Утечки данных из банков: чем грозят и как предотвратить?
---
Базы данных клиентов крупнейших российских банков продаются в Telegram, пишут СМИ. Причем, как отмечает газета «Известия», ссылаясь на отчет компании по борьбе с инсайдерскими утечками DeviceLock, в доступе оказались данные клиентов половины из двадцатки крупнейших кредитных организаций.
Кроме того, оказалось, что за год базы данных подорожали более чем втрое – с 20 до 70 миллионов рублей. Опрошенные изданием эксперты связывают это обстоятельство с заявлением Центробанка о том, что в последнее время меры защиты персональных данных были усилены и похитить эти данные злоумышленникам стало сложнее.
О том, почему данные из банков все-таки оказываются на рынке, в том числе и данные клиентов самых крупных банков, чем это опасно и зависит ли что-то от клиентов, а также о том, как можно бороться с этим явлением, рассказал Алексей Раевский, генеральный директор компании Zecurion, занимающейся вопросами кибербезопасности.
«Все дело в том, что у банков просто нет стимула заниматься защитой данных клиентов. Утекли они – ну и утекли! Это же крупнейшие банки, все равно от них мало кто захочет уйти. От того же Сбербанка, к примеру, уж точно – испортить его имидж практически невозможно, и явно не удастся это сделать каким-то там утечкам. А максимальный штраф банка за подобное происшествие составляет 75 тысяч рублей – не за утечку данных каждого клиента, а в целом, за сам факт утечки, даже массовой.
У нас есть закон «О персональных данных», и именно в нем прописан этот максимальный штраф. Для сравнения: в Европе некоторое время назад, около года или чуть более, был принят так называемый GDPR (General Data Protection Regulation – Общий регламент по защите данных — прим. ред.), европейский аналог этого нашего закона. Там максимальный штраф предусмотрен в размере 20 миллионов евро, или 4% от годового оборота допустившей утечку персональных данных организации.
Если бы тот же Сбербанк оштрафовали на 4% годового оборота, это был бы существенный стимул заниматься защитой. А так… ну утекли базы данных, ну у кого-то украли деньги. Это, конечно, плохо, и топ-менеджмент банка, вероятно, сочувствует пострадавшим. Но предпринимать ничего не станет. Какой ему смысл? Банк станет что-либо предпринимать, чтобы заработать больше или чтобы не потерять значительной суммы, а здесь ни о том, ни о другом речи не идет.
Дело в том, что если бизнес рискует потерять из-за штрафов 75 тысяч рублей, он, как правило, готов потратить на минимизацию рисков меньше. Чаще всего – заметно меньше. Скажем, 30-40 тысяч рублей – что на эти деньги можно сделать? Ведь и 75 тысяч – это даже не зарплата одного специалиста по безопасности, а еще надо что-то приобретать для обеспечения этой безопасности. Если же мы говорим о риске лишиться 4% от годового оборота, то тогда банк может, к примеру, потратить до 1% от годового оборота на предотвращение утечек. Это уже были бы другие деньги.
Защита персональных данных у нас лежит в сфере публичной юрисдикции – общество должно само защищать свои интересы посредством законов и ограничений. Потому что стимулов у банков что-то делать самим нет. Могут ли более строгие наказания повлиять на тех, кто продает украденные базы данных? Мне кажется, в первую очередь ответственность нужно возложить все же на банки. Поскольку те, кто эти данные продает, изначально ставят себя вне закона и понимают, что занимаются преступной деятельностью. А банки все-таки стремятся сохранить репутацию, так что их скорее можно заставить выполнять законы, чем всяких асоциальных лиц.
У нас, если помните, была похожая история: лет 10-15 назад в подземных переходах и на различных рынках типа «Горбушки» продавали всевозможные базы данных на компакт-дисках. Можно было купить любые – ГИБДД, таможни, Регистрационной палаты… Когда подняли вопрос о том, как с этим бороться, решили просто разогнать этих продавцов. Толку от этого был минимум – все равно все эти базы доступны, нужно только знать выходы на тех, кто ими торгует. Если помните, когда была история с Петровым и Бошировым, о них как о сотрудниках спецслужб стали писать, ссылаясь именно на базу данных ГИБДД. То есть желающие ее купить ее прекрасно находили.
Так что борьба с последствиями ни к чему не приводит. Пока не будет назначена какая-то серьезная ответственность за защиту и хранение персональных данных, до тех пор утечки и будут продолжаться. И если Центробанк утверждает, что меры безопасности усилены и что персональные данные стало сложнее достать, может быть, это действительно так. Может, именно из-за этого цена одной записи выросла. Но это так себе прогресс.
Причем сами по себе клиенты банка мало что могут сделать. Они могут только прекратить отношения с банком и потребовать уничтожить все их персональные данные. Такое право они имеют. Однако если они просто прекращают отношения с банками, не заявляя никаких специальных требований относительно своих данных, эти данные не уничтожаются. Если в том же GDPR четко прописано, что персональные данные собираются с какой-то конкретной целью и в случае ее достижения или неактуальности они должны автоматически уничтожаться, то в нашем законе такого положения нет. И большинство российских граждан об этом даже не задумываются.
У нас считают, что если счет в банке закрыт, то никакой опасности от утечки хранящихся в банке персональных данных уже быть не может. А это не так: там остаются и паспортные данные, и история движения средств по счетам. И такого рода информацию тоже можно использовать. В США, например, уже довольно хорошо известно явление, получившее название identity theft. На русский это переводят несколько коряво как «кража личности», а суть состоит в том, что вы можете оказаться втянуты в сделки, о которых даже не подозревали. Потому что их можно заключать, не присутствуя лично. Можно взять кредит, получить кредитную карту, и для этого не нужно ехать в банк – достаточно иметь определенную информацию. И если кто-то знает, кто вы и что вы, этот кто-то может провернуть такое за вас. А вы потом узнаете, что должны банку.
Мы тоже постепенно к этому идем, потому что сервис и удобства автоматически означают большую уязвимость. Чем более удобна для клиентов та или иная система, тем хуже она защищена, так уж это работает. Так что если со стороны государства не будет принято каких-то жестких мер, то у граждан могут возникать очень серьезные неприятности», – сказал Алексей Раевский.
Ну, как-то так.
Все материалы блога с развёрнутыми комментариями экспертов можно прочитать тут.
Повестка, тренды, мнения, эксклюзив. Неформально на Telegram-канале "Давыдов.Индекс".
Кроме того, оказалось, что за год базы данных подорожали более чем втрое – с 20 до 70 миллионов рублей. Опрошенные изданием эксперты связывают это обстоятельство с заявлением Центробанка о том, что в последнее время меры защиты персональных данных были усилены и похитить эти данные злоумышленникам стало сложнее.
О том, почему данные из банков все-таки оказываются на рынке, в том числе и данные клиентов самых крупных банков, чем это опасно и зависит ли что-то от клиентов, а также о том, как можно бороться с этим явлением, рассказал Алексей Раевский, генеральный директор компании Zecurion, занимающейся вопросами кибербезопасности.
«Все дело в том, что у банков просто нет стимула заниматься защитой данных клиентов. Утекли они – ну и утекли! Это же крупнейшие банки, все равно от них мало кто захочет уйти. От того же Сбербанка, к примеру, уж точно – испортить его имидж практически невозможно, и явно не удастся это сделать каким-то там утечкам. А максимальный штраф банка за подобное происшествие составляет 75 тысяч рублей – не за утечку данных каждого клиента, а в целом, за сам факт утечки, даже массовой.
У нас есть закон «О персональных данных», и именно в нем прописан этот максимальный штраф. Для сравнения: в Европе некоторое время назад, около года или чуть более, был принят так называемый GDPR (General Data Protection Regulation – Общий регламент по защите данных — прим. ред.), европейский аналог этого нашего закона. Там максимальный штраф предусмотрен в размере 20 миллионов евро, или 4% от годового оборота допустившей утечку персональных данных организации.
Если бы тот же Сбербанк оштрафовали на 4% годового оборота, это был бы существенный стимул заниматься защитой. А так… ну утекли базы данных, ну у кого-то украли деньги. Это, конечно, плохо, и топ-менеджмент банка, вероятно, сочувствует пострадавшим. Но предпринимать ничего не станет. Какой ему смысл? Банк станет что-либо предпринимать, чтобы заработать больше или чтобы не потерять значительной суммы, а здесь ни о том, ни о другом речи не идет.
Дело в том, что если бизнес рискует потерять из-за штрафов 75 тысяч рублей, он, как правило, готов потратить на минимизацию рисков меньше. Чаще всего – заметно меньше. Скажем, 30-40 тысяч рублей – что на эти деньги можно сделать? Ведь и 75 тысяч – это даже не зарплата одного специалиста по безопасности, а еще надо что-то приобретать для обеспечения этой безопасности. Если же мы говорим о риске лишиться 4% от годового оборота, то тогда банк может, к примеру, потратить до 1% от годового оборота на предотвращение утечек. Это уже были бы другие деньги.
Защита персональных данных у нас лежит в сфере публичной юрисдикции – общество должно само защищать свои интересы посредством законов и ограничений. Потому что стимулов у банков что-то делать самим нет. Могут ли более строгие наказания повлиять на тех, кто продает украденные базы данных? Мне кажется, в первую очередь ответственность нужно возложить все же на банки. Поскольку те, кто эти данные продает, изначально ставят себя вне закона и понимают, что занимаются преступной деятельностью. А банки все-таки стремятся сохранить репутацию, так что их скорее можно заставить выполнять законы, чем всяких асоциальных лиц.
У нас, если помните, была похожая история: лет 10-15 назад в подземных переходах и на различных рынках типа «Горбушки» продавали всевозможные базы данных на компакт-дисках. Можно было купить любые – ГИБДД, таможни, Регистрационной палаты… Когда подняли вопрос о том, как с этим бороться, решили просто разогнать этих продавцов. Толку от этого был минимум – все равно все эти базы доступны, нужно только знать выходы на тех, кто ими торгует. Если помните, когда была история с Петровым и Бошировым, о них как о сотрудниках спецслужб стали писать, ссылаясь именно на базу данных ГИБДД. То есть желающие ее купить ее прекрасно находили.
Так что борьба с последствиями ни к чему не приводит. Пока не будет назначена какая-то серьезная ответственность за защиту и хранение персональных данных, до тех пор утечки и будут продолжаться. И если Центробанк утверждает, что меры безопасности усилены и что персональные данные стало сложнее достать, может быть, это действительно так. Может, именно из-за этого цена одной записи выросла. Но это так себе прогресс.
Причем сами по себе клиенты банка мало что могут сделать. Они могут только прекратить отношения с банком и потребовать уничтожить все их персональные данные. Такое право они имеют. Однако если они просто прекращают отношения с банками, не заявляя никаких специальных требований относительно своих данных, эти данные не уничтожаются. Если в том же GDPR четко прописано, что персональные данные собираются с какой-то конкретной целью и в случае ее достижения или неактуальности они должны автоматически уничтожаться, то в нашем законе такого положения нет. И большинство российских граждан об этом даже не задумываются.
У нас считают, что если счет в банке закрыт, то никакой опасности от утечки хранящихся в банке персональных данных уже быть не может. А это не так: там остаются и паспортные данные, и история движения средств по счетам. И такого рода информацию тоже можно использовать. В США, например, уже довольно хорошо известно явление, получившее название identity theft. На русский это переводят несколько коряво как «кража личности», а суть состоит в том, что вы можете оказаться втянуты в сделки, о которых даже не подозревали. Потому что их можно заключать, не присутствуя лично. Можно взять кредит, получить кредитную карту, и для этого не нужно ехать в банк – достаточно иметь определенную информацию. И если кто-то знает, кто вы и что вы, этот кто-то может провернуть такое за вас. А вы потом узнаете, что должны банку.
Мы тоже постепенно к этому идем, потому что сервис и удобства автоматически означают большую уязвимость. Чем более удобна для клиентов та или иная система, тем хуже она защищена, так уж это работает. Так что если со стороны государства не будет принято каких-то жестких мер, то у граждан могут возникать очень серьезные неприятности», – сказал Алексей Раевский.
Ну, как-то так.
Все материалы блога с развёрнутыми комментариями экспертов можно прочитать тут.
Повестка, тренды, мнения, эксклюзив. Неформально на Telegram-канале "Давыдов.Индекс".
Комментарии (0)
{related-news}
[/related-news]