Сбербанк начал внутреннее расследование по факту утечки данных клиентов. С аналогичной проблемой столкнулась и компания «Билайн». Каких негативных последствий ждать пострадавшим клиентам банка и оператора сотовой связи? Почему система защиты этих компаний оказалась несовершенной и по кому больнее всего ударили хакеры, «ФедералПресс» рассказал преподаватель по компьютерной безопасности Сибирского федерального университета Михаил Рыбков.
«Основных каналов утечки любых данных может быть два. Это может быть из-за технических уязвимостей системы. В каждой системе защиты всегда есть какие-то уязвимости. Их могут эксплуатировать хакеры, какие-то злоумышленники, и оттуда получать информацию. Безусловно, все банки и организации применяют определенные меры по защите информации. Но всегда можно найти какую-то лазейку.
Второй канал – это разглашение информации непосредственно сотрудниками. Сбербанк, собственно, уже сообщил, что утечку данных организовал некий обиженный сотрудник. На все эти деяния у нас в уголовном кодексе есть статьи. Например, УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну», которая влечет за собой в том числе лишение свободы в зависимости от степени ущерба.
Понятно, организации стараются это все минимизировать, но с точки зрения обычного обывателя повлиять на эту ситуацию невозможно. Это может произойти в любом банке, в любой организации. И нельзя сейчас говорить, что в Сбербанке принимаются меньшие меры безопасности, чем в каких-то других банках. Все этим занимаются, в том числе и потому, что есть законодательство, есть положения Банка России по защите информации, которые банки обязаны выполнять. Это не рекомендуемые, а обязательные вещи!
Может ли клиент случае утечки его персональных данных попытаться засудить банк или провайдера? Чтобы подавать в суд, нужно понять, какой был причинен ущерб. И тут сложно будет требовать какую-то финансовую компенсацию, если ущерба по факту нет. Потому что по факту его пока нет! Разгласить – разгласили. Тут, может быть ситуация, что некий человек был инвалидом, об этом узнали все, и у него от этого качество жизни ухудшилось – такие случаи, как ни странно, бывают, с персональными данными. Это может быть основанием для иска. А если никакой утечки не произошло, банк загладил свою вину, перевыпустил карту за свой счет – тут, скорее всего, суд скажет: «Все последствия устранены. Чего вы хотите?!»
Что делать в такой ситуации обычным людям? На такую внутреннюю ситуацию в банке повлиять невозможно, потому что действия сотрудника никак не зависят от нас, клиентов банка. Но и паранойю сильную разводить тоже не стоит, потому что сейчас любая банковская операция, как правило, требует не только данных карточки, но и, например, одноразовый пароль. И, соответственно, если злоумышленник этот одноразовый пароль не получит, он деньги не снимет.
Вопрос в другом – часто эти данные злоумышленники используют, применяя методы социальной инженерии. Они звонят человеку, говорят – мы из банка, чтобы это подтвердить и втереться в доверие, они сообщают ту информацию, которую добыли – ну, например, паспортные данные. Они их не запрашивают у вас, они сами говорят вам. И у человека возникает доверие: а, действительно, у них есть мои данные, наверное, это действительно сотрудники банка. И тут как раз они пытаются выудить всю нужную им для взлома информацию – логин, пароль, одноразовый пароль, который приходит по смс.
Таким образом, фактически человек сам выдает дополнительную информацию, чего делать, конечно, ни в коем случае не должен. Поэтому тут мы можем только посоветовать клиентам, в отношении которых вот такая компрометация данных произошла, быть более бдительными по отношению к подобным звонкам и уловкам. Тут уж точно банк, учитывая то, что произошло, не может по телефону просить какую-то дополнительную информацию дать! Надо все через офис решать.
Чаще всего система защиты строится так, что для того, чтобы провести операцию, нужно собрать несколько элементов информации. Это называется двухфакторной аутентификацией – чтобы получить доступ к счету, надо не только знать логин и пароль постоянные, но еще и дополнительно временный пароль. Вот у нас уже три элемента. Два элемента они смогли украсть, а третьего у них нет. И они пытаются его выудить в телефонном разговоре, или в каком-то электронном письме, представляясь сотрудниками банка. И нельзя дать им собрать этот паззл воедино!
Плюс наши телефоны могут попасть в базу спам-рассылок – вот этого можно ожидать. Каких-то обзвонов непонятных. А списания денег – скорее всего, нет. Мы все понимаем, что Сбербанку сейчас хочется сохранить определенную репутацию, и все эти случаи, думаю, будут индивидуально обработаны. Там, по-моему, была уже информация, что карты будут перевыпускаться. Чтобы полностью тех, кто пострадал, оградить от этого».
Фото: сайт Сбербанка.