«Утечки» персональной информации клиентов банков остаются всеобщей головной болью уже не первый год. Только в 2019 году общемировой объем украденных банковских данных увеличился в 27 раз по сравнению с 2018 годом и превысил миллиард секретных персональных записей. Причины тут разные, от сознательного инсайдерского «слива» и хулиганства банковских сисадминов, до чисто технических неполадок, - например, в мае 2019 года в результате неверной настройки сервера американской страховой компании First American Financial Corporation, в отрытый доступ попали 885 миллионов записей, содержавших персональные данные ипотечных заемщиков. Тогда же в России число утечек увеличилось за год на 57 процентов, или 2,7 миллиона записей. В общей сложности в 2019 году стало известно о 218 случаях утечки данных из банков, страховых и пенсионных фондов во всем мире, 33 утечки пришлось на Россию. Сегодня ситуация не лучше – в даркнете чуть ли не ежедневно попадаются объявления о продаже баз банных клиентов банков, и цена одной такой записи – всего-то 25 рублей…
Сколько утечек на самом деле, не знает никто, – банки предпочитают скрывать такую информацию, чтобы не отпугнуть клиентов, так что утечки можно отнести к разряду латентных, то есть, скрытых преступности, а то, что становится достоянием гласности – только один процент от реального числа краж персональных данных.
По статистике, в России 44 процента «утекшей»информации попадают в руки мошенников, а в мире в корыстных целях используется только 19,3 процента личной финансовой информации. У нас в основном крадут личные данные граждан, это почти 77 процентов от всего объема «слива». 13,5 процента утечек приходится на данные по платежам, остальное — коммерческая тайна организаций.
Избежать утечек не удается никому, жертвами «слива» становятся и крупнейшие банки. Так, в октябре 2019 года в продаже в DarkNet появилась база с 60 миллионами записей о владельцах кредитных карт Сбербанка. Тогда это была самая крупная утечка, попавшая на черный рынок. Ее признал даже сам глава Сбербанка Герман Греф, говоривший о пяти тысячах пострадавших клиентов, карты которых банку пришлось перевыпустить.
Это безобразие продолжается и сегодня. По данным экспертно-аналитического центра ГК InfoWatch, в 2020 году «сливов» банковской информации стало на 36,5 процентов больше, чем в 2019 году, что привело к утечкам 13,4 миллиона записей конфиденциального характера, оказавшихся на черном информационном рынке. Например, в августе прошлого года на форуме в DarkNet появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, а это около 50 миллионов записей, и до сих пор никто не предлагал в DarkNet такого огромного массива персональных данных. Ранее в открытом доступе появилась информации о покупателях маркетплейса Joom, - в открытом доступе оказался файл с 31 тысячей данных карт ВТБ, хозяева которых хотя бы однажды что-то покупали в Joom. Тогда же, в 2019 году на продажу в DarkNet были выставлены, вдобавок к базам данных клиентов Сбербанка объемом 60 миллионов записей, еще и 800 тысяч записей из базы ОТП Банка, санируемого «Открытием», и 70 тысяч записей из базы Бинбанка. А зимой нынешнего года в Сети появилось объявление о продаже данных как минимум 20 тысяч клиентов и заемщиков Сбера. Очевидно, и заранее широко разрекламированная информация о грядущей в мае массированной хакерской атаке на банковские счета россиян направлена именно на кражу персональных данных клиентов финансово-кредитных организаций.
Спецы по кибербезопасности связывают большое количество утечек конфиденциальной информации клиентов банков с недостаточной ее защитой при хранении в облачных сервисах. Рост объема украденных данных объясняют и расширением баз организаций, куда включается всё больше информации о клиентах, в том числе об их интересах, - как правило, такую информацию используют в маркетинговых целях. Такое практикуется именно в России, а вот на Западе просто невозможно где-то купить «выгрузку», например, от Deutsche Bank или Bank of America. Весь фокус в том, что там банк оштрафуют на процент от оборота, это могут быть миллиарды долларов, а значит, банк кровно заинтересован в создании системы, стопроцентно гарантирующей отсутствие утечек. У нас такой системы наказания банков-«растеряшек» нет, а потому банкиры не торопятся кардинально решать проблему. Сказанное не означает, что банки вообще ничего не делают в этом направлении: так, в ВТБ для защиты данных давно разграничили права доступа к информации, здесь ведут строгий учет работников, имеющих такой доступ, и активно используют технические средства контроля потенциальных каналов утечки. А в Райффайзенбанке постоянно информируют сотрудников и клиентов о способах защиты персональных данных, и используют современные технологии предотвращения утечек, или DLP-решения.
Как бы то ни было, но кража данных – вполне себе выгодный бизнес: эксперты утверждают, что ежемесячный доход мошенников превышает 75 миллионов рублей. А чаще всего эту базу данных используют колл-центры, «прозванивающие» потенциальных клиентов.
Вопреки распространенному мнению, утечки, как правило, не результат хакерского взлома банковской базы данных, а «слив», организованный сотрудниками самого банка. Если банковскую защиту, даже при всех ее уязвимостях, взломать довольно сложно, то куда проще договориться на предмет «слива» инсайдерской информации с каким-нибудь малозаметным клерком, имеющим доступ к клиентской базе.
Но клерки – это еще полбеды. Судя по информации из открытых источников, еще в 2019 году специалисты по кибербезопасности заметили, что около трети продаваемых в DarkNet персональных сведений похитили системные администраторы. Это всего около 2 процентов от общего количества краж, зато на этот канал приходится до 30 процентов всех утечек из банков. 98 процентов остальных утечек происходят из-за сотрудников других подразделений банков и компаний, - например, бэк-офиса или людей из службы клиентской поддержки.
Проблема в том, что для обеспечения нормальной работы банковских сервисов у сисадмина должен быть доступ к клиентской базе, и перекрыть утечки здесь можно, только повысив лояльность IT-персонала. Но лояльность – материя малоощутимая, и когда тебе предлагают немалые деньги за «слив» информации, которой ты владеешь, о лояльности можно и забыть. Особенно если вспомнить, что средняя зарплата сисадмина в Москве составляет 150 тысяч рублей, а на продаже сведений о банковских клиентах легко можно «срубить» и пару миллионов. Тем более, если айтишник опытный, его и поймать за руку практически невозможно. Это же вам не какой-нибудь клерк, по дурости пытающийся «толкнуть» базу данных, например, через объявление в Telegram, - в таком случае вычислить хитреца не составляет труда, поскольку доступ в мессенджер привязан к карте с его именем. А вот доказать вину IT-профессионала уже куда сложнее. Отсюда и криминальная статистика: почти все крупные банковские утечки последнего года объёмом свыше 50 тысяч записей, произошли с участием айтишников. И чем больше банки занимаются цифровизацией, тем больше искушений появляется у IT-спецов. Увы, но это как раз тот случай, когда прогресс – только замена одной неприятности на другую…
Кто виноват – понятно, но – что делать?
Ответить на это второй главный русский вопрос пытается сейчас «Сбер», вместе с МВД и Ассоциацией банков России предложивший выделить ответственность за нарушение банковской тайны в отдельную статью 183.1 УК. В Госдуму уже поступил соответствующий законопроект, и если он станет законом, за кражу данных из банков можно схлопотать до восьми лет тюрьмы. Иными словами, такие преступления будут отнесены к категории преступлений средней тяжести, где суды уже куда охотнее дают реальные сроки, - от 5до 10 лет лишения свободы в соответствии со статьей 15 части 3 УК.
Пока законопроект изучают в думской межфракционной рабочей группе по кибербезопасности, потом его будут изучать в комитетах по финансовому рынку, безопасности и противодействию коррупции, и по государственному строительству и законодательству. Словом, дело это не скорое.
Разумеется, и сегодня за кражу персональных данных медалью не награждают, и это преступление считается общественно опасным. Согласно статье 183 УК РФ, за «незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну», можно получить штраф до миллиона рублей, либо в размере двухгодичной зарплаты воришки. Что касается отсидки на нарах, то максимум тут – три года, но на практике воры отделываются штрафами, или условными сроками.
Возможно, с ужесточением наказания такие преступления будут случаться реже, хотя и это еще бабушка надвое сказала: ведь каждый воришка уверен, что уж его-то не поймают.
А пока суд да дело – «слив» продолжается.