Содержание
Фото: Евгений Разумный/Ведомости/ТАСС
Москва. 10 октября. INTERFAX.RU — Сбербанк России после утечки данных существенно изменит систему защиты от внутренних проникновений в систему, сообщил глава Сбербанка Герман Греф на форуме Finopolis 2019.
«Мы строили очень сильную защиту снаружи и мы считаем, что мы ее построили. Я думаю, что она соответствует у нас лучшим мировым практикам. Но всегда, конечно, самая большая проблема — это уязвимость изнутри, когда сотрудники, которые должны защищать, они создают систему, они, конечно же, знают все уязвимости, они могут ими воспользоваться. Сейчас перед нами встала совершенно другая задача — как защититься от этого», — сказал Греф.
По его словам, это, «к сожалению, в мире, наверное, самая большая проблема». «Утечки бывают даже из таких организаций, как ЦРУ», — отметил Греф. По его мнению, с угрозами надо бороться совместно участникам рынка, регулятору, сотовым операторам и другим сторонам процесса. По мнению топ-менеджера, Сбербанк как крупнейший банк должен быть активным участником этого процесса.
«Мы уже собрали участников рынка и дали всем информацию о том, что произошло. Мы первые вынесли эту информацию на рынок и показали механизм. И как только мы завершим полностью расследование инцидента, мы обязательно соберемся со всеми коллегами и поделимся всеми деталями», — отметил Греф.
На прошлой неделе стало известно об утечке в открытый доступ данных о владельцах кредитных карт Сбербанка. Первоначально банк сообщил о 200 скомпрометированных картах, потом их число выросло до 5 тыс. Все карты были перевыпущены, сообщил банк.
Сбербанк также сообщил, что служба безопасности банка вместе с правоохранительными органами 4 октября обнаружила сотрудника банка 1991 года рождения — руководителя сектора одного из бизнес-подразделений банка, который имел доступ к базам данных и который попытался украсть клиентскую информацию в корыстных целях.
Персональные данные клиентов Сбербанка оказались на черном рынке. Продавцы уверяют, что владеют данными о 60 млн кредитных карт, как действующих, так и закрытых (у банка сейчас около 18 млн активных карт). Утечка могла произойти в конце августа. Эксперты, ознакомившиеся с данными, считают их подлинными и называют утечку самой крупной в российском банковском секторе. В Сбербанке обещают проверить подлинность базы, но утверждают, что угрозы средствам клиентов нет.
Объявление о продаже «свежей базы крупного банка» появилось в минувшие выходные на специализированном форуме, заблокированном Роскомнадзором. По словам продавца, он реализует данные о более 60 млн кредитных карт. Первым объявление заметил и обратил на него внимание «Ъ” основатель DeviceLock Ашот Оганесян. Потенциальным покупателям продавец предлагает пробный фрагмент базы из 200 строк. «Ъ” изучил его.
Фрагмент содержит данные 200 человек из разных городов, которые обслуживает Уральский территориальный банк Сбербанка.
В таблице содержатся, в частности, детальные персональные данные, подробная финансовая информация о кредитной карте и операциях. В качестве «даты опердня», который может свидетельствовать о дате утечки, указано 24 августа 2019 года. Также содержатся слова way4 или w4, которые, возможно, относятся к процессинговой платформе Way4, которую уже около десяти лет использует Сбербанк.
Для проверки этих данных «Ъ” нашел клиентов из «пробника» в соцсетях, а также изучил информацию о номерах карт и телефонов в мобильном приложении Сбербанка, которое при переводе средств позволяет видеть часть информации о ФИО получателя.
Заявленный продавцом объем информации (60 млн строк) может свидетельствовать о том, что утечка затронула данные о всех кредитных картах банка.
По словам продавца, база разбита на 11 частей (именно столько у Сбербанка территориальных банков), а каждую строку он продает за 5 руб. Для проверки гипотезы корреспонденты «Ъ” попросили найти в базе свои данные. Продавец предоставил информацию о кредитных картах корреспондентов, в том числе по прежним местам работы, которые изменились за последние три года. Совпадают номера договоров об открытии кредитных карт и ФИО сотрудников, подписавших их.
Источник «Ъ”, близкий к ЦБ, изучив «пробник», выразил уверенность в том, что он является «выгрузкой базы» Сбербанка, а не, например, «пробивом», полученным в результате подкупа сотрудников. По словам других собеседников «Ъ”, специалистов по информационной безопасности крупных банков, судя по характеру тестового файла, утечка могла произойти из банка.
«Данные могут быть из хранилища данных всех систем, там лежит вся информация о клиентах,— указывает собеседник «Ъ” в крупном банке.— Утечка базы данных от кого-либо из партнеров видится маловероятной, судя по набору и объему данных». По словам другого источника, информация похожа на выгрузку данных из хранилища кем-то, кто имел административный доступ, «на это косвенно указывает и тот факт, что номера банковских карт в базе не маскированы». Еще один эксперт отметил, что чисто теоретически такие данные могут быть получены путем склеивания данных с точки выдачи карт и данных из процессинга, но в данном случае это маловероятно, учитывая объем данных. «Если это и подделка, то очень качественная»,— указал еще один эксперт.
Ашот Оганесян утверждает, что DeviceLock проанализировала около 240 записей из предполагаемых 60 млн и «может подтвердить, что в них содержатся данные реальных людей, имеющих карточные счета в Сбербанке». По его мнению, база может являться сохраненной копией (полной или нет) базы данных продукта Way4.
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка,— отмечает господин Оганесян.— Набор полей действительно поражает».
По его мнению, последствия утечки будут заметны для всей отрасли. Ей займутся ЦБ и Роскомнадзор и, весьма вероятно, правоохранительные органы. Если среди клиентов есть резиденты или граждане ЕС, то банку, в соответствии с законом GDPR, придется уведомить об инциденте Еврокомиссию, указывает господин Оганесян.
В ЦБ не ответили на запрос «Ъ”. В Роскомнадзоре обещают «в рамках своей компетенции» проверить информацию о возможном нарушении законодательства о персональных данных. «Меры реагирования будут приниматься после установления признаков нарушений»,— заявили в ведомстве.
Пока статья готовилась к выпуску, Сбербанк выпустил пресс-релиз, сообщив о возможной утечке персональных данных 200 клиентов и начатом внутреннем расследовании. При этом банк утверждает, что никаких внешних кибератак не зафиксировано. Основной версией возможного инцидента там называют умышленные преступные действия одного из сотрудников.
Дополнительно в Сбербанке пояснили «Ъ”, что изучается подлинность информации и пока нет ясности, подлинная она или нет. Представитель Сбербанка заявил, что утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Если информация об утечке будет подтверждена, она могла быть возможной только в результате умышленных преступных действий одного из сотрудников банка. «Будет проведено скрупулезное расследование, о его итогах будет сообщено», — пообещали в Сбербанке. Там подчеркнули, что заявленный объем скомпрометированных карт «невозможен, так как общий объем активных кредитных карт в несколько раз меньше».
В банке заверили, что угрозы не санкционированных клиентами списаний средств с карт нет.
Похищенная информация не позволит преступникам списать деньги с карт клиентов, так как в ней отсутствуют коды CVV, пояснили там, а кроме того, каждая трансакция без предъявления карты в Сбербанке подтверждается одноразовым СМС-паролем.
Виталий Солдатских, Вероника Горячева
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам
Персональные данные владельцев карточек Сбербанка попали на черный рынок. Утечку уже называют крупнейшей в отечественном банковском секторе. Сбербанк уверяет, что угрозы для средств клиентов нет, и подозревает в краже данных кого-то из сотрудников. Что произошло и стоит ли клиентам беспокоиться за свои средства?
ЦБ: россиян массово грабят с помощью подмены номеров. Как это работает?
Что случилось?
В последние выходные сентября на специализированном форуме, заблокированном Роскомнадзором, появилось объявление о продаже «свежей базы крупного банка». Торговец говорит, что в его распоряжении находятся данные более 60 млн карт.
На продажу предлагается пробный вариант базы из 200 строк. Этот фрагмент содержит данные о двух сотнях клиентов из разных городов, которых обслуживает Уральский территориальный банк Сбербанка, узнал «Коммерсант». В нем — детальные персональные данные, подробная финансовая информация о карте и операциях.
Утечка произошла именно из Сбербанка, свидетельствуют слова way4 или w4 в украденной базе (банк уже около десяти лет использует платформу Way4). Случиться это могло в конце августа, поскольку в качестве «даты опердня» в таблице указано 24 августа 2019 года. Эксперты сходятся во мнении, что данные выгрузил кто-то из сотрудников.
За сколько продают?
По словам продавца, база разбита на 11 частей. Именно столько у Сбербанка территориальных банков).
Каждая строка продается за пять рублей. Всего их 60 миллионов.
Это серьезно?
Сейчас у Сбербанка около 18 млн активных карт. То есть заявленный похитителем объем в 60 млн карт может говорить о том, что утечка затронула вообще все кредитные карты банка — как действующие, так и закрытые.
Эксперты, ознакомившиеся с данными, считают их подлинными. Эту утечку они называют самой крупной в российском банковском секторе.
«Это самая большая и подробная банковская база данных, которая когда-либо попадала к нам с черного рынка. Набор полей действительно поражает», — сказал основатель DeviceLock Ашот Оганесян, первым заметивший объявление о продаже.
К тому же «Коммерсант» нашел клиентов из списка в соцсетях и в мобильном приложении Сбербанка. Даже корреспонденты газеты нашли себя в базе.
Сбербанк подозревает кого-то из сотрудников
Сбербанк уже подтвердил «возможную утечку» данных владельцев кредитных карт. Это случилось вечером 2 октября, говорится в пресс-релизе кредитной организации. Правда, масштабы там называют совсем другие — говорят всего о минимум паре сотен клиентов, а не о миллионах.
Подозревают в преступлении кого-то из сотрудников, поскольку база данных изолирована и проникнуть в нее извне невозможно. Ведется расследование, об итогах которого отдельно сообщат.
А деньги украсть могут?
Сбербанк заверил, что украденная информация не приведет к хищению средств клиентов. Дело в том, что в базе данных нет кодов CVV, которые позволили бы преступникам снимать деньги с карт.
К тому же каждая трансакция без предъявления карты в Сбербанке подтверждается одноразовым СМС-паролем.
В то же время, зная персональные данные владельцев карт Сбербанка, мошенники могут использовать их для фишинга.
Всегда говорю, что защищать бизнес системно всегда дешевле, чем тушить пожары.
Поскольку в течение этого года ко мне неоднократно обращались предприниматели по вопросу защиты баз данных, клиентских баз, а также минимизации потерь от кражи таких баз, от того, что сотрудники уводили клиентов, сегодня расскажу как защититься от кражи клиентской базы.
Под клиентской базой, чтоб вдруг ни у кого не возникло недопонимания, будем понимать совокупность сведений о клиентах компании, когда-либо вступавших в отношения, либо потенциальных клиентах.
Собственно в интернете можно найти много готовых баз по самым разным интересам, можно собрать их самостоятельно из открытых источников и даже купить чужие, украденные базы.
Для предпринимателя, как мне представляется, ценность базы и в том, что сведения, содержащиеся в ней не известны конкурентам, так и в том, что продажа по готовой базе менее трудозатратна.
Хотя есть и ряд стереотипов, например, что клиентская база не такой ценный ресурс, вроде как ее и заново можно собрать. Но предприниматели, которые считают деньги, знают, что дешевле продать тому, кто у тебя уже что то купил, чем вновь привлеченному клиенту.
Некоторые вовсе считают, что с утечкой базы ничего нельзя сделать, что также в корне неверно, и об этом пойдет речь ниже.
Учитывая ценность обладания такой информацией гипотетически может возникнуть ситуация, когда появляются желающие монетизировать такое обладание клиентской базой.
Убежден, что хищение клиентских баз носит повсеместный характер, причем во всем мире. Где-то читал исследования, согласно этим исследованиям половина сотрудников крадет данные и почти столько же планируют использовать их на новой работе после увольнения. Вроде как я участвовал в сборе базы, значит я тоже могу ей пользоваться по своему усмотрению.
Утечки данных происходят в бизнесах любого масштаба, потери данных носят повсеместный характер, потому что их практически не охраняют, микро и малый бизнес вовсе не имеют бюджета, а также компетенций для защиты таких активов.
Многие предприниматели сталкивались с тем, что работник, имеющий доступ к клиентской базе при переходе на новую работу копировал базу с фамилиями, телефонами и e-mail клиентов. Примечательно, что большинство сотрудников даже нарушением это не считает.
Риски в данном случае появляются не только в части недополучения повторных продаж, но и возможны ситуации, что клиенты жалуются, что из данные, попадают в открытый доступ.
Защитить клиентскую базу от копирования непросто, но возможно.
Волшебной таблетки, конечно, нет, но задача собственника отбить у потенциальных воришек желание копировать базу.
ПРИЧИНЫ КРАЖИ КЛИЕНТСКИХ БАЗ
По статистике главными причинами утечек баз данных являются халатность и злой умысел со стороны сотрудников
Взять, например, отдел продаж. Именно сотрудники отдела продаж генерируют основные продажи, находят покупателей и заказчиков, заключают договоры.
Но они же представляют и самую большую угрозу для клиентских баз в силу того, что у них есть доступ к этому ресурсу. Да, чаще всего именно менеджеры уводят клиентов.
Как мне представляется, возможны как правовые, так и управленческие механизмы минимизации риска кражи базы клиентов.
Если разбираться в том, что служит причиной кражи либо переманивания клиента, станет понятно что необходимо делать, чтобы минимизировать риски.
Я не буду в статье касаться управленческих механизмов, не моя специализация, хотя понятно, что если компания предлагает клиентам более выгодные условия работы, цену, чем недобросовестный сотрудник, пытающийся увести клиента, то клиент продолжит работать с компанией.
Не буду касаться вопросов, связанных с наймом работников, думаю, что всем понятно, что если прямо спрашивать у кандидатов на должность продажника придет ли он со своей базой, то в случае положительного ответа из вашей компании он также уйдет с клиентской базой с вероятностью 100%.
Оставлю соответствующим специалистам вопросы, касающиеся полиграфов, при приеме на работу, настройку доступов и распределение ролей в CRM, введение учета рабочего времени, с логированием всех действий но компьютере работник и пр., а расскажу основные правовые методы.
ЗАКОННЫЕ СПОСОБЫ ЗАЩИТЫ КЛИЕНТСКОЙ БАЗЫ
В действующем законодательстве есть такое понятие как коммерческая тайна, так вот необходимо корректно ввести такой режим коммерческой тайны.
Чтобы его ввести необходимо определить перечень сведений, которые как вы полагаете являются ценными в силу их неизвестности третьим лицам.
Этот перечень, конечно, может не ограничиваться сведениями о клиентах, более того, целесообразно его расширить иными сведениями о производстве, управлении, планах, финансах, партнерах, переговорах, договорах, ценах, технологиях и прочих.
Затем необходимо разработать и утвердить положение о коммерческой тайне, где описать порядок работы с документами, содержащими коммерческую тайну, а также ответственность за нарушение порядка.
Обязательно пометить все документы, а также иные носители коммерческой тайны грифом «Коммерческая тайна».
Все сотрудники также должны подписать лист ознакомления с положением, а также подписать соответствующее соглашение.
Затем необходимо документально зафиксировать, например, мы это делаем актом, некоторые ведут соответствующие журналы, факт допуска к носителям коммерческой тайны.
Сложность функционирования режима коммерческой тайны, по моему опыту, заключается именно в реализации положений, устанавливающих порядок работы с документами, содержащими коммерческую тайну. Полагаю, что это задача руководителя сделать так, чтобы работники не могли не соблюдать Положение о коммерческой тайне.
Чтобы в случае суда не оказаться проигравшей стороной, доступ к базе клиентов должен быть ограничен, поскольку если будет установлено, что база клиентов находилась в открытом доступе суд не сможет защитить интересы собственника.
В регламентах сотрудников должны быть прописаны положения по соблюдению режима конфиденциальности и во взаимоотношениях с любыми другими третьими лицами. Заключая договор с контрагентами также необходимо подписывать соглашение о неразглашении, а не ограничиваться двумя абстрактными предложениями в тексте основного договора.
Очевидно, что такой серьезный подход вызовет скорее уважение в глазах партнеров вашей компании, поскольку свидетельствует о вашем отношении к важности информации.
Занижу градус ожиданий, соглашения о конфиденциальности, так называемые NDA, не очень то работают в России, в том числе и потому, что хоть организации и констатируют факт введения режима конфиденциальности, положения и правила предусмотренные этим режимом не соблюдают.
При этом подавляющее большинство обращений связано с просьбой создать документ, в котором будет прописана ответственность за нарушение положений о коммерческой тайне, за незаконное копирование и распространение клиентских баз.
Очевидно, что чисто психологически наличие такого документа может остановить большую часть сотрудников, которые потенциально могли бы скопировать базу, но подписав соответствующий документ, получив его на руки и детально ознакомившись с которым побоятся нарушать договоренность, увести клиента.
И просто не забывайте напоминать сотрудникам, что копирование клиентской базы незаконно, а с негативными правовыми последствиями они могут ознакомиться в их экземпляре соглашения.
Преимущества введения режима коммерческой тайны на самом деле не ограничиваются восторженными взглядами ваших партнеров.
Например, можно отказать в предоставлении информации ряду контролирующих органов (сразу скажу на налоговую не распространяется) ссылаясь на то, что у вас введен режим конфиденциальности, при этом предложить в судебном порядке затребовать такие сведения, объяснив суду необходимость такого запроса.
У меня недавно было дело, заказчик по госконтракту затребовал сведения об организациях, у которых закупался товар и копии всех документов, обосновывая это тем, что у него якобы имелись подозрения в сговоре и завышении цены. После отказа в предоставлении документов заказчик обратился в суд, где ему было отказано.
В завершение отмечу, что коллеги также рекомендуют оформлять клиентские базы в качестве нематериальных активов, документально подтверждая, что базы были именно приобретены на законных основаниях. Вроде как в случае копирования таких баз, деяния злодеев могут быть квалифицированы по ст. 158 УК РФ (кража), либо 165 УК РФ (причинение имущественного ущерба путем обмана или злоупотребления доверием».
Не скажу есть ли перспектива привлечения недобросовестных сотрудников по данным статьям уголовного кодекса, но совершенно точно будет не лишним объяснить всем сотрудникам какие санкции предусмотрены данными статьями, начинающимися от 800 000 рублей штрафа до пяти лет лишения свободы.
Подписывайтесь на меня в соцсетях