Банки из ТОП-5 не в состоянии сберечь персональные данные клиентов

Дмитрий Журавский
Контролирующий отрасль Роскомнадзор смотрит на массовые утечки сквозь пальцы

Сегодня, 5 ноября стало известно об очередной утечке персональных данных клиентов банка из Топ-5. Неизвестные предлагают на специализированном сайте приобрести персональные данные владельцев кредитных карт «Альфа-Банка». В анонимном разговоре с журналистом Readovka, сотрудник банка пояснил, что утечка произошла не в Москве, а в одном из региональных отделений банка.

Как сообщает РБК , данные 11 из 13 клиентов, предоставленные продавцом как бесплатный пробник, совпадают с реальными владельцами кредитных карт. Кредитки еще 2 человек не были привязаны к мобильному банку. По уверениям продавца, база содержит ФИО, номер мобильного телефона, паспортные данные, адрес регистрации и сумму кредитного лимита примерно 3,5 тыс клиентов банка. Дополнением к базе шла информация о 3 тыс договоров страховки, оформленных в «Альфа-страховании».

Пресс-служба банка утечку признала. На данный момент, банк зафиксировал незаконное распространение персональных данных 15 клиентов. В банке ведется внутреннее расследование с целью выявить причины и виновников утечки.

Зеленый октябрь

Наиболее громким объектом утечек персональных данных этой осенью стал «Сбербанк». В начале октября в Сеть также утекли данные держателей кредиток «Сбера». Продавец утверждал, что у него в распоряжении около 60 млн записей, банк подтвердил утечку данных 5 тыс. клиентов. По сообщению источника Readovka в банке, виновник утечки уже задержан — им оказался один из топ-менеджеров банка.

Чуть позже в свободной продаже оказались данные еще 11,5 тыс региональных клиентов «Сбербанка». Виновник утечки также был найден — им оказался сотрудник коллекторского агентства «Национальная служба взысканий», с которым у банка был заключен контракт. После инцидента контракт был разорван.

Источник пояснил Readovka, что утечка данных непосредственно из банка маловероятна. При этом на работу с данными клиентов, которые проводят подрядчики, «Сбер» смотрит сквозь пальцы — это уже не их зона ответственности, а согласие на передачу персональных данных третьим лицам клиенты дали еще при заключении договора с банком.

После утечки банк ужесточил нормы работы для собственных сотрудников. К примеру, согласно разосланным в октябре директивам, любой сотрудник, отошедший с рабочего места и не заблокировавший компьютер будет уволен. То же ждет работника банка, сфотографировавшего экран рабочего компьютера. Действия работников отслеживаются как при помощи камер видеонаблюдения, так и при помощи CRM-системы банка. Но все же все эти меры — лишь перестраховка. Большей части информации о карте сотрудник банка при работе в системе не видит. Наиболее уязвимое звено в сфере обработки персональных данных возникает при санкционированной передаче выгрузок из систем банка надзорным органам или третьим лицам. Периодически, банки передают данные выгрузки на физических носителях.

Готовая база

Незаметно сделать выгрузку из базы данных клиентов банка невозможно. В большинстве случаев, служба безопасности банка узнает о несанкционированной выгрузке в тот же момент. Как правило, на черном рынке оказываются базы данных, выгружавшиеся из системы для санкционированной передачи. При этом утечка может происходить как со стороны банка, так и со стороны организации, получающей эту выгрузку (к примеру — налоговая служба, ПФР, или же, как в случае с октябрьской утечкой в «Сбербанке» — в коллекторском агентстве).

При этом, в свободном доступе они появляются с пугающей частотой. В мае этого года в Сети оказались персональные данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка из Северо-Западного федерального округа. В июне эту утечку обнаружили специалисты DeviceLock. А вместе с ней и еще одну, состоящую лишь из 500 клиентов «Альфа-банка». Но при этом, вторая база помимо ФИО и телефонов содержала паспортные данные клиентов и обслуживающее отделение Альфа-банка, а также остаток на счете, ограниченный диапазоном 130-160 тыс. руб.

В июле прошлого года «Сбербанк», ВТБ и департамент транспорта Москвы и сервис Trip.com и вовсе добавили информацию о большинстве банковских операций в поисковую выдачу «Яндекса», неправильно расставив текстовые файлы в директориях сайтов.

Все эти случаи — вопиющие нарушения 152 ФЗ. В 2017 году в России серьезно ужесточились требования к сбору и обработке персональных данных. Контроль над исполнением закона все это время лежит на Роскомнадзоре. Однако, несмотря на массовые утечки, надзорное ведомство не вынесло ни одного штрафа в отношении сливших персональные данные клиентов банков.

Ситуация складывается патовая. С одной стороны, внутри банков данные клиентов всячески защищены, и шанс их несанкционированного копирования в «промышленных» масштабах сводится к нулю. При этом, любой банк в состоянии без уведомления клиента передать эти данные третьим лицам (тем же коллекторам), где система защиты данных клиентов находится на куда менее развитом уровне. В то же время, утечка этих данных не только нарушает законные права клиентов банка, но и грозит финансовыми потерями как для самого клиента, так и для банка.

Незащищенными данные оказываются и при самой передаче — если она осуществляется при помощи физического носителя, установить злоумышленника, скопировавшего законную выгрузку будет крайне сложно. Если добавить к этому низкую цифровую грамотность населения за пределами Москвы, ситуация уже окажется катастрофической. Многие сотрудники компаний, напрямую не связанных с банковской деятельностью просто не понимают важности защиты персональных данных. На этом зачастую играют и сами банки, «в темную» покупая у региональных «налоговиков» сведения о тех же новых зарегистрированных юридических лицах и отправляя их в собственные колл-центры для тематического «прозвона».

А прецедента, при котором регулятор примет хотя бы одно жесткое решение по отношению к виновникам утечки в России за 2 года полноценной работы 152 ФЗ нет. Закон о защите персональных данных клиентов попросту не работает — спасти россиян от незаконного копирования их же данных не могут даже РКН и крупнейшие банки страны. Сложившаяся система устраивает всех игроков рынка — порой они и сами с удовольствием пользуются ее изъянами.

Стали известны подробности убийства и расчленения аспирантки СПбГУ известным ученым

Мария Язикова

Трагедию можно было предотвратить. Стоило только прислушаться к словам его бывшей возлюбленной.
Стали известны обстоятельства жуткого убийства 24-летней аспирантки СПбГУ Анастасии Ещенко, которое совершил 63-летний Олег Соколов, преподаватель истории, член научного совета РВИО и реконструктор, засветившийся в том числе на Смоленщине.О происшествии, которое случилось еще в ночь с 7 на 8 ноября, стало известно лишь в минувшую субботу, и то по чистой случайности. Светило обнаружил в реке Мойке проезжавший мимо таксист. До безумия пьяного мужчину в

...

Кто владеет московскими кладбищами

Виталий Бойко

Как столичный ритуальный рынок заняли ставропольские бизнесмены — и при чем тут ФСБ. Расследование Ивана Голунова.
В мае 2016 года на Хованском кладбище в Москве произошла массовая драка. В конфликте, который сопровождался перестрелкой, участвовали от 200 до 400 человек; трое погибли. Это событие завершило передел московского рынка ритуальных услуг: вместо выходцев из подмосковных Химок, чьи попытки закрепиться в столице привели к столкновению на Хова

...
Подписаться
Новости партнеров


наверх