Дня не проходит, чтобы в новостях не сообщили, что очередной клиент пообщался с «сотрудником» банка и расстался с энной суммой денег. А примерно раз в месяц СМИ рассказывают о «новом способе мошенничества», который изобрели злоумышленники. На деле ничего нового в этих способах нет. Вся новизна — в объеме подробностей о жертве, которые теперь злоумышленники используют для своих манипуляций. Это делает их атаки более точечными и действенными.
Утечки персональных данных стали универсальной проблемой. Одинаково незащищенными оказались и бабушка с пенсионной карточкой, и олигарх с платиновой. Информация о каждом гуляет в даркнете. Только стоит разных денег.
Что и почем?
Главные поставщики информации — инсайдеры. В паре со злоумышленником на стороне они составляют настоящую боевую ячейку. «Вербовочные» сервисы работают в русскоязычном сегменте даркнета практически открыто. Через них вербовщики договариваются с сотрудниками банков, которые поставляют информацию о клиентах. Предложения разнообразны. В даркнете можно купить:
- готовую базу;
- базу по конкретным параметрам, например, держатели карт крупного банка с остатком на карте 100 тысяч рублей. Работают по схеме «вечером деньги, утром архив»;
- информацию по VIP-клиентам с выборкой по региону, городу, профессии и т. п.
Стоимость так называемого пробива зависит от «дырявости» банка, объема запрашиваемой информации и должности инсайдера. Чем серьезнее должность и уровень доступа, тем дороже услуги. Наши аналитики выяснили, что в среднем за пробив состояния счета жертвы берут от 5000 до 15 000 рублей. Срок исполнения — от нескольких минут до недели с момента получения оплаты. Самое дорогое предложение по «пробиву банковской информации», — 300 000 рублей за данные по конкретному человеку из всех банков РФ.
Но такие «гибридные атаки» — только вершина айсберга. Инсайдеры часто и сами организуют схемы. Вот примеры кейсов, которые встречаются в судах по уголовным статьям 159.6 (мошенничество), 183 (незаконное разглашение сведений), 272 (неправомерный доступ к компьютерной информации): сотрудники снимают деньги со счетов, о которых клиент, вероятно, забыл; подменяют телефонные номера в карточках клиентов, чтобы незаметно вывести деньги; открывают счета на клиентов, чтобы «прогонять» по ним деньги. Из самого безобидного — сообщения «по дружбе» о том, сколько денег на счете у бывшего мужа.
Корень проблемы
Хочется спросить: почему такой бардак образовался?
Есть несколько пробелов в регулировании, которые не мотивируют банки защищать данные от утечек по вине сотрудников. Во-первых, стандарты и рекомендации описывают требования по защите персональных данных рамочно. Например, в ГОСТе «Безопасность финансовых (банковских) операций…», а также в рекомендации «По предотвращению утечек информации» говорится о необходимости контроля только четырех каналов перемещения информации — почты, веб-трафика, принтеров и устройств хранения. Это устаревший список, он не соответствует тому, как организованы бизнес-процессы в банках сегодня. Сотрудники используют куда большее число каналов, от облаков до веб-версий мессенджеров.
Но даже эти рамочные требования не являются директивными. Про рекомендации все понятно из самого названия. А вот что касается стандарта, то большая проблема заключается в методике, которая описывает процесс поверки исполнения требований стандарта. В ней нет ни единого слова о том, что ЦБ контролирует, внедрены ли в банках системы защиты от утечек данных. Это один из примеров, описывающий, насколько схематичны документы, которыми руководствуются российские банки, защищая наши персональные данные.
В такой ситуации лишь малая часть «сознательных банков» прислушиваются к рекомендациям и делают для защиты данных все, что нужно. Остальные рассуждают: «За это не штрафуют» — и надеются на русское «авось обойдется».
Что делать
По данным VMware, только 25% банков и страховых компаний в России и СНГ внедряют инновации параллельно с защитными решениями. Таковы жертвы цифрового прогресса: чтобы быть конкурентоспособными, банкам приходится внедрять технологии быстрее, чем защитные механизмы.
Но выявлять нарушителей, собирать доказательства вины и принимать меры — задача хоть непростая, но и не фантастическая. По сути необходимы два элемента: качественные программные комплексы для защиты данных и профессиональная служба безопасности.
Но и без «волшебного пинка» регулятора никак не обойтись. Рекомендации должны перейти в разряд директив, иначе россиянам и дальше придется гадать, относится ли его банк к четверти самых ответственных и в безопасности ли его данные. Пока же каждому клиенту банка остается только надеяться, что никто не решит его «пробить», и внимательнее относиться к звонкам от сотрудников банков.
Ситуация становится тем опаснее, что в прошлом году кредитные организации начали собирать биометрию. И если начнут утекать образцы нашего голоса или сетчатки глаза — проблема выйдет на новый уровень, тогда как мы еще не защитились на предыдущем.