BIS Journal №1(36)/2020

26 марта, 2020

«Виновата человеческая жадность»

Утечки клиентских баз – это, безусловно, горячие новости 2019 года. Однако я, как человек, который в течение ряда лет занимается расследованием инцидентов, в том числе, по обращениям крупных банков, хотел бы дать некоторые пояснения к публикациям СМИ.

 

ПОЧЕМУ ВСЕ НЕ ТАК

Во-первых, часть утечек, в которых обвиняют финансовые организации, происходят вовсе не по их вине. Информация может быть украдена, например, из компаний, сотрудничающих с банком или агрегаторов информации. Необходимо понимать, что защите конфиденциальных и личных данных в банках уделяют огромное внимание, а у небольших компаний для этого гораздо меньше ресурсов. Типичный пример может выглядеть так: человек сам оставляет данные своей банковской карты на сайте торговой организации или иные сведения о себе, заполняя анкету для получения какого-нибудь подарочного сертификата. Если эти сведения потом стали достоянием злоумышленников, это вовсе не означает, что утекли они именно из финансовой организации. С такими случаями мы регулярно сталкиваемся на практике в ходе расследований: источником украденных данных оказывалась сторонняя организация. Это у нее были проблемы с защитой данных, и злоумышленники атаковали именно ее, а вовсе не финансовую организацию.

Во-вторых, нуждается в пояснении, из-за кого чаще всего происходят такие уточки? Например, встречается утверждение, что главный виновник происшествий – инсайдер, то есть сотрудник банка, именно через него происходит самая большая доля утечек клиентских данных. Глядя на такой статистический «портрет», я сразу хочу задать вопрос: что считали? Количество обращений к базам банных или объемы украденных данных? В разных случаях будут разные ответы. Поясню свою мысль.

Есть такой известный метод получения данных из систем банка, который на жаргоне банковских сотрудников называется «пробивом»: сотрудник не скачивает базу полностью, а по запросу выбирает данные, связанные с конкретными клиентами. Обычно заказ на такие cведения покупатель размещает на закрытых интернет-форумах либо использует Telegram c закрытыми чатами и т.д. А нечистый на руку сотрудник банка, польстившийся на обещанное вознаграждение, со своего рабочего места выполняет запрос к клиентской базе, вытаскивает нужные персональные данные по конкретному запросу.

Сервисов, которые предоставляют услугу подобного «пробива», немало, счет идет на десятки. Владелец каждого такого сервиса ищет заказчиков на информацию из базы финансовой организации, и также инсайдеров – исполнителей. Если теперь задуматься, каких событий больше: обращений сотрудников банков за информацией с целью дальнейшей продажи или хакерских атак извне? – то окажется, что человек в качестве источника утечек встречается неизмеримо чаще. Однако, с точки зрения массовости утечек, конечно, далеко впереди окажутся хакерские атаки – они в ходе одного инцидента могут утащить миллионы записей. Так что вопрос в том, что считаем: если количество обращений в штуках, то больше всего происшествий по вине инсайдеров. Если же считаем количество украденных гигабайтов данных, то главные виновники – внешние хакеры.

В-третьих, нуждается в пояснении сам термин «клиентская база» банка. Люди, далекие от внутренней жизни финансовой организации, обычно представляют ее в виде одной компьютерной программы, которую можно легко забрать себе с помощью команды «Копировать». Но это совсем не так. Система, которая хранит клиентские данные, - гигантская. Она занимает огромное хранилище, может быть, даже целый этаж, заставленный компьютерами, жесткими дисками и специальным оборудованием. Причем, у разных функциональных систем могут быть отдельные хранилища, скажем, для карточного процессинга – одно, а для интернет-банкинга - другое. Данные могут быть разнесены также на несколько офисов, на несколько городов, даже на несколько стран, если банк международный.

Собственно, из-за всех этих факторов по каждому факту утечки данных требуется специальное расследование, потому что очень много источников, откуда могут быть извлечены разные данные.

 

МОЙ ПРОСТОЙ ОТВЕТ

Теперь, приняв во внимание все подробности, о которых я рассказал, попробуйте дать короткий ответ на вопрос: кто виноват? Это будет непросто, так как сами ситуации очень непростые. Но у меня как у человека, который давно занимается этими вопросами, есть свой простой ответ. Виновата человеческая жадность. И это не является уникальным свойством нашей страны. Это общее для всего мира свойство человеческой натуры. Взрыв мошенничества, который мы наблюдали в 2019 году, – это новый подход к обычному обману.

 

ДАЛЕКО НЕ НОВИНКА

Телефонное мошенничество – далеко не новинка 2019 года. Подобная «эпидемия» прошла лет семь назад, когда рассылали SMS о блокировке карты. Тогда научились блокировать SMS с подменой номера. Нынешний вал мошенничеств связан с новой уловкой злоумышленников. По сути, они использовали психологическую неготовность граждан скептически относиться к звонкам в новой реальности. Можно провести аналогию: в Москве конца 90-х, когда мобильный телефон - еще редкость, к вам на улице подходит человек и говорит: я про вас многое знаю, например, как вас зовут, и в каком банке у вас открыт счет, на этом основании отдайте мне деньги из вашего кошелька. Бред, скажете? Но, по сути, то же самое происходит во время телефонного разговора. Пройдет немного времени, и все это осознают. То есть общество выработает систему защиты от этой конкретной напасти. Ну, а злоумышленники пойдут искать новые методы и способы отъема денег у граждан…

Системы защиты постоянно развиваются, какими именно они будут в будущем, я точно сейчас сказать не могу. Но то, что кибербезопасность будет комплексной, это очевидно. Очевидно, в том числе, потому, что она уже выстраивается. Возьмите, к примеру ФинЦЕРТ. Если 10 лет назад каждый банк защищался от злоумышленников, как мог, самостоятельно, то потом регулятор решил создать ФинЦЕРТ и накрыть этим «куполом» защиты все финансовые организации. Подобный процесс идет в отношении критической информационной инфраструктуры. Стало ли лучше? Однозначно. Скажу по своему личному опыту: пять лет назад у меня было много выездов на расследования в районе Садового кольца, Третьего транспортного кольца, а теперь я путешествую, в основном, по зарубежью. По одной причине – здесь инцидентов становится меньше, потому что научились защищаться.

Кстати, наши проблемы 2019 г. – вовсе не новинка для остального мира. Нечто подобное прокатилось по Западной Европе несколько лет назад. Разница – в деталях: там звонили, главным образом, не физическим, а юридическим лицам. А в остальном – знакомый сценарий социальной инженерии. Все это уже было в других странах. И теперь пришло к нам. На Западе с этим научились бороться. В частности, появился GDPR, общая директива Евросоюза, которая единым «зонтиком» накрывает все организации, независимо от их сферы деятельности: всем вменено в обязанность защищать персональные данные граждан. А тот, кто проявит халатность, будет строго наказан. Думаю, что что-то подобное появится и у нас в стране. Ведь источники утечек, как было сказано в самом начале, могут быть не только в финансовой организации, и не будет особого смысла вводить жесткие штрафы именно для банков, если сервисные компании, агрегаторы данных окажутся за границей этих мер. Сейчас давление на регуляторов растет, и это дополнительно стимулирует их деятельность, например, в области обращения личных данных граждан, которая уже запланирована, скажем, в рамках госпрограмм цифровизации. Вновь приведу пример ФинЦЕРТ: он появился не в пожарном порядке, его создание было продумано и тщательно спланировано. Так и с циркулированием персональных данных: уверен, что необходимые процессы уже идут и скоро выйдут на поверхность, станут заметны всем.

Смотрите также