Подразделение ЦБ по кибербезопасности «ФинЦЕРТ» в годовом отчете обнародовало новые сведения по утечкам персональной информации клиентов банков. Картина выглядит зловещей, а масштаб проблемы — огромным.
Алексей Меринов . Свежие картинки в нашем инстаграм
Основная масса мошеннических действий со счетами физлиц (97%) приходится на социальную инженерию: это когда злоумышленники звонят потенциальной жертве и, представляясь сотрудником банка, «вытаскивают» из неё данные о платежной карте, которая якобы подверглась опасности. По словам опрошенных нами экспертов, ответственность за эту ситуацию несут и банки, и их клиенты, и государство, не предоставляющее гражданам должной защиты.
Всего за этот год было выявлено около 13 тысяч предложений по покупке или продаже личных данных россиян. При этом лишь 12% всех баз данных с персональной информацией проистекают из кредитных организаций, уточняет «ФинЦЕРТ».
В числе прочих каналов утечек — онлайн-магазины. Пользователь сам вводит свои имя и фамилию, а номер банковской карты мошенники могут считать с помощью компьютерных вирусов. Что касается банков, то, как правило, их сотрудники сами подпадают на уловки тех, кто научился обходить спам-фильтры для рассылки писем с вирусами. Получив послание со словами «ваше письмо не доставлено», банковские служащие порываются сразу же открыть вложенный файл.
Пожалуй, самый резонансный пример утечки в открытый доступ персональных данных явил Сбербанк. Изначально в интернете появилось объявление о продаже 60 млн записей о кредитных картах его клиентов. Сам банк сообщил о 200 скомпрометированных картах, потом их число выросло до 5 тысяч.
Все карты были перевыпущены, а финансовый институт поспешил успокоить общественность: мол, 4 октября его служба безопасности вместе с правоохранительными органами обнаружила виновника — сотрудника 1991 года рождения. Будучи руководителем одного из бизнес-подразделений Сбербанка, этот человек имел доступ к базам данных, которые попытался украсть в корыстных целях. Замять скандал в целом удалось, но нынешним и потенциальным клиентам крупнейшей в России кредитной структуры от этого не легче. Гарантии, что подобное не повторится, им никто не даст.
Впрочем, на Сочинском форуме Finopolis глава Сбербанка Герман Греф заявил, что его организация существенно изменит механизм защиты от внутренних проникновений в систему. По словам Грефа, банку удалось выстроить «очень сильную защиту снаружи», но нерешенным вопросом осталась «уязвимость изнутри».
«Масштаб проблемы утечек персональных данных действительно велик, но сделать с ней пока ничего не удается, — говорит инвестиционный менеджер «Открытие Брокер» Тимур Нигматуллин. — Вспомним известный афоризм: «Данные — это новая нефть». Кто владеет информацией, тот владеет ценнейшим ресурсом, который в долгосрочной перспективе обернется устойчивыми денежными потоками».
«Трюк с подменой телефонных номеров — одна из наиболее болезненных на сегодняшний день махинаций, — отмечает заведующий кафедрой факультета финансового и банковского дела РАНХиГС Константин Корищенко. — Борьба с этим технологическим новшеством — задача не ЦБ, а правоохранительных органов. И это, что еще важнее, вопрос элементарного здравомыслия».
Конечно, и банки, и чиновники, и финансисты многократно предупреждали граждан, чтобы они никогда никому ничего по телефону не сообщали. Но, судя по обнародованным данным ЦБ, это не очень помогает, рассуждает собеседник «МК». Эксперт сомневается, что ЦБ способен хоть как-то повлиять на сложившуюся ситуацию, он может лишь ввести некое дополнительное регулирование, которое, как показывает опыт, затруднит жизнь обычным банкам. «Прививать людям «финансовую гигиену» — не его задача. Если человек не имеет головы на плечах, вы хоть триста новых законов примите, никакого смысла не будет», — резюмирует Корищенко.
По мнению Тимура Нигматуллина , многие игроки рынка банковских услуг не инвестируют в должной мере в актив под названием «сохранность данных». Такая недальновидность чревата подрывом их бизнес-позиций, независимо от нынешнего статуса: речь может идти о ком угодно, включая крупнейшие госбанки.
Проблема состоит и в том, что эти риски не чувствует и государство. Взять хотя бы вступивший в силу в прошлом году «закон Яровой». Пакет этих антитеррористических поправок обязывает российских операторов связи хранить звонки, письма, разговоры клиентов в течение шести месяцев. Но как уберечь эту информацию от утечки — об этом закон молчит. Мало того, государство не собирается привлекать к ответу банки, виновные в потере данных. Зато ширится набор навязываемых гражданам услуг, предполагающих раскрытие ими паспортных данных, ИНН, СНИЛС и прочего.