Пробивщики среднего звена
За утечки данных из банков чаще всего наказывают сотрудников
Утечки конфиденциальной информации из банков обернулись для них крупными штрафами только в 20% случаев, а в большинстве инцидентов наказание, в том числе в виде увольнения, понесли сотрудники. В 10% утечек не был наказан ни сам банк, ни его сотрудники. В России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим клиентам об утечках, поэтому доказать их факт затруднительно, поясняют эксперты.
“Ъ” ознакомился с исследованием «Ростелекома» об особенностях защиты конфиденциальной информации в финансовом секторе. Из него следует, что чаще всего за утечку корпоративной информации из банков наказывают сотрудников. Более чем в 70% случаев утечка приводит к применению дисциплинарных взысканий к виновным сотрудникам, в том числе и к увольнению. Только в 20% случаев масштабные утечки в банках обернулись для них крупными штрафами со стороны регуляторов. В 10% утечек не был наказан ни сам банк, ни его сотрудники, говорится в исследовании. Исследование проводилось путем опроса специалистов по информационной безопасности финансовых организаций с марта по июнь.
Чаще всего утечки в финансовой сфере происходят через личную почту и облачные хранилища, на них приходится около 35% от всех инцидентов. Еще 28% утечек было совершено через мессенджеры, и 24% — через корпоративную почту.
Только 15% утечек не были связаны с интернетом: они могли производиться через печать документов (5%), кражу данных с помощью съемных носителей (5%). На внутренние системы банка пришлось всего 5% утечек. Всего в 2020 году, по данным InfoWatch, число утечек из российских финансовых организаций выросло на 36,5%, тогда как во всем мире снизилось на 7,3% (см. “Ъ” от 15 апреля).
В 60% случаев, по данным «Ростелекома», были скомпрометированы персональные данные клиентов и сотрудников финансовых организаций, еще в 30% — злоумышленники крадут данные платежных карт. Менее чем в 10% инцидентов достоянием мошенников становится коммерческая информация банка. В Сбербанке “Ъ” заверили, что за последние два года «ни одного такого инцидента не было»: «У нас принципиально новая архитектура процессов по противодействию утечкам». Но в октябре 2019 года Сбербанк сообщал, что в результате расследования стало известно об утечке 5 тыс. учетных записей кредитных карт клиентов. В ЦБ не стали комментировать данные «Ростелекома».
Во многом рост утечек из банков связан с трансформацией в представлении финансовых услуг под влиянием пандемии, говорит руководитель направления аналитики InfoWatch Андрей Арсентьев: «Произошел крен в сторону дистанционного представления услуг, и системы защиты банков трудно было оперативно адаптировать под новые реалии».
По его словам, чаще всего в утечках из банков виноваты внутренние нарушители — более 80% инцидентов в прошлом году произошли по их вине, тогда как в мире этот показатель составил немногим более 50%.
В России базы данных клиентов часто утекают в результате действий сотрудников банка, которые незаконно подрабатывают на сервисы «пробива», говорит операционный директор Group-IB Сингапур Сергей Никитин. По его словам, в первую очередь речь идет об администраторах баз данных, операционистах, менеджерах по продажам.
В России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим лицам об утечках, напоминает преподаватель Moscow Digital School Алексей Мунтян: «Это часто не дает возможности доказать факт утечки». Ответственность за нарушение законодательства о персональных данных может быть административной с наказанием до 12 тыс. руб. для граждан и до 300 тыс. руб. для юрлиц, напоминает председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. В исключительных случаях за утечку данных может грозить уголовная ответственность, отметил он. Но, по его мнению, текущих мер не хватает, их стоит ужесточить.