24 октября «Коммерсант» сообщил, что на черном рынке продаются персональные данные клиентов Сбербанка. По информации издания, база содержит порядка миллиона строк с полными данными клиентов — паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка и записи последних разговоров звонков клиентов в колл-центр банка. В пресс-службе банка заявили, что таких утечек данных в банке не было. В начале октября уже сообщалось о возможной утечке данных 60 миллионов кредитных карт клиентов Сбербанка. В банке признали утечку данных только пяти тысяч клиентов. При этом в интернете свободно продается банковская информация многих россиян. «Медуза» попросила специалистов по борьбе с утечками рассказать, стоит ли их бояться, как защититься и почему банки не делают больше для защиты данных своих клиентов.
Ашот Оганесян
Основатель компании DeviceLock — разработчика систем борьбы с утечками данных
Утечки данных из банков, наверное, уже рутина, но крупные — все-таки что-то экстраординарное. Например, очень редко, когда утечки комментирует первое лицо банка. Обычно все или заминается и банки полностью отрицают утечку, или все ограничивается сообщением пресс-службы, что они перед всеми извинились и все в порядке.
У людей со стороны по фильмам может сложиться впечатление, что утечки данных из банков происходят из-за хакеров, но на самом деле никаких хакеров обычно нет — практически всегда это человеческий фактор. Тот же Сбербанк именно поэтому часто мелькает в новостях об утечках. На это есть объективные причины — это огромный банк, у которого очень много отделений в регионах, где у людей небольшие зарплаты и их очень просто коррумпировать. Там люди готовы идти на преступления за небольшие деньги. Очень часто причина утечек — это низовой персонал.
На черном рынке есть самые разные базы данных клиентов банков. Самые ценные, которые стоят дороже всего, содержат все данные о человеке и какую-то конкретную информацию о его счете — например, остаток средств. Еще круче, когда в базе есть номер счета и номер карты. В целом, чем больше в базе информации, тем больше на нее спрос со стороны мошенников. Но чаще встречаются базы, где есть данные человека, его номер телефона и название банка, которым он пользуется. Больше никакой банковской информации в них нет. Поэтому, скорее всего, такие базы утекают не из банков — многие теневые группы давно написали специальные боты, которые через банковские сервисы для перевода средств по номеру телефона, могут определить, является ли человек клиентом этого банка.
Подобные базы данных у перекупщиков стоят относительно дешево, потому что не предоставляют точечной информации. Здесь не идет речь о «пробиве» конкретного человека в банке — такая услуга может стоить от тысячи до 10 тысяч рублей. А данные из подобных баз с утечками покупаются массово — например, некоторые продавцы не продают информацию менее чем о тысяче человек из базы. Информация об одном клиенте банка может стоить 30-50 рублей.
После того, как база данных от перекупщиков попадает к мошенникам, они занимаются социальной инженерией. Например, используя подмену телефонного номера, звонят клиентам, представляются сотрудниками банка и говорят, что со счетом происходит что-то странное. Мошенники говорят, как вас зовут, называют номер счета и остаток на карте. Пытаются полностью войти в доверие, чтобы получить от вас недостающую им информацию и снять ваши деньги.
Читайте также
Для клиентов угроза подобных утечек понятна, но создается впечатление, что сами банки не особо их боятся. Они делают вид, что подобного вообще не существует. Скандалы им не нужны.
При этом у банков есть техническая возможность пресекать утечки — у них есть специальные технические системы защиты. Они используются на рабочих компьютерах сотрудников и пропускают через себя всю информацию пользователей. Например, по своим служебным обязанностям человек может пересылать документы по служебной почте внутри компании. При попытке скопировать что-либо наружу система начинает проверку пересылаемых данных и в случае чего-то подозрительного может запретить такую операцию, а также послать информацию о ней в службу безопасности. На Западе банки работают именно по такому пути — все подобные операции запрещаются. Это помогает защититься прежде всего от случайных утечек — например, когда письмо случайно пересылается не тому человеку. У нас же банки зачастую борются с подобным постфактум. У них системы работают в режиме мониторинга — записывают все действия, но ничего не блокируют. То есть в таком режиме вахтера — если что-то случится, то мы узнаем, как произошла утечка. Такой выбор объясняют тем, что банки не хотят нарушать бизнес-процессы. При этом если утечка произошла, то данные из интернета уже не удалить. Практически никогда уже ничего не сделать.
Если вы — клиент банка, в котором произошла утечка, то вы, например, можете попытаться подать на банк в суд. Больше сделать ничего нельзя. Только быть постоянно на стреме — если вам звонят и представляются сотрудниками банка, то просто вешайте трубку и перезванивайте в банк сами. Так вы гарантированно будете разговаривать с банком.
В целом нужно понимать, что злоумышленники могут обмануть любые самые сложные технические системы защиты. Поэтому основной вопрос в борьбе с утечками — это наказание за них. И тут просто пропасть между ситуациями в России и на Западе. Сотрудники салонов операторов сотовой связи или банков, которые сливают данные, получают штрафы и максимум условный срок. Для юридических лиц штрафы и вовсе те же 5-75 тысяч рублей. Для банка такие суммы довольно смешны. А на Западе наказание вплоть до процента от оборота. И такое наказание опосредованно заставляет усиливать контроль за данными. Никто не хочет лишаться процентов от миллиардного оборота.
При этом у банков не так много утечек, как в других отраслях — у них очень много денег и они самые защищенные. Просто у них много очень ценной информации и про них любят писать СМИ. Но никто не обращает внимание на утечки баз каких-нибудь салонов красоты или медицинских центров. Там базы данных хранятся непонятно как и сливаются каждый день. Информация оттуда ходит по интернету бесконтрольно. Такие базы даже никто не считает.
Алексей Раевский
Основатель компании Zecurion — разработчика системы защиты от утечек данных
В России закон о персональных данных построен так, что тем, кто допускает утечки данных, практически ничего не бывает. Никто не проводит тщательные расследования, как на Западе, никто не выплачивает многомиллионные штрафы. Все платят небольшие штрафы и просто живут дальше. Поэтому в крупных банках, репутации которых трудно навредить утечкой, есть отделы информационной безопасности, но это не является приоритетом в их деятельности. Им не выделяется достаточного количества средств и так далее. Сами понимаете, если приходит к руководству банка технический директор и просит 100 миллионов на борьбу с утечками, за которые могут оштрафовать только на 75 тысяч рублей, ему их никто не даст. Недостаточная законодательная ответственность — основная проблема.
Кроме того, защита от утечек не является конкурентным преимуществом — в принципе утечки бывают у всех, нельзя на 100 процентов защитить информацию от кражи. Такого не бывает.
Из банков пытаются украсть все, потому что у любой подобной информации есть своя цена на черном рынке. И чем больше удалось вынести, тем больше на этом можно заработать. Если что-то плохо лежит, это выносят и пытаются куда-то пристроить. Крадут все до чего можно дотянуться — вплоть до истории операции по счетам, кодовых слов и всего остального.
Получить подобную базу данных — только первый шаг для мошенников. Нужно сделать еще 10-15 шагов, чтобы их монетизировать. Например, нужно прозванивать клиентов и представляться сотрудниками банков, обналичить средства. А потенциальные доходы в таких схемах не очень высокие. Чтобы получить условные 10 тысяч рублей, нужно прозвонить 100-200 человек.
Когда данные уже утекли, банк в принципе должен связаться с этими клиентами, сообщить о проблеме и предупредить, что с ними могут связаться мошенники. Такое предупреждение уже многое бы решило, но насколько мне известно наши банки этим не занимаются. Сам же клиент может только быть осторожнее и внимательнее, если увидел новости о своем банке. И понимать, что ему могут позвонить мошенники.