Утечку
данных с сайта столичного МТБанка
можно назвать самым громким
событием прошедшей неделе в сфере
ИТ в Беларуси. Насколько она опасна
для клиентов банков, кто в ней
виновен и что делать, чтобы она не
повторилась? На вопросы
"Компьютерных вестей"
отвечает Александр Барановский,
директор ООО "НПТ",
компании-интегратора ПО,
специализирующейся на комплексных
решениях защиты от утечек данных.
- Насколько опасна утечка для
клиентов банка?
- К сожалению, заявления руководства банка о том, что утечка данных не несет никаких негативных последствий для его клиентов, не соответствуют действительности. Посудите сами: анализ архива, проведенный нашими специалистами, показал, что в нем можно найти как анкеты на получение кредитов, так и анкеты на предоставление доступа к системе ДБО (дистанционного банковского обслуживания, проще говоря, интернет-банкинга). Очевидно, что анкеты на подключение к интернет-банкингу заполняли уже действующие клиенты банка. Также будет логично предположить, что определенный процент заявок на получение кредита также был удовлетворен, и эти люди также стали клиентами банка.
Что же касается опасности утечки, то данных, которые находятся в скомпрометированных анкетах, более чем достаточно для того, чтобы получить доступ к средствам, находящимся на счете клиента, не говоря уже о восстановлении с их помощью паролей к электронной почте и другим информационным ресурсам. Судите сами: из анкет можно узнать ФИО, дату рождения, серию и номер паспорта, личный номер, мобильный и рабочий телефоны, адрес почты, девичью фамилию матери, образование, семейный статус, данные родственников, судимость, непогашенные кредиты, алименты, место работы и занимаемую должность. При этом архив с анкетами скачали с различных файлообменных ресурсов тысячи человек, и среди них наверняка найдутся те, кто захочет извлечь незаконным путем выгоду из полученных данных.
Данных, которые находятся в скомпрометированных анкетах, более чем достаточно для того, чтобы получить доступ к средствам, находящимся на счете клиента.
- Что делать клиенту, оказавшемуся в такой ситуации?
- Нужно предпринять стандартные меры предосторожности и не паниковать, потому что при грамотном подходе можно избежать негативных последствий обнародования конфиденциальных данных. К примеру, тем клиентам, которые пострадали из-за утечки данных о доступе к интернет-банку, стоит, в первую очередь, изменить логины и пароли системы ДБО. А всем остальным можно порекомендовать заменить пластиковые карточки, попросить банк изменить кодовое слово с девичьей фамилии матери на что-то другое. Поменять пароли и способы их восстановления на почтовые ящики. Самое главное, пожалуй, быть готовым к возможному мошенническому использованию данных и не поддаваться на звонки якобы из банка, которые просят продиктовать номер карточки или какие-то еще данные якобы для сверки. Ну и тем, кто брал кредит, можно ожидать звонков из конкурирующих банков с предложениями взять новый кредит - но здесь уже ничего сделать нельзя, к сожалению.
Тем клиентам, которые пострадали из-за утечки данных о доступе к интернет-банку, стоит, в первую очередь, изменить логины и пароли системы ДБО.
- Эта утечка - нечто из ряда вон выходящее, или каждый может оказаться в такой ситуации?
- К сожалению, в такой ситуации действительно может оказаться каждый, потому что после того, как клиент передал свои данные какой-либо организации, он бессилен что-либо сделать с ними. Ответственность за дальнейшую сохранность данных в дальнейшем несет уже организация, которая с ними работает - оператор персональных данных. К сожалению, в Беларуси ситуация с безопасностью и сохранностью персональных данных, в частности, в банках, обстоит сегодня не лучшим образом. В сложной экономической ситуации экономить стараются, в первую очередь, на том, что не приносит денег, и безопасность тоже падает жертвой экономии.
В сложной экономической ситуации экономить стараются, в первую очередь, на том, что не приносит денег, и безопасность тоже падает жертвой экономии.
- Могут ли те, кто пострадал в результате утечки, рассчитывать на какую-либо компенсацию в соответствии с законодательством?
- Насколько мне известно, представители МТБанка уже сообщили о том, что уже рассматривают вопрос выплаты компенсации тем, кто пострадал в результате утечек. К сожалению, белорусское законодательство в сфере защиты конфиденциальных данных еще достаточно далеко от совершенства, и компенсации при подобных инцидентах в нем предусмотрены при обращению в суд, но при отсутствии прямых потерь, трудно сформировать реальную сумму компенсации.
- Насколько хорошо, в целом, белорусская банковская система защищена от утечек данных клиентов?
- Знаете, наверное, правильнее было бы говорить о каждом из банков в отдельности, потому что иначе получается "средняя температура по больнице". Но говорить в отдельности нельзя, потому что это может негативно отразиться на защищенности отдельных банков. В целом же, как я уже говорил, ситуация не очень радужная: далеко не во всех банках используются специальные системы защиты от утечек данных (DLP - от английского Data Leak Prevention), а в тех, где используются, часто встречается ситуация, когда банки приобретают неэффективные программные продукты, когда лоббируются чьи то интересы. Тогда ни о какой защите информации речи не идёт, а продукт стоит «для галочки» и возлагаемый функционал не реализуется, т.к. приобретение идёт не по рекомендациям технических специалистов, а по решению некомпетентного руководителя. Возможно, в "Компьютерных вестях" мы будем освещать подобные события. Надеюсь, произошедший инцидент заставит руководителей банков задуматься о том, как не допустить подобного в своих учреждениях. Кстати, если бы подобная система стояла в банке, данного инцидента, я более чем уверен, не произошло бы.
Далеко не во всех банках используются специальные системы защиты от утечек данных, а в тех, где используются, зачастую установлены неэффективные продукты.
- Кто должен отвечать за последствия этой утечки?
- Думаю, что ответ очевиден: те, кто должен был защитить персональные данные клиентов банка от посторонних глаз, то есть, сам МТБанк. К сожалению, судя по заявлениям его руководства, оно не до конца осознает, какие последствия может иметь случившееся для клиентов банка.
- Какие меры должны принять банки для предотвращения таких утечек в дальнейшем?
- Главное - не экономить на безопасности, потому что каждый доллар, вложенный в защиту информации, окупится десятками долларов, сэкономленными на испорченной репутации, на недополученных процентах по кредитам, на компенсациях... Нужно, чтобы в каждом банке был собственный профильный отдел информационной безопасности, работала DLP-система, контролировались действия всех сотрудников. Нужно также тщательно контролировать подрядчиков, разрабатывающих сайты банков, системы интернет-банкинга и выполняющих другие работы, связанные прямо или косвенно с безопасностью клиентских данных. Только при выполнении всего комплекса условий можно обеспечить достаточный уровень безопасности клиентских данных.
Каждый доллар, вложенный в защиту информации, окупится десятками долларов, сэкономленными на испорченной репутации, на недополученных процентах по кредитам, на компенсациях...
Беседовал Вадим СТАНКЕВИЧ
![Версия для печати Версия для печати](https://www.kv.by/sites/all/modules/print/icons/print_icon.png)
Комментарии
Страницы
На Западе самой популярной (и первоочередной) мерой признана электронная почта. Рассылаются уведомления. Могут также по обычной почте письмо прислать или позвонить.
А клиенты обычно узнают об утечеке через интернет, по телевизору и т.п. Особенно у нас.
У Ponemon Institute интересная статистика была. Там за 2010 год вроде в США официально зарегестрировано более 600 утечек было, а в России 29.
И даже это уже делать не обязательно. Всё сделали за вас. mtbleak.net/ Вот тут можно проверить. Я проверял утёкшую базу. Из выборки в несколько десятков человек подтвердилась около 90%.
Страницы