МОСКВА, 29 окт — ПРАЙМ, Наталья Карнова. В понедельник сделалось известно о произошедшей в Сбербанке утечке данных, имен и электронных адресов более чем 420 тысяч сотрудников. Как строчит «Коммерсант», информация, в том числе, пароли персонала для входа в операционную систему банка, была выложена в открытом доступе незнакомым пользователем и доступна бесплатно. Подлинность базы изданию подтвердили сразу два источника. Отмечается, что она актуальна на 1 августа 2018 года.
В пресс-службе банка признали факт утечки, но удостоверили, что она не представляет никакой угрозы автоматизированным системам и клиентам. «Данная адресная книга находится в открытом доступе для всех сотрудников и не несет угрозы раскрытия их персональных этих», — сообщили в Сбербанке. Причину утечки в банке не назвали, но как пишет газета со ссылкой на источники, «наиболее вероятны «злонамеренные поступки» кого-то из действующих или бывших сотрудников».
По мнению опрошенных «Прайм» экспертов, человеческий фактор действительно является наиболее дробной причиной подобных утечек. «В данном случае относительно точно можно сказать, что сотрудник, обладающий высокими полномочиями в IT-системе Сбербанка, выгрузил эти записи из Active Directory. Что с ними случилось потом – он лично выложил их в сеть из «теплых чувств к банку» или просто сохранил куда-то в облако, а уже оттуда эти украли – должно установить расследование», — предположил основатель и технический директор компании DeviceLock Ашот Оганесян.
Сообщая о том, что угрозы данным клиентов нет, банк, конечно, откровенно лукавит, считает он. «Да, в эту выгрузку данные клиентов не попали, но сам факт их появления в таком объеме сообщает о том, что похититель имел широкие права в системах банка и мог иметь доступ, в том числе, и к клиентской информации. Похитил ли он ее, банк, как я понимаю, в данный момент просто не знает», — пояснил эксперт.
Безусловно, опасность для клиентских счетов есть, так как пока не популярно, кто похитил эти данные и что еще ему удалось добыть. При этом для хищения клиентских средств не нужны пароли, достаточно логинов и привязанных к ним телефонных номеров. Если эти эти будут выставлены на продажу или опубликованы, злоумышленники с помощью стандартных криминальных схем замены SIM-карты смогут получить доступ к счетам.
ГАРАНТИЙ НЕТ
Для противодействия хищениям этих используются DLP-системы (Data Leak Prevention), которые контролируют действия сотрудников при доступе к информационным ресурсам банка и блокируют поступки, которые могут выглядеть как неправомерные – например, попытки скопировать большой объем информации.
«И тут впору вспомнить, что Сбербанк внедрил в 2014 году DLP-систему InfoWatch Traffic Monitor, при этом в рамках тендера добился снижения стоимости в 10 раз – до 3,298 миллиона рублей», — напомнил Оганесян.
В сентябре в Сбербанке сообщили, что тратят на кибезбезопасность распорядка 2 млрд рублей в год, а в системах безопасности используется искусственный интеллект. В настоящее время в центре информационной безопасности банка трудится 800 сотрудников.
Действительно, эффективность защиты от утечек информации пока далеко не 100-процентная, согласен Денис Кусов из Telecom Daily. «В Сбербанке работают специалисты высокого уровня, которые нацелены на реагирование в подобных ситуациях. Выговор идет как о ежедневной кропотливой работе по выявлению и пресечению каналов утечек, так и о молниеносных действиях в подобных случаях. Но, как мы видим, случилось то, что случилось. От непредвиденных ситуаций – а человечий фактор относится именно к таким – никто не застрахован», — рассуждает он.
НЕ ПЕРВЫЕ И НЕ ПОСЛЕДНИЕ
Рассекречивание персональных этих с ростом цифровизации и автоматизации экономики происходит все чаще. Ему подвержены и финансовые структуры, и компании из разных сфер бизнеса, и государственные ведомства. Так, в июле показалась информация, что произошла утечка персональных данных клиентов Сбербанка в поисковую систему «Яндекса». Тогда Сбербанк по итогам проверки выявил, что утечки не было.
ЦБ заявил, что ни одинешенек банк в РФ не соответствует всем требованиям по кибербезопасности
Об утечке персональных данных в свое время сообщали Петнтагон, Facebook и Yahoo!, причем заключительная согласилась выплатить 50 млн долларов пользователям, которых затронула хакерская атака на почтовый сервис компании. Помимо денежных выплат, пострадавшие смогут получить два года дарового пользования сервисом по защите платежных данных AllClear.
С утечкой личных данных у сервиса заказа такси Uber разбиралась Федеральная торговая комиссия США (Federal Trade Commission, FTC). Сервис обязали внедрить всеобъемлющую программу конфиденциальных этих. Uber и регулятор также договорились о внешнем аудите компании дважды в год на протяжении 20 лет. Кроме этого, если компания не будет уведомлять FTC о грядущих возможных инцидентах с утечкой данных, то на нее могут быть наложены административные санкции.
