Итак, на прошлой неделе СМИ сообщали о «самой крупной в истории» утечке базы данных клиентов Сбербанка. На запрещенном Роскомнадзором форуме (куда, видимо, может попасть любой желающий) появилось объявления о продаже данных 60 млн кредитных карт. Продавец не называл конкретного банка, но называл его «крупным», сообщал также, что база разбита на 11 секторов (по числу региональных отделений Сбера) и предоставил для ознакомления фрагмент из 200 строк, по которому специалисты быстро установили, что утечка произошла именно из Сбербанка.
Сам банк признал утечку данных 200 клиентов, и по результатам внутреннего расследования выявил, что виноват в ней сотрудник одного из бизнес-подразделений банка 1991 года рождения, который имел доступ к базам данных в силу выполнения служебных обязанностей. Успел ли молодой человек стырить всю базу целиком, или действительно сумел вынести только 200 строк, не столь важно.
Теперь «Коммерсант» сообщает о том, что в сети появились данные клиентов «Билайн», подключавших домашний интернет в период с 2016 года. Мобильный оператор говорит, что база утекла два года назад и уже не актуальна, а все виновные давно наказаны. Так это или нет, тоже большого значения не имеет.
Подобных новостей можно набрать множество: утечки данных случались и в прошлом и в позапрошлом году (А помните, были времена когда на рынке можно было купить CD-диск с базами ГИБДД?). И все они заставляют нас задуматься о надежности банков, а нужно задумываться о надежности своего собственного рассудка. Технически Сбербанк никто не взламывал, «самовзломался» один из его сотрудников.
У банков все в порядке
[Tag1]В 2018 году (да, только в 2018 году) Центробанк ввел для всех коммерческих банков требования по кибербезопасности и отчетность по их исполнению. С 1 июля 2018 года все банки должны, минимум раз в год (а не только при установке нового ПО), проводить тесты на проникновение. Обязаны оперативно сообщать обо всех случаях взлома и раскрывать Регулятору все детали того, как именно злоумышленникам это удалось.
Словом, кибербезопасность стала еще одним разделом ежемесячной отчетности коммерческих банков перед Центральным. Он, кстати, внедрил специальную платформу (АСОИ), где банки должны обмениваться между собой информацией о техниках и технологиях, с помощью которых у их клиентов воруют деньги. До 2018 года они отправляли эту информацию в ЦБ по электронной почте.
И знаете что? Сработало! Ну, почти сработало. В первые полгода после внедрения системы ущерб банков от хакерских атак снизился в десятки раз. Зато выросла доля атак на клиентов банков. Взламывают не банки, а людей, и, получив от них реальные данные, используют их для несанкционированных операций со счетами. Но это уже «несанкционированные операции», а не хакерские атаки.
С использованием социально инженерии
[Tag2]По данным отчета ФинЦЕРТа за 2018 год, объем несанкционированных операций, совершенных с использованием платежных карт, в 2018 году составил 1 млрд. 384,7 млн рублей, что на 44% больше аналогичного показателя за 2017 год (961,3 млн рублей).
Количество таких операций за отчетный период в 2018 году составило 416 933 единицы, что больше на 31,4% аналогичного показателя за 2017 год (317 178). Средняя сумма одной несанкционированной операции в 2018 году выросла на 9,6% и составила 3,32 тыс. рублей против 3,03 тыс. рублей в 2017 году. Кстати, в правоохранительные органы обращаются только 4% пострадавших от хищений.
Так вот, большая часть хищений со счетов физлиц совершается либо через получение мошенниками прямого доступа к электронным средствам платежа, либо путем побуждения владельцев самостоятельно совершить перевод в пользу мошенников. Как уточняется в отчете ФинЦЕРТа «с использованием методов социальной инженерии».
Это значит, что мошенники собирают о жертве всю возможную информацию, в том числе сведения, которыми, в идеале, может обладать только сотрудник банка. И вот тут базы данных кредитных организаций оказываются кстати.
И чтобы их получить, нужно взломать одного конкретного человека. В случае с недавней утечкой из Сбера, взламывать, похоже, никого не пришлось. Человек сам понял, что обладает доступом к тому, на что есть большой спрос, и воспользовался служебным положением.
Похоже, прав оказался Герман Греф, объявивший еще в 2017, что заменит всех сотрудников, выполняющих рутинную работу, на специализированное ПО. За два квартала 2018 года работы в банке лишились 14 тысяч человек. Это около 4,6% от 296 тысяч работников Сбербанка. К 2025 году банк может сократить половину сотрудников, благодаря переходу услуг в цифровую сферу. Но ту половину, которая останется, похоже, нужно будет защищать от взлома. Социального или самостоятельного. Будь ты хоть трижды финтех-гигантом, а от человеческой жадности тебя никто не защитит.
Проблема, с которой столкнулся Сбер, актуальна для любой российской компании, не забывающей вести клиентскую базу. Вот тут мы рассказывали о том, как и нужно ли, вводить в компании «коммерческую тайну». Но на самом деле 100% защиты от подобного поступка сотрудника не существует. А базы контактов нужны всем.