что для предотвращения утечек необходимо совершенствовать технические решения и проводить профилактическую, дисциплинирующую работу с сотрудниками. В качестве примера технического решения, препятствующего копированию данных, Олег Скворцов привел невозможность в некоторых CRM-системах увидеть номер телефона клиента. Вызов при этом может осуществляться только с помощью соответствующей кнопки в самой системе. Но ключевым направлением профилактики утечек персональных данных эксперт считает именно обучение сотрудников, разъяснение им правил обработки данных и последствий их нарушения.

При несанкционированном копировании персональных данных преследуется, как правило, цель их коммерциализации (в таких случаях незаконной). Данные чаще всего используются для предложения товаров и услуг либо в мошеннических схемах. Олег Скворцов предупредил, что распространенным, например, является так называемое телефонное мошенничество, когда лицу поступает звонок от якобы службы безопасности банка. Мошенники в таких случаях, как правило, сообщают о подозрительных транзакциях по карте и просят назвать CVV-код.

Во взаимодействии человека с информационной системой «слабым звеном» является, как полагает заместитель руководителя службы информационной безопасности банка «Возрождение» Василий Окулесский, в первую очередь человек. Эксперт согласен с Олегом Скворцовым в том, что обеспечение информационной безопасности, в том числе в отношении персональных данных, должно развиваться в двух направлениях: совершенствования технических решений, средств, а также систем управления бизнес-процессами и персоналом. Банковские HR-департаменты и службы безопасности, например, должны, как заметил эксперт, внимательно относиться к сотрудникам, находящимся в поисках новой работы.

Гарегин Тосунян обратил внимание на то, что в рамках обеспечения информационной безопасности в банковском секторе принимаются и институциональные меры регулятором. Так, с 1 июля 2018 года начал действовать Стандарт Банка России СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге». Василий Окулесский подчеркнул, что в целом уровень защищенности информации в российской банковской системе высокий. Так, по словам эксперта, с 2015 года в России прекращен выпуск так называемых исключительно «полосатых» банковских карт [информация на таких картах записывается на магнитной полосе. – ГАРАНТ.РУ]. С тех пор эмитируются чипированные карты либо карты и с магнитной полосой, и с чипом. Карты с чипом являются, как пояснил Василий Окулесский, более надежными, так как их сложнее «копировать».

Читайте так же:
Можно ли оформить управление бизнесом на несовершеннолетнего

Эксперты полагают, что действующего правового регулирования в целом достаточно для обеспечения информационной безопасности в банковском секторе и, в частности, защиты персональных данных. В ситуациях утечки данных о клиентах банков могут применяться в рамках привлечения кредитных организаций и должностных лиц к ответственности, например, ст. 13.11 КоАП (нарушение законодательства Российской Федерации в области персональных данных), ст. 13.14 КоАП РФ (разглашение информации с ограниченным доступом). Кроме того, причастные к утечке данных и их неправомерному использованию физлица могут быть привлечены к уголовной ответственности. Василий Окулесский подчеркнул, что речь может идти о различных статьях Уголовного кодекса – все зависит от квалификации деяний. Применимыми могут оказаться ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), ст. 159 УК РФ (мошенничество), ст. 159.1 УК РФ (мошенничество в сфере кредитования) и другие. Эксперт при этом обратил внимание на высокий уровень латентности правонарушений, связанных с утечкой персональных данных, то есть на большое количество не выявленных и не отраженных в официальной статистике нарушений. Этот уровень, по его словам, достигает 90-99%. Олег Скворцов связывает такой высокий уровень латентности с локальными утечками, то есть такими, которые касаются копирования небольших объемов данных сотрудниками банков даже с помощью простого переписывания их в блокнот, в том числе для какого-либо личного использования.

Из банков утекают данные клиентов

С вероятностью 66% ваши персональные данные окажутся в открытом доступе или будут продаваться на черном рынке. Если банк незаконно передал информацию о вас другому лицу, вы вправе обратиться в суд или попросить об этом Роскомнадзор

Из банков утекают данные клиентов

За январь – сентябрь 2020 г. в России утекло 96,5 млн записей персональных данных и платежной информации. 4 февраля 2021 г. об этом сообщила первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова на конференции, посвященной формированию единой цифровой среды доверия в обществе.

Давайте-ка посчитаем вместе: население России составляет 146,8 млн человек. Если на каждого человека приходится по одной записи персональных данных, то 96,5 млн записей – это примерно 66% от их общего объема. При грубом подсчете именно с такой вероятностью сведения о нас окажутся в открытом доступе.

Чаще утечки информации обнаруживают в госсекторе, IT-индустрии и сфере финансов. Особенно большой резонанс вызвала утечка персональных данных клиентов Сбербанка летом 2019 г., когда на черном рынке оказалась база данных с информацией о владельцах 60 млн кредитных карт.

В России персональные данные защищаются прежде всего Законом «О персональных данных», а в банковской сфере – Законом «О банках и банковской деятельности» и нормами Гражданского кодекса РФ.

В статье речь пойдет о наших правах и возможностях их защитить в отношениях с банками.

Как банки используют персональные данные и как клиенты на это соглашаются?

Банк является оператором персональных данных, которые он собирает и обрабатывает для выполнения своих функций. Под обработкой данных подразумевается целый набор действий: сбор, запись, систематизация, накопление, хранение, уточнение и т.д.

Такая работа с личной информацией клиентов возможна только с их письменного согласия. Но обычно человек не обращает внимания на то, когда и в каком объеме он разрешает обрабатывать свои персональные данные. Согласие может быть дано при посещении офиса в бумажном документе или через Интернет во время заполнения формы на сайте и даже просмотра информации на нем.

Например, Сбербанк разместил на своем сайте такую информацию для пользователей:

«Продолжая работу на сайте, я выражаю свое согласие ПАО Сбербанк на автоматизированную обработку моих персональных данных … с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам…»

Чтобы узнать, какие полномочия предоставлены кредитной организации, можно обратиться с письменным запросом в отделение банка или найти образец согласия на обработку персональных данных на его сайте.

Тут может возникнуть вопрос: а что, если не соглашаться на обработку данных? Субъект персональных данных принимает решение об их предоставлении и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона «О персональных данных»). Вы можете не передавать данные банку или не разрешить их обрабатывать. Но в этом случае банк вправе отказать вам в оказании услуг.

Что будет с персональными данными, когда отношения с банком прекратятся?

Закрытие счета или погашение кредита не означает автоматического уничтожения персональных данных. Для этого необходимо подать заявление об их отзыве или уничтожении. Чтобы быть уверенным в том, что их у банка не осталось, можно запросить акт о прекращении обработки данных или выписку из журнала учета уничтожения персональных данных.

Читайте так же:
Оплата экспертизы ущерба по осаго

На сайте Роскомнадзора подробно расписано, как уничтожаются личные данные клиентов:

«Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются оператором».

При этом даже в случае запрета обрабатывать данные клиента банк может продолжать это делать. Например, при сохранении договора с банком для работы с ним (п. 5 ч. 1 ст. 6 Закона «О персональных данных»). Также кредитное учреждение сохраняет личную информацию о клиенте в течение не менее 5 лет с момента истечения срока договора согласно ч. 4 ст. 7 Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». И наконец, кредитные организации сохраняют первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее 5 лет (ст. 17 Закона «О бухгалтерском учете»).

Суды придерживаются такой же позиции. Один из примеров: гражданин обратился с требованием о прекращении правоотношений с банком и направлении ему акта об уничтожении сведений, содержащих персональные данные. В заявленных требованиях суд отказал, поскольку банк должен хранить персональные данные клиентов в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу 1 .

Может ли банк передать персональные данные клиентов другим организациям?

Банк вправе поручить обработку данных сторонней организации с согласия субъекта персональных данных (п. 3 ст. 6 Закона «О персональных данных»). Это возможно, например, при проведении рекламной кампании и сборе заявок или хранении собранной информации на серверах IТ-компаний.

Но для таких действий необходимо согласие клиентов. И, как правило, они его дают. Выше приводилась выдержка из согласия на обработку персональных данных с сайта Сбербанка. В нем есть такая фраза: «…передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам». Чаще встречаются более расплывчатые формулировки – просто упоминается о передаче данных сторонним организациям. Иногда ставят ссылку на перечь организаций-партнеров, которым может передаваться информация.

С кредитной организацией трудно будет договориться о корректировке таких формулировок. Как уже было сказано, в случае несогласия предоставить персональные данные банк может отказать в оказании услуг. Тем не менее всегда обращайте внимание, на что вы даете свое согласие, особенно при заключении договоров с организациями из других сфер.

Как защитить свои права?

Чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы.

В случае нарушения ваших прав вы можете обратиться в суд с требованием о возмещении морального вреда. Но доказать придется и факт передачи персональных данных, и незаконность такой передачи. Вы вправе также заявить требование о запрете дальнейшего распространения информации и иного нарушения прав. Но, как указано выше, в подобных требованиях суд может отказать, если речь будет идти об обязанности банка хранить данные в течение 5 лет или о предоставлении информации уполномоченным органам.

Подавать исковое заявление можно в суд по месту регистрации гражданина. На это указал Верховный Суд РФ в Определении от 14 июля 2020 г. № 58-КГ20-2 (читайте об этом в новости «ВС: Роскомнадзор вправе подавать иск в порядке гражданского судопроизводства»).

Суды нередко выносят решения в пользу граждан. Только размеры компенсации морального вреда составляют всего несколько тысяч рублей. Например, в одном из дел, рассмотренных Новосибирским областным судом, передача информации о клиенте банком коллекторской организации была признана незаконной, но размер компенсации морального вреда составил лишь 5 тыс. руб. 2

Чтобы попробовать увеличить размер компенсации, можно запастись справками о своих физических и нравственных страданиях. Например, подойдут выписки из медицинских документов, подтверждающие осмотры терапевта и невролога, к которым пришлось обращаться с жалобами на головные боли, нарушение сна и иные симптомы, возникшие из-за постоянных звонков коллекторов.

1 Апелляционное определение Московского городского суда от 14 июня 2019 г. по делу № 33-25479/2019.

2 Определение Новосибирского областного суда от 21 января 2014 г. по делу № 33-383/2014.

Когда россиян защитят от утечки персональных данных

Касперская настаивает на краже и продажах, так как, по данным Центробанка, 77% утечек приходится на инсайдеров — внутренних сотрудников, повинных в том, что в 2020 году у граждан с карт и счетов было похищено около 10 миллиардов рублей. Именно как кражу (статья 158 УК РФ и 13 АК РФ) и последующую продажу (так же статься 158 УК) и халатность (статья 293 УК) предлагает квалифицировать утечку персональных данных разработанный юристами и правозащитниками "Кодекс по защите цифровых прав и свобод". Правда, не в компетенции "Кодекса" назначение штрафов. Штрафы законом установлены мизерные: до 20 тысяч рублей с физических лиц и до миллиона рублей — с юридических.

Читайте так же:
Жалоба или заявление в МЧС, в пожарную инспекцию по нарушению, образец

Фото: Михаил Метцель / РИА Новости

— Ситуация давит ожиданием, — комментирует член СПЧ и один из разработчиков "Кодекса" Игорь Ашманов. — "Кодекс" в целом разработан, проходит систему согласования и доработки в федеральном правительстве, ФСБ и Совете безопасности РФ. Оттачивание документа потребует примерно год-полтора, чтобы кодекс полноправно влился в систему российского законодательства.

Пока же правозащитники просят быть осторожными. Например, не давать в сеть персональные данные. Или на курорте, чтобы взять в прокат велосипед (лыжи и т.д.), надо дать ксерокопию паспорта и кредитную карту, которую блокируют на время проката. Потом люди удивляются: как более 30 миллионов персональных данных россиян, по данным РОЦИТ, утекли из Фейсбука в коммерческие структуры и к мошенникам. При этом 51% пользователей, по данным НИУ ВШЭ, не знают, как хранить не только данные почтового ящика или соцсетей, но и своих банковских карт, а 81% уверены, что "это автоматические делает государство".

Пока государство приняло закон о запрете на распространение персональных данных граждан без их согласия. Он вступил в силу 1 марта 2021 года. По закону пользователи могут сами выбирать, каким сайтам и на какой срок они разрешают использовать личную информацию. Люди могут потребовать от ресурса прекратить распространение своих данных. Если через три дня ресурс этого не сделает, человек вправе обратиться в суд. Однако сбор доказательств перекладывается на пользователя и обходится от 5 до 15 тысяч рублей, что не гарантирует отказа от защиты его прав.

— Нарушение хранения персональных данных, особенно иностранными платформами, закон переложил с потребителя на оператора, — говорит заместитель руководителя Роскомнадзора Милош Вагнер. — Они не все выполняют положения закона. Мы направили порядка 3 тысяч писем с такого рода нарушениями, но опять проблема: штрафы за несоблюдение закона от 1 до 10 миллионов мелкие компании разорят, а крупные их не заменят. Закон надо доводить.

Вагнер, особо подчеркнул, что в случае с иностранными IT-компаниями, например, гигантами — Facebook или Google, защита личной информации вовсе не гарантирована до тех пор, пока они не подчиняются российской юрисдикции.

Фото: РИА Новости

— Цифровые права людей пока есть на бумаге, а принятый закон и подготовленная СПЧ "Концепция по защите цифровых прав и свобод" — первый шаг к тому, чтобы человек был их хозяином, — убежден Игорь Ашманов. — Дальше надо ориентироваться на принятие "Концепции", которая вольется в закон, в виде поправок к нему. Другой ориентир — закон о приземлении иностранных платформ. Он вступит в силу в 2022 году, и даст право пользователю на отзыв своих персональных данных.

Эксперты СПЧ уверены в том, что надо искать досудебный формат удаления персональный данных по требованию их носителя — через закон. Когда в силу вступит закон о "приземлении" иностранных платформ, право удалять в досудебном порядке личные данные станет нормой. И тут важно, поэтапно упрощать закон для понимания людей, например, через "Концепцию по защите цифровых прав и свобод". Как шаг на этом пути, СПЧ предлагает отменить положение о том, что сетям "по умолчанию" можно использовать персональные данные.

ЦБ и Visa предупредили банки об утечке данных 55 тыс. карт

Фото: Семен Лиходеев / ТАСС

Банк России предупредил кредитные организации об утечке данных 55 тыс. карт, рассказали РБК два источника в банковском секторе, информацию подтвердил собеседник, близкий к ЦБ. По словам четырех собеседников в банках, в Сеть попали данные клиентов маркетплейса Joom (юридическое лицо зарегистрировано в 2016 году в Риге), специализирующегося на доставке товаров из Китая по всему миру.

РБК нашел несколько объявлений об этой базе на специализированных сайтах и в Telegram-каналах, которые были опубликованы на прошлой неделе, — в большинстве из них данные можно скачать бесплатно.

Сообщения от ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России) приходили только банкам, чьи карты использовали клиенты из базы, уточнили источники РБК. Платежная система Visa также проинформировала кредитные организации об утечке, знают три источника. РБК направил запросы в ЦБ и Visa.

База данных содержит первые шесть и последние четыре цифры номера карты, срок ее действия, указание платежной системы и банка, который выпустил карту, а также ФИО, контактные данные (телефон и электронную почту) и адрес проживания. Представитель Joom сказал, что утечка действительно произошла в марте этого года — в результате того что злоумышленники получили доступ к ресурсам одного из контрагентов Joom, с ним маркетплейс уже прекратил отношения, а угроза дальнейшей утечки была устранена. Компания сообщала о ней еще в марте, но тогда речь шла только об именах, адресах, номерах телефона и данных электронной почты (без информации о банковских картах) «как минимум 1 тыс. пользователей» в России и Белоруссии, а не о 55 тысячах.

Читайте так же:
Улучшение условий при сносе пятиэтажки

Фото:Steven Senne / AP

«Подтвердить информацию об объеме в 55 тысяч мы не можем: сперва нам нужно изучить опубликованную базу и проанализировать ее на предмет соответствия нашим данным», — сказал представитель интернет-магазина.

Какие данные попали в Сеть

В базе содержатся сведения о картах и клиентах разных кредитных организаций, в том числе Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, Юникредит Банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС Банка, УБРиР и других российских, а также зарубежных банков.

Сбербанк в курсе инцидента и получил уведомления от платежных систем, однако не зафиксировал данные карт своих клиентов в утекшей базе, сказал РБК представитель банка. В ней были сведения о картах четырех клиентов зарубежных «дочек» Сбербанка, но им ничего не угрожает, добавил он. Райффайзенбанк получил предупреждение ФинЦЕРТ, подтвердил его представитель. Об утечке также знают «Открытие», Промсвязьбанк, «Санкт-Петербург», Росбанк и МКБ. «Данные, которые в результате допущенной маркетплейсом утечки попали в открытый доступ, не позволяют мошенникам похитить средства с карты», — подчеркнул представитель Промсвязьбанка. О том, что «речь идет о технических данных, которые не открывают доступ к счетам», говорит и представитель «Санкт-Петербурга».

Фото:Игорь Иванко / АГН «Москва»

«Открытие» взяло на дополнительный контроль все операции по картам своих клиентов из базы. Райффайзенбанк заблокировал скомпрометированные карты и сообщил клиентам о перевыпуске карт, Промсвязьбанк намерен это сделать в ближайшее время. Qiwi заблокировала карты и предложила пользователям их перевыпустить или компенсировать стоимость. МТС Банк, УБРиР и РНКБ предупреждают своих клиентов с картами из базы об их компрометации и необходимости перевыпуска. «Зенит» оперативно заблокировал и перевыпустил карты.

МКБ самостоятельно выявил утечку еще в июле и принял дополнительные меры безопасности относительно всех карт, данные которых оказалась в открытом доступе. У большинства карт Абсолют Банка из этой базы уже истек срок действия, а карты активных клиентов будут перевыпущены, сообщил управляющий директор банка Олег Кусеров. Росбанк реализовал «планы противодействия подобным угрозам», отметил его директор по розничному бизнесу Алексей Лола. «Санкт-Петербург» связывается с клиентами, чья личная информация могла быть скомпрометирована, блокирует их карты и предлагает выпустить новые, сообщили в его пресс-службе.

Что грозит клиентам из базы

«В этой базе нет данных, с помощью которых мошенники могли бы без подтверждения клиента совершить платежные операции», — успокаивает представитель «Открытия». По словам руководителя направления комплаенса и аудита группы компаний Softline Ильи Тихонова, эти данные могут использоваться только с целью мошенничества путем социальной инженерии, когда мошенники обманывают банковских клиентов, для убедительности используя персональную информацию из баз. По данным ЦБ, в 2019 году в 69% случаев при хищении денежных средств с банковских счетов граждан использовалась социальная инженерия. Всего за прошлый год преступники украли у банковских клиентов 6,42 млрд руб.

Интернет-магазины традиционно являются одним из самых слабо защищенных сегментов, так как их создатели уделяют недостаточно внимания вопросу защиты от кибератак, продолжает Тихонов: «Исходя из характера данных, я могу предположить, что они были получены путем внешней атаки: использовалось вредоносное ПО, перехватывающее данные в процессе оплаты». Чаще в Сеть попадают данные клиентов интернет-магазинов без платежной информации, с данными карт — всего лишь несколько раз в год, добавляет основатель и технический директор компании DeviceLock Ашот Оганесян.

База находится в свободном доступе в нескольких местах, ее могли скачать сотни человек, поэтому мошенникам будет сложно ее использовать, отмечает Оганесян: «Если клиентов прозвонили по одному разу, то эффективность следующих прозвонов стремится к нулю, так как жертвы телефонных мошенников становятся бдительнее».

Утечки персональных данных из банка: насколько это опасно и как защитить себя

Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты со специалистом в области расследований Никитой Артемовым.

Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают».

В связи с этим у обычного человека возникают вопросы:

  1. Почему такие утечки случаются?
  2. Какая информация может «утекать»?
  3. Насколько эти утечки опасны для каждого из нас и что с этим делать?

Разберемся по порядку.

Почему наши данные «утекают»

Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.

Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого. Особенно когда конечной целью является получение базы данных клиентов. Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.

Читайте так же:
Как доказать, что гараж в собственности

Какая информация может быть в утечках

Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф. И. О. по понятным причинам считаются очень ценными. Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем. А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф. И. О. клиентов, будет на порядок ниже.

Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих. В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.

В чем опасность

Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.

1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное). Эффективность этого метода до сих пор составляет порядка 10—12%. Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества. «Второе дыхание» у фишинга открылось в последний год благодаря пандемии.

2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки. Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».

Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.

Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года. Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка. Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент. В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов. Туда достаточно ввести данные паспорта жертвы.

К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.

Как с этим бороться?

Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов. Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно. Например, не ясно, на какие именно финансовые организации будет распространяться запрет. Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций. И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.

Что можете сделать лично вы?

Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил. То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием. И в целом повышайте свой уровень знаний в области цифровой гигиены. В современных реалиях это стало одним из важнейших навыков.

голоса
Рейтинг статьи
Ссылка на основную публикацию