Актуально
1201

Алексей Кузовкин, “Инфософт”: “Ответственность за утечку клиентских данных из банков зависит от того, каким образом она произошла”

Алексей Кузовкин, “Инфософт”: “Ответственность за утечку клиентских данных из банков зависит от того, каким образом она произошла”

Утечки банковских данных, к сожалению, довольно распространённое явление, хотя столь масштабными они бывают редко. Что является их причиной? На эти и другие вопросы отвечает Алексей Кузовкин, основатель компании “Инфософт”.

Октябрь ознаменовался масштабным скандалом: появились сведения о крупной утечке пользовательских данных из Сбербанка. В начале месяца сообщалось о том, что утекли данные около 60 млн кредитных карт, затем в конце "Коммерсант" сообщил, что обнаружил на чёрном рынке базу с полными персональными данными клиентов банка, включавшую около миллиона строк.

Утечки банковских данных, к сожалению, довольно распространённое явление, хотя столь масштабными они бывают редко. Что является их причиной? Какова должна быть мера ответственности банковской организации, из которой происходит утечка? Что может и должен сделать банк, и что может и должен сделать пользователь, чтобы застраховаться от потерь? На эти и другие вопросы отвечает Алексей Кузовкин, основатель компании “Инфософт”.

Алексей Викторович Кузовкин

Почему вообще происходят утечки банковских данных?

Алексей Кузовкин: Здесь необходимо сперва определиться с терминологией. Почему? - Дело в том, что общим понятием "утечка" описываются сразу несколько явлений, имеющих разную природу. Да, в целом речь идёт о том, что к конфиденциальные данным - то есть, сведениям, которые должны быть известны только клиенту и банку, - получают доступ третьи лица. Причём доступ, не санкционированный ни банком, ни клиентом.

Однако ключевым оказывается вопрос, каким образом это оказалось возможным. А вариантов тут может быть множество.

Самый, если угодно, "детективный" - это взлом банковской инфраструктуры хакерами с последующим выводом большого количества данных. Однако банки, особенно крупные, вкладывают значительные ресурсы в то, чтобы атаковать их “в лоб” стало бесполезным, и киберпреступники об этом знают, предпочитая менее защищённые мишени.

Второй, уже более вероятный, но тем не менее, довольно редкий вариант, - это утечка вследствие деятельности инсайдера. Инсайдер при этом должен обладать довольно высокими полномочиями по доступу к информации, а следовательно, это будет не рядовой клерк, а достаточно высокооплачиваемый сотрудник, перекупить которого не так-то просто, учитывая возможные риски. Есть, конечно, вариант с попытками воздействовать на него какими-то другими средствами, но снова потребуется целая криминальная операция.

Гораздо дешевле и проще в исполнении другие подходы, - мошеннические атаки на держателей счетов и карт (например, поддельные звонки из служб поддержки банков); заражение конечных устройств пользователей троянскими программами, крадущими банковские реквизиты, скиммеры на точках продаж и т.д.

Выманенные таким образом данные зачастую накапливаются в течение продолжительного времени и активно продаются потом на чёрном рынке.

Наконец, случаются такие ситуации, когда операторы персональных данных с той или иной целью - при миграции, например, выкладывают массивы пользовательских данных на внешние облачные хранилища, но забывают настроить адекватную защиту или удалить данные после того, как миграция закончена. Подобное случается сплошь и рядом, хотя, как правило, речь идёт не о банках.

И как от этого можно защититься?

Алексей Кузовкин: Как уже сказано, банки предпринимают значительные усилия для того, чтобы избежать подобных инцидентов, - в защитные системы, позволяющие вовремя обнаружить и заблокировать попытки киберпреступников проникнуть в инфраструктуру банка, вкладываются в буквальном смысле миллионы и миллиарды. Разработано и множество подходов по борьбе с мошенничеством, в том числе когда речь идёт об атаках на конечных клиентов, как технического, так и нетехнического характера.

Проблема, однако, упирается в уязвимость и, в конечном счёте, безалаберность пользователей, - именно они, а не банки, чаще всего пренебрегают собственной защитой и поддаются на уловки мошенников. Хотя надо понимать: сегодня мошеннические группировки, “работающие” по конечным пользователям, очень часто держат “в штате” высокопрофессиональных психологов, способных манипулировать даже самыми опытными и знающими людьми.

Как вы считаете, какую степень ответственности банки должны нести за утечки пользовательских данных? Должны ли они возмещать клиентам их потери в случае таких утечек?

Алексей Кузовкин: На мой взгляд, всё зависит от того, откуда именно “утекли” данные. То есть, несомненно, виновен будет банк, если хакерам удастся взломать его защиту и вывести данные напрямую из его инфраструктуры.

Также на банке будет лежать вся мера ответственности, если окажется, что данные украл инсайдер или что в силу халатности сотрудников данные оказались в открытом доступе.

Но если “утекшие” данные - это просто набор сведений, которые мошенники и кибервзломщики длительное время выманилии или выкрали у различных пользователей, то здесь претензии к банку предъявлять неправомерно. Банковские приложения сами по себе в большинстве случаев надёжно защищены, вдобавок, банки распространяют среди своих клиентов информационные материалы о том, как не пасть жертвой мошенничества и защитить себя. Если пользователи не следуют рекомендованным практикам, то какой может быть спрос с банка?

В целом я считаю, что в стандартном договоре банковского обслуживания должна оговариваться возможность утечки пользовательских данных, сопутствующие обязательства сторон по профилактике и ответственность, наступающая вследствие инцидента. Иными словами, в договоре должно быть сказано: банк такой-то принимает на себя обязательства обеспечить самую современную и эффективную защиту своей инфраструктуры и пользовательских данных, а также - безопасность официальных цифровых инструментов для доступа пользователей к своим банковским счетам.

Банк гарантирует отсутствие или своевременное исправление критических уязвимостей в мобильных приложениях и на официальном сайте банка; защиту от кибератак на канал связи; а также - опционально - консультации пользователей по вопросам киберзащиты. В свою очередь, клиент обязуется следовать рекомендованным практикам самозащиты, своевременно обновлять программные средства, которыми он пользуется, следить за обновлениями антивирусов и перепроверять источники звонков или СМС-сообщений, якобы поступающих из банка.

Подобным образом, по крайней мере, удастся частично снизить остроту проблемы.

Большое спасибо!

Оставайтесь с нами! Подпишитесь на наши каналы и получайте актуальные и проверенные новости.

Комментарии (0)

© 2020. Сетевое издание «Мир Новостей». Зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций.Свидетельство о регистрации Эл №ФС77-58901 от 05.08.2014 г.

Свободное использование в Интернет-пространстве текстов, фото и видеоматериалов, опубликованных на этом сайте, допускается при условии обязательного размещения гиперссылки на источник публикации mirnov.ru.

Мы используем файлы «cookie» для функционирования сайта. Если Вас это не устраивает, пожалуйста, покиньте сайт. Политика конфиденциальности

16+
Top.Mail.Ru