Утечку данных с сайта столичного МТБанка можно назвать самым громким событием прошедшей неделе в сфере ИТ в Беларуси. Насколько она опасна для клиентов банков, кто в ней виновен и что делать, чтобы она не повторилась? На вопросы "Компьютерных вестей" отвечает Александр Барановский, директор ООО "НПТ", компании-интегратора ПО, специализирующейся на комплексных решениях защиты от утечек данных.
- Насколько опасна утечка для
клиентов банка?
- К сожалению, заявления руководства банка о том, что утечка данных не несет никаких негативных последствий для его клиентов, не соответствуют действительности. Посудите сами: анализ архива, проведенный нашими специалистами, показал, что в нем можно найти как анкеты на получение кредитов, так и анкеты на предоставление доступа к системе ДБО (дистанционного банковского обслуживания, проще говоря, интернет-банкинга). Очевидно, что анкеты на подключение к интернет-банкингу заполняли уже действующие клиенты банка. Также будет логично предположить, что определенный процент заявок на получение кредита также был удовлетворен, и эти люди также стали клиентами банка.
Что же касается опасности утечки, то данных, которые находятся в скомпрометированных анкетах, более чем достаточно для того, чтобы получить доступ к средствам, находящимся на счете клиента, не говоря уже о восстановлении с их помощью паролей к электронной почте и другим информационным ресурсам. Судите сами: из анкет можно узнать ФИО, дату рождения, серию и номер паспорта, личный номер, мобильный и рабочий телефоны, адрес почты, девичью фамилию матери, образование, семейный статус, данные родственников, судимость, непогашенные кредиты, алименты, место работы и занимаемую должность. При этом архив с анкетами скачали с различных файлообменных ресурсов тысячи человек, и среди них наверняка найдутся те, кто захочет извлечь незаконным путем выгоду из полученных данных.
Данных, которые находятся в скомпрометированных анкетах, более чем достаточно для того, чтобы получить доступ к средствам, находящимся на счете клиента.
- Что делать клиенту, оказавшемуся в такой ситуации?
- Нужно предпринять стандартные меры предосторожности и не паниковать, потому что при грамотном подходе можно избежать негативных последствий обнародования конфиденциальных данных. К примеру, тем клиентам, которые пострадали из-за утечки данных о доступе к интернет-банку, стоит, в первую очередь, изменить логины и пароли системы ДБО. А всем остальным можно порекомендовать заменить пластиковые карточки, попросить банк изменить кодовое слово с девичьей фамилии матери на что-то другое. Поменять пароли и способы их восстановления на почтовые ящики. Самое главное, пожалуй, быть готовым к возможному мошенническому использованию данных и не поддаваться на звонки якобы из банка, которые просят продиктовать номер карточки или какие-то еще данные якобы для сверки. Ну и тем, кто брал кредит, можно ожидать звонков из конкурирующих банков с предложениями взять новый кредит - но здесь уже ничего сделать нельзя, к сожалению.
Тем клиентам, которые пострадали из-за утечки данных о доступе к интернет-банку, стоит, в первую очередь, изменить логины и пароли системы ДБО.
- Эта утечка - нечто из ряда вон выходящее, или каждый может оказаться в такой ситуации?
- К сожалению, в такой ситуации действительно может оказаться каждый, потому что после того, как клиент передал свои данные какой-либо организации, он бессилен что-либо сделать с ними. Ответственность за дальнейшую сохранность данных в дальнейшем несет уже организация, которая с ними работает - оператор персональных данных. К сожалению, в Беларуси ситуация с безопасностью и сохранностью персональных данных, в частности, в банках, обстоит сегодня не лучшим образом. В сложной экономической ситуации экономить стараются, в первую очередь, на том, что не приносит денег, и безопасность тоже падает жертвой экономии.
В сложной экономической ситуации экономить стараются, в первую очередь, на том, что не приносит денег, и безопасность тоже падает жертвой экономии.
- Могут ли те, кто пострадал в результате утечки, рассчитывать на какую-либо компенсацию в соответствии с законодательством?
- Насколько мне известно, представители МТБанка уже сообщили о том, что уже рассматривают вопрос выплаты компенсации тем, кто пострадал в результате утечек. К сожалению, белорусское законодательство в сфере защиты конфиденциальных данных еще достаточно далеко от совершенства, и компенсации при подобных инцидентах в нем предусмотрены при обращению в суд, но при отсутствии прямых потерь, трудно сформировать реальную сумму компенсации.
- Насколько хорошо, в целом, белорусская банковская система защищена от утечек данных клиентов?
- Знаете, наверное, правильнее было бы говорить о каждом из банков в отдельности, потому что иначе получается "средняя температура по больнице". Но говорить в отдельности нельзя, потому что это может негативно отразиться на защищенности отдельных банков. В целом же, как я уже говорил, ситуация не очень радужная: далеко не во всех банках используются специальные системы защиты от утечек данных (DLP - от английского Data Leak Prevention), а в тех, где используются, часто встречается ситуация, когда банки приобретают неэффективные программные продукты, когда лоббируются чьи то интересы. Тогда ни о какой защите информации речи не идёт, а продукт стоит «для галочки» и возлагаемый функционал не реализуется, т.к. приобретение идёт не по рекомендациям технических специалистов, а по решению некомпетентного руководителя. Возможно, в "Компьютерных вестях" мы будем освещать подобные события. Надеюсь, произошедший инцидент заставит руководителей банков задуматься о том, как не допустить подобного в своих учреждениях. Кстати, если бы подобная система стояла в банке, данного инцидента, я более чем уверен, не произошло бы.
Далеко не во всех банках используются специальные системы защиты от утечек данных, а в тех, где используются, зачастую установлены неэффективные продукты.
- Кто должен отвечать за последствия этой утечки?
- Думаю, что ответ очевиден: те, кто должен был защитить персональные данные клиентов банка от посторонних глаз, то есть, сам МТБанк. К сожалению, судя по заявлениям его руководства, оно не до конца осознает, какие последствия может иметь случившееся для клиентов банка.
- Какие меры должны принять банки для предотвращения таких утечек в дальнейшем?
- Главное - не экономить на безопасности, потому что каждый доллар, вложенный в защиту информации, окупится десятками долларов, сэкономленными на испорченной репутации, на недополученных процентах по кредитам, на компенсациях... Нужно, чтобы в каждом банке был собственный профильный отдел информационной безопасности, работала DLP-система, контролировались действия всех сотрудников. Нужно также тщательно контролировать подрядчиков, разрабатывающих сайты банков, системы интернет-банкинга и выполняющих другие работы, связанные прямо или косвенно с безопасностью клиентских данных. Только при выполнении всего комплекса условий можно обеспечить достаточный уровень безопасности клиентских данных.
Каждый доллар, вложенный в защиту информации, окупится десятками долларов, сэкономленными на испорченной репутации, на недополученных процентах по кредитам, на компенсациях...
Беседовал Вадим СТАНКЕВИЧ
Комментарии
Страницы
На Западе самой популярной (и первоочередной) мерой признана электронная почта. Рассылаются уведомления. Могут также по обычной почте письмо прислать или позвонить.
А клиенты обычно узнают об утечеке через интернет, по телевизору и т.п. Особенно у нас.
У Ponemon Institute интересная статистика была. Там за 2010 год вроде в США официально зарегестрировано более 600 утечек было, а в России 29.
И даже это уже делать не обязательно. Всё сделали за вас. mtbleak.net/ Вот тут можно проверить. Я проверял утёкшую базу. Из выборки в несколько десятков человек подтвердилась около 90%.
Страницы