Как предотвратить кражу вашей клиентской базы: опыт транспортной компании. Хищение базы данных

Как предотвратить кражу вашей клиентской базы: опыт транспортной компании

На правах рекламы

alphaspirit / Depositphotos.com

Кража клиентской базы зачастую происходит по одному сценарию: сотрудник увольняется и вместе с собой уводит клиентов, создавая впоследствии свою компанию. Проблема особенно хорошо знакома компаниям, работающим в сфере рекрутинга, оптовой торговли и логистики. Транспортно-экспедиционная компания Shtelman Group столкнулась с несколько иной ситуацией: логист начал продавать контакты клиентов условным конкурентам. В статье расскажем подробно о деталях произошедшего и о том, как избежать подобной проблемы.

Имя сотрудника изменено в целях конфиденциальности.

Дмитрий, логист из Shtelman Group, уволился из компании и решил заработать на продаже номеров клиентов в канале Telegram: 400 руб. за один контакт (контактов при этом более 3 тыс.). Таким образом, бывший сотрудник мог получить от сделок как минимум 1,2 млн руб., поскольку один контакт можно было продать несколько раз. Он занимался продажей приблизительно месяц – до того момента, как специалисты «Умной Логистики» об этом узнали.

«Умная Логистика» – компания, основным продуктом которой является CRM-система для автоматизации бизнеса грузоперевозок. Данной программой пользуется Shtelman Group. В офис «Умной Логистики» поступил входящий звонок от клиента: он увидел запись в Telegram о продаже контактных данных, узнал в прикрепленном к ней скриншоте интерфейс программы и решил, что сама компания занимается продажей номеров.

В этот же день специалисты начали разбираться, в чем дело. Как оказалось, найти человека, продающего номера клиентов, было несложно: он выдал себя сам, указав в объявлении свой номер телефона для связи. Этот номер был указан в карточке сотрудника организации Shtelman Group в программе «Умная Логистика»: так специалисты нашли бывшего сотрудника, решившего нечестным образом заработать.

Как избежать подобной ситуации

Во многих компаниях доступ к клиентской базе имеет практически каждый сотрудник компании, что является недопустимым отношением к безопасности данных – особенно для компаний в сфере продаж и логистики. Разделение прав доступа можно настроить в CRM-системе – это наиболее эффективный способ обеспечения безопасности ваших данных.

Кроме того, сотрудники гораздо серьезнее подходят к отношениям с законом, нежели к человеческим. Поэтому необходимо обезопасить себя и с правовой точки зрения: составить и утвердить локальный нормативный акт Положение о коммерческой тайне, поскольку за разглашение коммерческой тайны предусмотрено наказание. Так, в соответствии с ч. 2 ст. 183 Уголовного кодекса предусмотрена уголовная ответственность за незаконное разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

За совершение подобного преступления предусмотрено наказание в виде штрафа в размере 120 тыс. руб., либо исправительные или принудительные работы до 2-3 лет в зависимости от решения суда. Наиболее серьезным наказанием является лишение свободы на 3 года.

Вернемся к Shtelman Group: руководству компании позвонила директор «Умной Логистики» и сообщила, что их бывший сотрудник продает контактные данные клиентов организации. Узнав об этом, компания связалась с Дмитрием: он признался в совершенном, поскольку доказательства его вины были неопровержимы.

Выяснилось, что Дмитрий не продал ни одного контакта. Действительно, простое наличие контактных данных заказчиков не гарантирует крепкого сотрудничества: важно грамотно выстроить процесс взаимоотношений с клиентами. Поэтому Shtelman Group, к счастью, не понесла потери: клиенты не отказались от сотрудничества, поскольку их полностью устраивало качество предоставляемых услуг организации.

Серьезных последствий для компании не возникло, поэтому директор не стал обращаться в суд: он ограничился тем, что серьезно поговорил с Дмитрием. Тем не менее, Shtelman Group начала работу над обеспечением своей безопасности.

Что предприняла компания

Shtelman Group в данный момент тщательно продумывает свою систему безопасности: директор изменил все имеющиеся пароли. Кроме того, «Умная Логистика» позволяет настроить ограничение прав доступа в систему, поэтому компания ввела ограничение прав доступа: теперь логистам доступны контактные данные только тех клиентов, с которыми работают именно они. За счет этого программа значительно снижает риск кражи клиентской базы.

Кроме того, Shtelman Group настроила контроль входа пользователей в программу с помощью СМС: каждый пользователь должен запросить код, который приходит в виде СМС руководителю, чтобы изменить привязку к клиенту. Поэтому кража клиентской базы исключена и в нерабочее время. Таким образом, компания обеспечила надежную защиту своих данных: вероятность кражи клиентской базы теперь минимальна.

Современные программные комплексы, такие как «Умная Логистика», позволяют не только собирать, хранить и обрабатывать различную информацию, но и давать возможность гибкого контроля доступа к этой информации различным структурным подразделениям и конкретным сотрудникам.

Справка о компании:

ООО «Умная Логистика» – программа для увеличения прибыли бизнеса грузоперевозок

Сейф за семью замками: как хранят данные банки России

Стоит ли опасаться утечек данных из российских банков

Бурное развитие информационных технологий в последние годы существенно облегчило жизнь людей – интернет-сервисы, электронные кошельки и операции в онлайн-банке стали прозой жизни, к которой все привыкли. Но эти удобства породили и новые угрозы, в первую очередь опасность утечки важных данных. Не все «сливы» и не любые данные существенны для безопасности клиентов: от опубличивания списка сотрудников организации вреда не будет, а вот хищение персональных данных обывателей или доверчивость человека может стоить денег.

Несколько дней назад в сети появилась база данных, содержащая информацию о работниках Сбербанка и нескольких его «дочек». В банке уверяют, что сведения, оказавшиеся в открытом доступе, ничем не могут повредить клиентам или автоматизированным системам. По словам представителей Сбербанка, эта адресная книга доступна всем сотрудникам компании, и их персональных данных в ней нет.

Технический директор Qrator Labs Артем Гавриченков уверен, что утечек корпоративных данных непосредственно клиентам опасаться не стоит.

«Что касается контактов сотрудников, то в любой компании существует определенный компромисс между удобством работы сотрудников и защищенностью, закрытостью данных. Еще начиная с 90-х годов XX века, считалось, что в рамках этого компромисса списки и внутренние контакты всех сотрудников могут быть доступны каждому в корпоративной системе», — отмечает эксперт.

Клиенты в данном случае не являются пострадавшей стороной, считает руководитель департамента финансовых рейтингов НРА Карина Артемьева.

Безопасности клиентов — приоритет

Защищенность системы хранения данных в любой компании напрямую зависит от характера содержащихся в ней данных – максимальная защита у финансовой информации и персональных данных клиентов.

«Если речь идет о финансовой информации, уровень ее защиты в надёжных банках, как правило, имеет максимальный приоритет, к тому же за соблюдением необходимых требований обеспечения безопасности следит, в том числе, регулятор», — указывает Гавриченков.

Между тем Сбербанк как крупнейший банк России является и главной мишенью для киберпреступников, то есть даже по теории вероятности хоть несколько атак могут оказаться успешными – главное, чтобы при этом не были потеряны важные данные клиентов. Но то, что банк является крупнейшим, с другой стороны, позволяет ему тратить большие ресурсы на поддержание безопасности инфраструктуры.

«Сбербанк покрывает более половины финансового рынка в регионе, что делает нас главной мишенью для русскоговорящих киберпреступников, ведущих активную деятельность на территории России, стран бывшего СССР, Восточной Европы и СНГ. В 2017 году передовая система кибербезопасности Сбербанка позволила нам отразить 100% кибератак», — заявлял на ежегодной конференции Sibos 2019 в конце октября текущего года директор дочерней компании Сбербанка по кибербезопасности BI.ZONE Дмитрий Самарцев.

Утечки персональных данных и в России, и в других странах мира давно перестали быть редкостью – им подвержены и крупнейшие транснациональные корпорации, и небольшие предприятия, и рядовые граждане разных государств. В Банке России отмечают, что полностью исключить риск подобных атак невозможно –

злоумышленники все время придумывают новые способы обхода систем защиты, но их главным оружием остается человеческий фактор.

«Уровень грамотности россиян в сфере информационной безопасности позволяет мошенникам из года в год успешно использовать информационные технологии и средства связи в сочетании с приемами так называемой «социальной инженерии» (злонамеренное введение в заблуждение путем обмана или злоупотребления доверием) для хищения средств с их личных счетов или счетов их работодателей. Так, в 2017 году мошенники похитили у физлиц более 1 млрд рублей», — заявлял в августе текущего года зампред Центробанка Дмитрий Скобелкин.

Согласно данным аналитического центра Infowatch, в 2017 году СМИ и другие открытые источники сообщили о 254 случаях утечки конфиденциальной информации из российских компаний и государственных органов, что составляет 12% от числа утечек в мире. При этом по вине рядовых сотрудников произошло 69% всех инцидентов. Более 90% утечек были связаны с компрометацией персональных данных и платежной информации.

Панацеи от утечки персональных данных обычных граждан не существует. К примеру, граждане сами оставляют номера телефонов и адреса электронной почты на своих страницах в социальных сетях, в торговых точках, выдающих скидочные карты, и так далее.

«На 100% обезопаситься от подобных инцидентов затруднительно. Для профилактики стоит с осторожностью вводить свои данные на любого вида сайтах и оставлять свои контакты на публичных ресурсах», — говорит специалист поддержки продуктов ESET Russia Борис Соболев.

Клиентам любых организаций в любой ситуации нужно быть бдительными и соблюдать элементарные правила безопасности. Например, обычно сами банки предупреждают – по подозрительным ссылкам в СМС не переходить, вложения из писем незнакомцев не загружать, пароли не выдавать даже сотрудникам кредитных организаций – мошенники могут маскироваться под операторов колл-центров.

«Утечка данных сотрудников банка может привести к тому, что для тех его клиентов, которые не соблюдают правила цифровой «гигиены», попытки мошенничества и социальной инженерии со стороны злоумышленников будут выглядеть более правдоподобно. Ещё раз подчеркнём: если вам звонит человек и представляется сотрудником банка, никаких существенных данных сообщать ему нельзя, более того, рекомендуется положить трубку и самостоятельно перезвонить в банк по телефону, указанному на его сайте; если представитель банка тот, за кого себя выдает, он сможет ответить вам по внутренней связи», — подчеркнул Гавриченков.

Утечкам данных подвержены и финансовые компании, и организации сферы здравоохранения, и государственные ведомства, подтверждает веб-аналитик «Лаборатории Касперского» Владислав Тушканов. В таком случае рекомендуется вспомнить, не дублируются ли пароли в сервисах компании и в других местах. «Повторяющиеся пароли вообще плохая практика, но если этот пароль был установлен где-то ещё — обязательно его поменяйте», — указывает Тушканов. Если оглашена информация вроде адреса, номера телефона и имен членов семьи, то повышается вероятность таргетированных фишинговых атак. В случае с банковскими учреждениями не лишним является и проверка своей кредитной истории.

Банк России уже несколько лет ведет активную борьбу с киберпреступниками – регулятор разрабатывает и обновляет стандарты информационной безопасности для кредитных организаций, выпускает рекомендации по хранению персональных данных клиентов. Кроме того, в 2015 году Банк России решил объединить участников финансового рынка в едином информационном пространстве, где их будут оперативно информировать об актуальных киберугрозах. Участники системы также получали в свое распоряжение набор программных средств и рекомендаций, применение которых минимизирует ущерб и потери этих структур и их клиентов.

Читайте так же:  Изменения в Инструкции № 157н: бухгалтерский учет в учреждении. Приказ номер 157

Эта система получила название FinCERT. До 1 июля 2019 года участие в информационном обмене было добровольным, но с этого момента стало обязательным для всех кредитных организаций. Тогда же была введена в эксплуатацию первая очередь автоматизированной системы обработки инцидентов, к которой подключились все российские банки. На основе этой структуры вскоре будет запущена базы данных о случаях и попытках осуществления переводов денег без согласия клиента. В Банке России уверены, что это существенно повысит эффективность работы по предотвращению хищений денежных средств со счетов клиентов

«Начиная с 2020 года оперативное получение информации о киберугрозах станет одним из инструментов снижения киберриска, расходы на покрытие потерь от которого будут влиять на размер капитала кредитных организаций», — говорится в отчете FinCERT за период с 1 сентября 2017 года по 31 августа 2019 года.

К концу августа информацию о кибератаках в Банк России предоставляли 718 организаций – за год их число увеличилось на 16%. Подавляющее большинство участников обмена данными составляют банки, еще примерно четверть – это иные финансовые организации, госструктуры, телеком-провайдеры, операторы сотовой связи, а также IT-компании (в том числе в сфере кибербезопасности), энергетические и промышленные предприятия.

По мнению специалистов Центробанка, общий тренд снижения количества успешных крупных хищений у кредитных организаций сохранится. При этом число хищений у клиентов банков (юридических лиц и индивидуальных предпринимателей) может возрасти. Одна из возможных причин – утечка в интернет исходного программного кода ВПО, используемого преступниками.

База клиентов: как защититься от кражи

  • Ашот Оганесян основатель и технический директор DeviceLock DLP

Согласно исследованию DeviceLock DLP, именно на август приходится пик попыток сотрудников прочесть или скопировать документы, составляющие коммерческую тайну. В этом месяце происходит почти 20% таких атак, что почти втрое превышает среднемесячный объем по году. Дело и в сокращении общей деловой активности и, соответственно, рабочей нагрузки на сотрудников — многим банально нечем заняться из-за традиционного снижения деловой активности, — а также в ослаблении контроля за работниками со стороны руководителей. Но главное — осенью многие сотрудники меняют место работы и часть из них таким образом готовится к переходу. Защитить корпоративные данные от копирования непросто, но возможно.

Чаще всего копируются базы клиентов, которые затем используются конкурентами или попадают на рынки спама, на втором месте тексты и программный код, на третьем — финансовые документы. Больше всего утечек происходит в сфере сервиса, где потери данных носят повсеместный характер, потому что их практически не охраняют, — большинство компаний относятся к малому бизнесу и не имеют ни бюджета, ни компетенций для их защиты. Часто сотрудник при переходе на новое место работы копирует всю базу клиентов — с фамилиями, телефонами и e-mail. При этом большинство сотрудников даже не считает это нарушением.

Хищение клиентских баз носит повсеместный характер не только в России, но и во всем мире. По данным исследования Symantec, еще 5 лет назад половина сотрудников уже крала корпоративные данные и почти столько же планировали использовать их на новой работе после увольнения. Согласно собственным данным DeviceLock, не менее 60% сотрудников российских компаний при увольнении пытаются сделать копию данных, с которыми работают.

Для работодателя утечка клиентской базы может иметь 2 неприятных последствия: во-первых, банальный переход клиентов к конкуренту, особенно если базу забирает с собой бывший сотрудник, уходящий на аналогичную должность. Но еще хуже, если клиенты начнут возмущаться, на каком основании с ними контактирует компания, которой они не передавали свои данные и не давали разрешения на их обработку. Чтобы пожаловаться в Роскомнадзор, нужно просто заполнить форму на сайте, а проверка ведомства довольно быстро выявит виновного, тем более что его новый руководитель будет валить все на него и говорить, что ничего не знал об украденной базе клиентов. В итоге виноватыми окажутся как недобросовестный продавец, так и его бывший работодатель, допустивший хищение данных. И хотя российское законодательство не предусматривает ответственность за утечки при автоматизированной обработке персональных данных, очень небольшая доля компаний в своих процессах полностью соблюдает 152-ФЗ «О персональных данных» и проверка Роскомнадзора обязательно выявит то, что обернется для бизнеса неприятностями.

Как защитить клиентскую базу от сотрудников

В первую очередь, нужно определиться, какие именно данные о клиентах вы хотите защитить (списки, финансовую информацию, проектную документацию) и где эти данные фактически находятся (база 1C, CRM-система, общие файлы). Подходить к этому вопросу стоит адекватно: нет смысла прятать, например, список клиентов, если он есть на сайте. Составленный список пригодится вам как для понимания ситуации, так и для использования на следующем шаге.

Напишите «положение о сведениях, составляющих коммерческую тайну», — это крайне важно для любых последующих юридических действий, в том числе в отношении недобросовестных сотрудников. Без такого документа вы не сможете не то что подать в суд на сотрудника, скопировавшего коммерческую информацию, но даже уволить его.

Образцы таких положений можно найти в сети, а в вашем документе обязательно должно быть указано, какая именно информация относится к коммерческой тайне, и прописаны:

обязанность работника хранить эту тайну;

право компании использовать технические средства охраны тайны.

Сотрудники компании должны быть ознакомлены с этим положением под роспись.

Проверьте облачные ресурсы, на которых хранятся файлы, используемые в работе с клиентами и подрядчиками. Открытая всем и индексируемая поисковиками «помойка» в публичных папках — просто тренд этого сезона. Кроме Google.docs и Яндекс-диска, есть еще облака Apple, mail.ru, Amazon и даже Adobe. Mногие компании используют собственные ftp-серверы, а также «невидимые» папки на веб-сайте, которые также необходимо проверить.

Настройте разделение доступа к корпоративным системам. Несмотря на то что большинство баз данных имеют широкие возможности выдачи полномочий различным пользователям и группам, чаще всего доступ дается всем и ко всем данным сразу. А в мелких фирмах часто сотрудники вообще используют один и тот же логин и пароль.

Установите DLP-систему. DLP (data loss prevention) — специальный программный комплекс, контролирующий перемещение информации и соответствие этого перемещения правилам. Такая система позволяет, например, запретить копирование файлов на внешние накопители или подать сигнал при попытке выгрузить список клиентов на облачный диск. Конечно, ее внедрение потребует инвестиций и работы по настройке, но она точно позволит контролировать доступ к данным и запретить их копирование или пересылку. При этом сложившиеся процессы не будут нарушены, а IT-инфраструктуру не придётся перестраивать. В DLP-системах обязательно используйте:

запрет копирования любых данных на внешние носители;

контроль вложений в письма по электронной почте, в том числе по ключевым словам;

контроль записи данных в облачные хранилища, в том числе по ключевым словам и «цифровым отпечаткам».

Не забывайте просто информировать сотрудников о том, что копирование корпоративной информации незаконно и будет иметь негативные правовые последствия. Вы будете удивлены, но немалая часть из них до сих пор этого не знает, предполагая, что раз они участвовали в их создании во время работы, то права на эти данные они имеют не меньшие, чем работодатель.

Data-базы на продажу. Кто торгует нашими данными, и сколько на этом зарабатывает

Если вам начали часто названивать с предложениями взять кредит в сомнительном учреждении, попробовать косметические процедуры по акции и т.п., то есть повод задуматься, а не оказались ли ваши данные проданы в третьи руки.

На специализированных форумах и просто при обычном поиске в интернете можно наткнуться на массу объявлений по покупке и продаже баз данных клиентов различных организаций — чаще всего это банки и госучреждения, встречаются также базы телефонных и интернет-компаний, финансовых учреждений и небольших частных фирм. «ДП» рассказывает о том, как продают личную информацию людей, кто ее покупает и сколько это стоит, а также почему от этого до сих пор практически невозможно защититься.

Чаще всего в такие базы входят ФИО клиента, его номер телефона и e-mail. Иногда также туда может входить какая-то более подробная информация, например данные о том, на какие цели человек брал кредит в банке, на какую сумму, кем он работает и т.п. Если в руках злоумышленников оказываются данные госучреждения, то туда уже могут входить и более серьезные сведения: фрагменты серии и номеров документов, данные о водительских правах и т.д.

Специалисты в области киберзащиты отмечают, что очень часто базы данных клиентов оказываются у злоумышленников как побочный продукт. Например, основной целью киберпреступника было получение денег или взлом какой-либо системы, но при этом в его руках оказывается еще и информация с данными людей. В таком случае их также выставляют на продажу.

«Базы данных могут попадать в руки злоумышленников самыми разными путями. Это может быть использование вредоносного программного обеспечения или целевая атака на компанию, оплошность или умысел сотрудников, ошибки при конфигурировании систем защиты, настройки серверов и т.д., приводящие к тому, что данные оказываются в свободном доступе. Бывает и так, например, что интернет-магазин прекращает существовать, а база данных его клиентов попадает в третьи руки», — рассказывает Александр Вураско, представитель компании Dr. Web.

По словам замруководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина, ущерб российской финансовой сферы из-за атак киберпреступников за вторую половину 2017-го и первую половину 2019 года составил 2,96 млрд рублей.

«В России в результате кибератак ежемесячно теряют деньги один-два банка, ущерб от одного успешного хищения составляет в среднем $2 млн. Не исключено, что, проникнув в сеть, злоумышленники могут копировать различные документы, базы данных, письма — такое случалось, и эти данные им были нужны для подготовки дальнейших атак или перепродажи», — указывает он.

Представитель Dr. Web Александр Вураско считает, что защититься от утечек достаточно сложно. Лучший способ — это дозирование предоставляемых о себе сведений. Например, использование отдельного номера телефона, адреса электронной почты и банковской карты для заказа в интернет-магазинах. В любом случае, передавая такие данные третьим лицам, вы фактически доверяете им безопасность этих данных, но вот проконтролировать то, как они будут использованы, вы не можете.

Также бывает, что среди правдоподобной информации встречается и ложная. Поэтому зачастую продавцы стараются уверить клиентов в «первоклассном качестве» и «самых свежих сведениях».

«Базы данных, с которыми мне приходилось сталкиваться в сети, выглядят правдоподобно. Нередко они бывают достаточно старыми, но попадаются и свежие образцы. Оценить процент ложной информации не представляется возможным, но в сети, в том числе и в Даркнете, встречаются мошенники, размещающие объявления о продаже таких баз и получающие предоплату от покупателей, ничего им не предоставляя взамен. Эта схема удобна тем, что жертва, скорее всего, не будет обращаться в полицию», — подтверждает Александр Вураско.

Новогодние скидки для клиентов

Каналы распространения таких данных тоже варьируются от обычных форумов сетевых мошенников до торговых площадок в Даркнете.

«Покупают их те, кто знает, как их использовать для достижения конкретных целей. Спамеры, люди, желающие атаковать организацию или ее клиентов, те, кто занимается поиском людей в сети, анализом их коммуникаций и т.д. Можно придумать массу сценариев», — считает представитель Dr. Web.

Стоимость покупки такой базы также вариативна. Во многом она зависит от того, чья это база (данные банков и крупных организаций стоят гораздо дороже), насколько сложно было ее заполучить, насколько она свежая и уникальная.

Читайте так же:  Что такое непрерывный трудовой стаж и для чего он применяется. Непрерывный трудовой стаж для расчета пенсии

В ходе изучения предложений по продаже «ДП» находил и расценки по 3-4 тыс. рублей (с учетом «новогодних скидок», без скидок средняя цена составляет уже 8-10 тыс. рублей), так и по 30 тыс. и 60 тыс. рублей.

На одном из сайтов, который предлагает купить подобные базы, также предлагается скачать демоверсию файлов. «ДП» ознакомился с примером такой базы, которая представляла собой данные вкладчиков банка ВТБ24 с 2013 по 2015 год. В базе помимо ФИО клиентов, номеров их мобильных и домашних телефонов также были указаны город проживания (в некоторых случаях вплоть до станции метро либо городского района), пол, возраст, дата открытия вклада и дата его последнего пополнения, сумма открытого счета и мобильный оператор, у которого зарегистрирован номер владельца.

Корреспондент «ДП» позвонил наугад 10 людям из демоверсии базы, из них три номера оказались отключены, остальные клиенты взяли трубку. Все из них подтвердили, что их ФИО совпадают с данными из базы. Один человек отказался рассказывать, являлся ли он клиентом банка с 2013 по 2015 год. Двое сказали, что не помнят точно, но, возможно, являлись клиентами и имели там счет. Еще один человек ответил категорически отрицательно на вопрос о том, открывал ли он счет в конкретном банке. Остальные три человека подтвердили, что являлись вкладчиками в указанные годы.

Как продаются базы данных, и кто их сливает

Некоторые продавцы на специальных хакерских форумах вместе с объявлением о продаже сразу оставляют контакты для связи в Telegram или через Xabber (довольно популярный среди пользователей Даркнета мессенджер). Также довольно часто встречается просьба переводить оплату через гарант сделок — то есть сторонний сервис или человека-посредника, который принимает участие в процедуре покупки и продажи в интернете. Гарант получает товар и деньги, убеждается в качестве товара и наличии нужной суммы, а после передает деньги продавцу и товар покупателю. За это он получает процент от сделки. По словам главы агентства «Рустелеком» Юрия Брюквина, операция по таким сделкам проводится через биткоин-кошелек. Наибольший процент переводов проходит через криптовалюту, но тем не менее часто используются и обычные анонимные кошельки, поддерживающие настоящую валюту.

«Самый большой канал распространения баз на продажу, конечно же, приходится на Дарквеб, где по этому направлению сформировался отдельный рынок, на котором есть даже свои авторитетные персоны и продавцы. Рынок этот огромный, а доходы продавцов достигают миллиардов рублей», — рассказал Брюквин.

В прошлом году «Рустелеком» подробно занимался темой изучения Дарквеба. В результате исследования удалось выяснить, что также существует услуга добычи базы клиентов на заказ. Сами базы монетизируются двумя способами — через шантаж организации, а также через так называемые лиды — особый вид уникальной информации, которая чаще всего содержит какие-либо финансовые данные (сумма счета, его номер и т.п.).

Корреспондент «ДП» связался с несколькими продавцами баз. Лишь двое из них согласились поговорить с изданием на условиях анонимности.

Например, один из продавцов, который предлагал приобрести базу с личными данными директоров туристических компаний России и СНГ за 16 тыс. рублей (по рублю за контакт), рассказал, что в среднем покупатели данных появляются регулярно раз в неделю.

«Чаще всего в продажу поступают контактные данные руководящих лиц. Клиентами в основном являются представители небольших бизнесов, которые используют информацию для работы в своей сфере. При этом источников сливов данных и заинтересованных лиц довольно много. Каждый ищет базу под свои нужды, поэтому вряд ли можно говорить о высокой конкуренции среди покупателей и продавцов», — рассказал он.

Среднюю сумму сделок и объем месячной выручки за продажу информации он сообщать не стал.

Еще один человек, предлагавший купить на форуме базу клиентов крупнейшего украинского ПриватБанка, представился обычным контактным звеном, который принимает покупателей, а затем отсылает их к «селу» (продавцу). При этом прямых продаж у него никогда не было, поэтому о расценках он сообщить не может.

«У меня много баз. У ПриватБанка на 700 тыс. клиентов и есть на 3 млн клиентов. Я всего-навсего посредник, есть люди, которые добывают данные», — рассказал он.

Более подробные сведения он сообщать отказался.

«В России базы данных клиентов часто «утекают» в результате действий инсайдеров, то есть самих операторов данных. В первую очередь речь идет о людях, которые работают с данными, — администраторы баз данных, операционисты. Из-за низкой оплаты труда этих людей злоумышленники могут подкупить их для кражи данных. Базу клиентов могут слить те, кто имеет к ней доступ, например менеджеры по продажам или ИТ-специалисты. В нашей практике были случаи расследования сговора внутри компании, когда уходящая целым составом команда ИТ-специалистов продавала данные о бывшем работодателе киберпреступникам», — рассказал «ДП» Сергей Никитин из Group-IB.

На международной сцене, по данным компании, хакерские атаки регулярно совершаются на сети отелей, представителей ретейла, авиакомпании, онлайн-сервисы, в результате которых происходит копирование баз данных клиентов. Причем жертвами становятся весьма крупные и известные компании, такие как Uber, British Airways, Marriott.

По словам Юрия Брюквина, покупателями баз часто являются финансовые брокеры или представители финансовых организаций, которые хотят привлечь к себе клиентов конкурентов.

«Получая такую базу, вы уже сразу знаете, что предложить человеку. Например, кредит на более выгодных условиях, чем у него есть сейчас», — объяснил он.

Банки и компании используют самые разные способы защиты, указывает Вураско. Это и антивирусные решения, затрудняющие проведение атак на банки, и DLP-системы, предназначенные для защиты от утечек информации, и автоматизированные антифрод-продукты, нацеленные на предотвращение мошеннических операций. Конкретная конфигурация системы информационной безопасности и поставщики применяемых решений могут сильно варьироваться от организации к организации. Здесь немаловажную роль играют и такие факторы, как бюджет на безопасность, количество сотрудников, особенности инфраструктуры и т.д. Сергей Никитин к этому списку добавляет также обучение сотрудников цифровой гигиене и мероприятия по повышению корпоративной культуры. Но, даже несмотря на наличие огромного количества высококлассных и защитных антивирусных решений, защититься все же от всех атак и утечек невозможно.

«Нужно понимать, что чаще всего банки не виноваты в утечке данных клиентов. Проблема в дырявой защите различных платежных систем. Существует огромное количество интернет-магазинов, которые создают сайты «на коленке» и совсем не заботятся о сохранности данных пользователей. Злоумышленникам ничего не стоит получить к ним доступ. Затем такая информация коллекционируется от сайта к сайту и сортируется по банкам. Так создается база», — объясняет Юрий Брюквин.

При этом, если банк или какое-либо учреждение, несмотря на все меры защиты, допустит утечку, никто не снимет с него ответственности по закону.

«Данные о клиентах зачастую являются информацией, которая позволяет идентифицировать физических лиц. На лице, которое собирает, хранит или иным образом обрабатывает такие данные, лежит обязанность соблюдать установленные законом о персональных данных требования к такой обработке, в частности соблюдать режим конфиденциальности, получать согласие обладателя персональных данных на передачу данных третьим лицам. Право на конфиденциальность персональных данных является важнейшим правом субъекта персональных данных. За нарушение правил обработки персональных данных предусмотрена административная ответственность», — объяснила юрист Екатерина Смирнова, руководитель практики по интеллектуальной собственности и информационным технологиям компании «Качкин и партнеры».

Кстати, самые яркие скандалы уходящего года были как раз во многом связаны с утечкой баз данных или использованием их третьими лицами. Например, громкий случай произошел весной этого года, когда выяснилось, что базы данных Facebook использовала компания Cambridge Analytica для анализа политических предпочтений пользователей и использования их в президентских выборах.

«Вопрос использования данных был подробно рассмотрен в нашумевшем споре между администрацией социальной сети «ВКонтакте» и обществом с ограниченной ответственностью «ДАБЛ». «ВКонтакте» обратилось в суд с иском к «ДАБЛ» о запрете использования данных пользователей в социальной сети. «ДАБЛ» обрабатывало открытые данные пользователей социальной сети и использовало их для оценки кредитоспособности пользователей как потенциальных заемщиков. Как в первой, так и в апелляционной инстанции суд признал, что социальная сеть «ВКонтакте» содержит в себе базу данных, право на которую может охраняться в соответствии со ст. 1260 ГК РФ. Сейчас дело направлено на новое рассмотрение», — рассказала Екатерина Смирнова.

Также юрист указала, что даже в случае ликвидации компании никто не снимет законную ответственность за утечку информации. По закону до завершения ликвидации руководство компании обязано уничтожить и обезличить базы данных клиентов. Если такую процедуру не осуществят, то теоретически к ответственности могут привлечь ликвидатора компании.

Хищение денег с банковской карты: как противостоять мошенникам?

Каждый год российские банки увеличивают вложения в так называемую кибербезопасность. Связано это, в первую очередь, говорят специалисты, с активностью хакеров, которые промышляют хищением денег со счетов граждан. Центробанк обязывают финансовые структуры защищать данные клиентов.

Насколько защищены банки сегодня и стоит ли быть спокойными жителям Башкортостана — об этом мы поговорили в эфире передачи «Интервью» на телеканале БСТ с заместителем управляющего национальным банком Республики Башкортостан Егором Михтанюком.

Начать нашу программу предлагаю всё-таки с разговора о самой последней новости. Буквально с сегодняшнего дня вступил в силу закон о противодействии хищению денежных средств со счетов клиентов. Согласно этому документу, кредитные организации, то есть банки, будут обязаны приостанавливать все безналичные платежи, переводы, если возникают подозрения, что к счету получил доступ злоумышленник. Как это отразится на жизни держателей карт? Можно ли теперь быть уверенными, что деньги у граждан точно не своруют?

Да, действительно, с сегодняшнего дня вступил в действие этот закон. Он разработан при участии Банка России. Основная его цель — создать правовой механизм по противодействию хищениям в области удаленного банковского обслуживания. Признаки, по которым будут относиться операции к разряду подозрительных, будут разрабатываться банком России, публиковаться на своём сайте в сети интернет. При этом, кредитные организации смогут дополнять, уточнять, исходя из своих правил управления рисками, эти признаки. Кредитные организации теперь будут обязаны отслеживать нетипичное поведение своих клиентов, нетипичное финансовое поведение. Например, если с одной банковской карты веером идет крупная рассылка платежей на множество других карты, либо если с одной карты осуществляются подряд платежи из разных регионов — это может свидетельствовать о том, что злоумышленники сделали копию с вашей карты, и похищают средства. Кстати, право блокировать подозрительные транзакции было у банков и раньше. Те банки, которые заботились о безопасности своих клиентов, этим правом пользовались.

Теперь, по закону, все кредитные организации будут обязаны такой деятельностью заниматься. Но суть закона конечно не в том, чтобы блокировать карты или транзакции, а в том, чтобы, выявив подозрительную операцию, установить, действительно ли ее совершает клиент, установить ее правомерность. В конечно итоге повысить безопасность платежей клиентов. А, кроме того, кредитные организации теперь будут обязаны сообщать банку России обо всех фактах попыток хищения с карт. Банк России будет использовать эту информацию для того, чтобы уточнять признаки отнесения операции к подозрительным. Здесь, конечно, речь не идет о формирование каких-то чёрных списков, как иногда говорят. Это будет информация, доступная всем кредитным организациям на сайте Банка России. Кроме того, кредитные организации будут сообщать о суммах, на которые покушались злоумышленники, о суммах, которые фактически удалось похитить. Но и самое главное, о суммах, которые удалось вернуть клиенту. Банк России будет отслеживать, как банк исполняет свои обязанности возвращать похищенные средства, если они похищены не по вине клиента.

Если мы говорим об этом странном поведении, как в законе прописано. Что можно все-таки считать странным поведением?

Читайте так же:  Пособие на ребенка малоимущим семьям. Кому положены пособия на ребенка до 16 лет

Это будет обязанностью банков, они должны будут отслеживать поведение своих клиентов. Конечно, клиенты могут предупреждать о таких ситуациях, чтобы блокировки не произошло.

Я имею ввиду, не будет массовой блокировки карт?

Я думаю, что не будет. Начнем с того, что будут опубликованы признаки, то есть эта работа начнётся постепенно.

Можно ли снизить риск блокировки карты?

Во-первых, необязательно всё-таки речь идёт о блокировке. Банки будут сами определять, как они будут приостанавливать эти транзакции, и их реакция — это будет реакция на нетипичное поведение клиента. Соответственно, можно предвосхитить эту реакцию. Например, если вы собираетесь выезжать за границу, и собираетесь там рассчитываться картой, либо если вы планируете какую-то крупную нетипичную для вас покупку с этой карты. Имеет смысл свой банк об этом предупредить, чтобы избежать его реакции. Кроме того, чтобы обезопасить себя от недоразумений, нужно соблюдать такие элементарные правила. Например, выезжая за границу, брать с собой не одну карту, а карты разных платежных систем, разных банков, какую-то часть средств брать с собой в наличной валюте. Рассчитываясь картой, не стоит передавать ее в руки незнакомым людям. Все операции должны совершаться в вашем присутствии, или вами лично.

Пользоваться сервисами уведомлений, SMS-уведомлениями, чтобы быть всё время в курсе операций, которые по вашему счёту происходят. Также необходимо быть на связи, потому что, по новому закону, увидев подозрительную операцию, банк будет незамедлительно пытаться с вами связаться. Делать это он будет способом, предусмотренным в договоре. Это могут быть и телефонный звонок, сообщение на электронную почту, и еще какие-то сообщения. Если ему не удастся с вами связаться, то он может приостановить подозрительную транзакцию на срок до двух рабочих дней. Если за это время вы не выходите на связь, эта блокировка снимается, и транзакция проводится. Чтобы зрителям были понятны масштабы угрозы с которой борется этот закон, за 2017 год было зафиксировано порядка 300 тысяч попыток хищения средств с банковских карт, и клиенты на этом потеряли около 1 млрд рублей.

300 тысяч — эта цифра очень серьезная, или пока все под контролем, и не вызывает опасений?

Возможно, если сопоставлять, цифра не очень серьезная, но, если вы встанете на место человека, у которого похитили средства для него это 100 процентов, он потерял свои средства уже. Поэтому, о каких бы цифрах не шла речь, важно с этим бороться и противодействовать.

Не боитесь ли вы того, что люди начнут массово звонить в банк и говорить: «Сейчас я буду оплачивать посылку на «Алиэкспрессе», я никогда так не оплачивал, так что вы меня не блокируете»

Мы этого не узнаем, пока не начнется практика применение этого закона. Банк России будет держать это под контролем или наблюдать за процессом происходящим в случае необходимости будут носить какие-то уточнения и признаки операции может быть и сам законодательный акт.

Ещё одно важное нововведение, которое начало действовать с 30 июня этого года — дистанционное обслуживание в банках. Он вступил в силу и заработал в банках. Механизм удаленной идентификации, распознавания, когда нужно прийти чтобы пополнить счет или получить кредит, мы всё-таки идем в банк с документами, говорим, что: «Я Иванов Иван Иванович, пожалуйста, подтвердите». Здесь начинает действовать удаленная идентификация. Хотим уточнить, насколько безопасен этот механизм, и на что он направлен?

Речь идет об удаленной биометрической идентификации. Этот механизм позволит существенно повысить доступность финансовых услуг, особенно для малоподвижных, маломобильных граждан, пенсионеров. Теперь они смогут независимо от времени суток, независимо от удалённости банковского офиса, получать необходимые услуги. Технология защищена по самым высоким стандартам информационной безопасности, ее гораздо сложнее обмануть, чем человека. Самое главное, что у нее очень высокая точность распознавания. Для ее работы используются две базы данных. Одна из них — это уже недавно внедренная единая система идентификации и аутентификации. Там хранятся паспортные данные, СНИЛС и так далее.

И вторая – это единая биометрическая система, где хранятся уже биометрические данные. При этом, во втором случае данные хранятся без привязки к персональным данным, что также повышает защищенность этой системы.

Как обычному гражданину оформить доступ к такому механизму?

Чтобы получить такую услугу, клиент должен один раз обратиться в свой банк. Сотрудники банка проведут так называемую первичную идентификацию. Для этого они зарегистрируют клиента в единой системе идентификации, аутентификации. Ваш СНИЛС, ваш паспорт будет там зарегистрирован. Если же вы раньше пользовались Госуслугами, то будет использована действующая запись. Далее сотрудник банка примет от вас ваши биометрические данные на текущий момент — это ваше видеоизображение, и запись вашего голоса. В дальнейшем вы получите уведомление о том, что ваши данные зарегистрированы. Используя любое устройство: телефон, планшет, компьютер, подключенные к интернету, и оснащенная видеокамерой и микрофоном, вы сможете получать банковские услуги. Для этого нужно будет зайти на сайт вашей кредитной организации, запросить необходимую вам услугу. Система переведет вас в единую систему аутентификации, идентификации, запросит логин, пароль. После этого уже вы перейдете в биометрическую систему, которая на ваш экран вашего устройства выведет некий набор знаков и цифр. Их нужно зачитать на камеру. Эта запись будет направлена в единую биометрическую систему, сверена с хранящимися там данными. Если будет совпадение, то вы будете идентифицированы и, соответственно, получите доступ к необходимой Вам услуге.

Насколько безопасна система?

Специалисты, оценивая параметры этой системы, говорят, что точность распознавания этой системы один случай на 10 миллионов. Это достаточно высокая точность. Человека проще обмануть, загримировавшись, подделав подпись, паспорт.

Как много банков уже этот удаленный доступ? Сколько банков сегодня уже задействованы?

Несколько банков в Уфе уже это делают. В целом, по стране, это порядка 15 кредитных организаций, представленных в 81 регионе. По планам, до конца года ожидается, что около 20% кредитных организаций будут подключены к системе. К середине следующего года — порядка 60%. И в 2019 году планируют полностью завершить внедрение этой услуги в кредитных организациях.

Это будет приоритетной мерой. Будет ли обязанность оцифровать всех клиентов?

Пока такой задачи нет. Естественно, все имеющиеся на текущий момент способы идентификации, сохраняются. Клинту просто станет удобнее пользоваться этой системой.

С вашей точки зрения, актуальна ли эта система?

Вы видите, сколько у нас попыток действий злоумышленников. Они получаются получить доступ таким образом. Поэтому дополнительная защита при идентификации — уже назревший вопрос.

Какие схемы у мошенников наиболее популярны?

Самое распространенная схема — это когда злоумышленник пытается захватить управление вашим устройством: планшетом, ноутбуком, компьютером, телефоном. Для этого ему необходимо, чтобы на ваше устройство попал вредоносный вирус. Делается это разными способами. Это может быть заражённая флешка какая-то, это может быть ссылка на вредоносный сайт. Сайт, с которого на ваше устройство закачается вредоносный код, может прийти сообщение по электронной почте, содержащие вредоносный код. Захватив управление вашим устройством, вредоносный код сможет перехватывать всё, что вы вводите в интернете: ваши логины и пароли, в том числе для входа в ваши банковские системы. Вирус может перехватывать реквизиты вашей банковской карты, когда вы рассчитываетесь в интернет-магазинах. Вся эта информация уйдет к злоумышленнику, который, таким образом, получит доступ ко всем вашим счетам. Кроме того, это может быть схема, когда вирус перехватывает управление вашим мобильным приложением. Он подменяет реквизиты в ваших транзакциях, может сгенерировать транзакцию без вашего ведома, заблокировав уведомления о совершаемых операциях. Банк России предъявляет кредитным организациям требования, чтобы вопросы информационной безопасности были решены на этапе, начиная с создания приложения. Кредитная организация, предоставляя услугу, обязана проинформировать о правилах поведения, как соблюсти безопасность, чтобы избежать хищения средств.

Всегда ли банки соблюдают свои обязанности?

Будем надеяться, что они всегда это соблюдают. Как минимум, они прописывают это в своих договорах. Соответственно, вы должны внимательно читать, и ответственно относиться к этим инструментам.

Каким образом людям защитить свои денежные средства?

Для этого нужно соблюдать правила электронной гигиены. Не следует устанавливать приложения из неофициальных магазинов, бездумно переходить по ссылкам в Интернете, открывать подозрительные письма от незнакомых людей. На все устройства нужно ставить антивирусное программное обеспечение.

Насколько безопасны те или иные инструменты для скачивания приложений?

Если люди скачали приложение из неизвестного источника, оно может содержать вредоносный код. Это довольно распространенная ситуация.

Насколько сегодня актуальна социальная инженерия?

К сожалению, остается актуальной. Продолжают приходить массовые рассылки, в которых предупреждают о том, что ваша банковская карта заблокирована. Часто в этих рассылках фигурирует Банк России. Стоит отметить, что Банк России не работает с физическими лицами и никогда не рассылает сообщения. В сообщении также содержится телефон. Это телефон злоумышленника. Если вы туда позвоните, он средствами вербального воздействия попытается вас вынудить или уговорить на то, чтобы вы ему дали реквизиты вашей банковской карты, либо предложит подойти к банкомату и совершить какие-то действия, в результате чего вы потеряете средства. Не следует этого делать, поскольку, если вы сами совершаете операции, сами отдаете свои реквизиты, банк вправе не возвращать вам средства. Останется только обратиться в полицию.

Массовость приводит к тому, что довольно широкая категория граждан страдает от таких событий. Особенно важно объяснять дедушкам и бабушкам, как действовать в такой ситуации, если получаете такое уведомление. Если вы сами засомневались, просто позвоните в ваш банк: телефон указан на обороте карты, либо в договоре.

На протяжении 7-8 лет говорится о том, что не следует передавать никому свои данные. Граждане ведутся на такие виды мошенничества?

К сожалению, продолжают граждане страдать от мошенников. Граждане доверяют сообщениям. Особенно это касается пожилых людей, для которых эти технологии непривычны.

Что делать гражданам, которые столкнулись с мошенничеством?

Если по вашей карте совершена операция без вашего ведома, то нужно позвонить в свой банк. Уведомляете о мошенничестве и блокируете карту, поскольку если там еще остались средства, это позволит остановить дальнейшие хищения. После этого нужно обратиться в офис вашего банка, запросить выписку по этой карте, и написать заявление о несогласии с операцией мошеннической. Одну копию нужно оставить у себя, после этого обратиться в правоохранительные органы. Банки обязаны рассмотреть ваше обращение в течение 30 дней. Если это была международная транзакция, срок увеличивается до 60 дней.

Можно ли говорить о том, что пострадавшие граждане получат компенсацию? Какой процент людей получили компенсацию?

Такой статистикой я не обладаю. По вашему заявлению банк обязан провести расследование, по результатам он примет соответствующее решение. Вы можете рассчитывать на возврат средств, если вы не нарушали правила пользования данным банковским продуктом, правила информационной безопасности, и обратились с заявлением не позже одного рабочего дня с момента уведомления.

Если же хищение состоялось в результате вашей неосмотрительности или вы сами отдали реквизиты, то банк может и не возвратить потерянные средства.

Банки больше на стороне клиентов?

По закону, банки обязаны возвращать средства, если они не смогут доказать, что клиент сам в этом виноват. Если есть несогласия, клиент может обратиться в суд или Роспотребнадзор.

Насколько угрозы растут и насколько банки могут отражать различные хакерские атаки?

Это двусторонний процесс. Безусловно, банки совершенствуют все свои системы защиты, они растут в этом вопросе. С другой стороны, и хакеры тоже придумывают новые способы. Хакер обращает свое воздействие не столько на банк, сколько на клиента, которого может разными способами обмануть.

admin