МОСКВА, 29 окт — ПРАЙМ, Наталья Карнова. В понедельник стало известно о произошедшей в Сбербанке утечке данных, имен и электронных адресов более чем 420 тысяч сотрудников. Как пишет "Коммерсант", информация, в том числе, пароли персонала для входа в операционную систему банка, была выложена в открытом доступе неизвестным пользователем и доступна бесплатно. Подлинность базы изданию подтвердили сразу два источника. Отмечается, что она актуальна на 1 августа 2018 года.
В пресс-службе банка признали факт утечки, но заверили, что она не представляет никакой угрозы автоматизированным системам и клиентам. "Данная адресная книга находится в открытом доступе для всех сотрудников и не несет угрозы раскрытия их персональных данных", — сообщили в Сбербанке. Причину утечки в банке не назвали, но как пишет газета со ссылкой на источники, "наиболее вероятны "злонамеренные действия" кого-то из действующих или бывших сотрудников".
По мнению опрошенных "Прайм" экспертов, человеческий фактор действительно является наиболее частой причиной подобных утечек. "В данном случае относительно точно можно сказать, что сотрудник, обладающий высокими полномочиями в IT-системе Сбербанка, выгрузил эти записи из Active Directory. Что с ними произошло потом – он лично выложил их в сеть из "теплых чувств к банку" или просто сохранил куда-то в облако, а уже оттуда данные украли – должно установить расследование", — предположил основатель и технический директор компании DeviceLock Ашот Оганесян.
Говоря о том, что угрозы данным клиентов нет, банк, конечно, откровенно лукавит, считает он. "Да, в эту выгрузку данные клиентов не попали, но сам факт их появления в таком объеме говорит о том, что похититель имел широкие права в системах банка и мог иметь доступ, в том числе, и к клиентской информации. Похитил ли он ее, банк, насколько я понимаю, в данный момент просто не знает", — пояснил эксперт.
Безусловно, опасность для клиентских счетов есть, так как пока не известно, кто похитил эти данные и что еще ему удалось добыть. При этом для хищения клиентских средств не нужны пароли, достаточно логинов и привязанных к ним телефонных номеров. Если эти данные будут выставлены на продажу или опубликованы, злоумышленники с помощью стандартных криминальных схем замены SIM-карты смогут получить доступ к счетам.
ГАРАНТИЙ НЕТ
Для противодействия хищениям данных используются DLP-системы (Data Leak Prevention), которые контролируют действия сотрудников при доступе к информационным ресурсам банка и блокируют действия, которые могут выглядеть как неправомерные – например, попытки скопировать большой объем информации.
"И тут впору вспомнить, что Сбербанк внедрил в 2014 году DLP-систему InfoWatch Traffic Monitor, при этом в рамках тендера добился снижения цены в 10 раз – до 3,298 миллиона рублей", — напомнил Оганесян.
В сентябре в Сбербанке сообщили, что тратят на кибезбезопасность порядка 2 млрд рублей в год, а в системах безопасности используется искусственный интеллект. В настоящее время в центре информационной безопасности банка работает 800 сотрудников.
Действительно, эффективность защиты от утечек информации пока далеко не 100-процентная, согласен Денис Кусков из Telecom Daily. "В Сбербанке работают специалисты высокого уровня, которые нацелены на реагирование в подобных ситуациях. Речь идет как о ежедневной кропотливой работе по выявлению и пресечению каналов утечек, так и о молниеносных действиях в подобных случаях. Но, как мы видим, случилось то, что случилось. От непредвиденных ситуаций – а человеческий фактор относится именно к таким – никто не застрахован", — рассуждает он.
НЕ ПЕРВЫЕ И НЕ ПОСЛЕДНИЕ
Рассекречивание персональных данных с ростом цифровизации и автоматизации экономики происходит все чаще. Ему подвержены и финансовые структуры, и компании из разных сфер бизнеса, и государственные ведомства. Так, в июле появилась информация, что произошла утечка персональных данных клиентов Сбербанка в поисковую систему "Яндекса". Тогда Сбербанк по итогам проверки выявил, что утечки не было.
Об утечке персональных данных в свое время сообщали Петнтагон, Facebook и Yahoo!, причем последняя согласилась выплатить 50 млн долларов пользователям, которых затронула хакерская атака на почтовый сервис компании. Помимо денежных выплат, пострадавшие смогут получить два года бесплатного пользования сервисом по защите платежных данных AllClear.
С утечкой личных данных у сервиса заказа такси Uber разбиралась Федеральная торговая комиссия США (Federal Trade Commission, FTC). Сервис обязали внедрить всеобъемлющую программу конфиденциальных данных. Uber и регулятор также договорились о внешнем аудите компании дважды в год на протяжении 20 лет. Кроме этого, если компания не будет уведомлять FTC о будущих возможных инцидентах с утечкой данных, то на нее могут быть наложены административные санкции.