Коротко

Новости

Подробно

Фото: Юрий Мартьянов / Коммерсантъ   |  купить фото

Киберзащита компаний дает сбои изнутри

Как крупные организации могут обезопасить данные клиентов

от

В скандале с утечкой данных клиентов Сбербанка появились новые детали — число пострадавших выросло. Кредитная организация выяснила, что в открытый доступ попала информация о счетах 5 тыс. человек. Хотя ранее глава банка Герман Греф заявлял, что речь идет лишь о 200 жертвах. По данным «Ведомостей», в DarkNet оказались сведения о держателях кредитных карт и их счетах. Секретных кодов или слов там нет. Чем это грозит клиентам? И почему изменилось количество пострадавших? Об этом — Глеб Силко.


Когда глава Сбербанка Герман Греф объявил, что жертвами утечки данных стали всего 200 человек (ранее “Ъ” сообщал о данных 60 млн кредитных карт), казалось, что вопрос исчерпан. Выяснилось, что информацию о держателях кредиток продавал некий сотрудник уральского отделения, с ним уже работают правоохранительные органы. Но скандал на этом не закончился. На этот раз уже сам Сбербанк сообщил, что речь идет не о 200, а о 5 тыс. человек. Впрочем, в кредитной организации добавили: значительное количество учетных записей кредитных карт устаревшие и неактивные, вообще, их перевыпустили, угрозы для средств клиентов нет.

Правда, специалисты по информационной безопасности сомневаются: число пострадавших на самом деле может быть больше. Так или иначе, сейчас на всех, чьи данные попали в чужие руки, обрушится волна мошеннических звонков, предупреждает директор департамента информационной безопасности Национальной инжиниринговой корпорации Лука Сафонов: «Если этим людям назовут практически всю подноготную — паспортные данные клиентов, кредиты, которые они брали,— я думаю, очень многие поверят тому, что это звонок из банка, особенно если будет использована подмена номера. Как минимум эту базу можно отсортировать по уровню владения деньгами, то есть если у кого-то кредит одобрен на 300 тыс. руб., а у кого-то на 2 млн руб., то, соответственно, будут звонить второму».

Что теперь делать клиентам? Судиться со Сбербанком можно, но доказать что-либо будет сложно, говорит советник практики информационных технологий юридической компании «Томашевская и партнеры» Роман Янковский. А за допущенную утечку кредитной организации грозит штраф максимум в 50 тыс. руб., поскольку виноват в произошедшем хакер или недобросовестный сотрудник. «Те, чьи данные были разглашены таким образом, могут подавать иск о компенсации морального вреда, возмещении убытков.

Но проблема в том, что потери в российском праве нужно доказывать.



Какие доводы относительного того, что ты пострадал, и данные твоей кредитной карты ушли в интернет, можно привести, если ты ее сразу заблокировал? С точки зрения нашего суда, это не считается каким-то моральным ущербом. Тем более сложно говорить здесь о каком-то экономическом вреде»,— полагает Янковский.

Сообщения о крупных утечках данных клиентов больших компаний — не редкость в последнее время. Например, на прошлой неделе практически одновременно со скандалом со Сбербанком выяснилось, что в DarkNet также появилась база данных 8 млн клиентов «Билайна». Неужели хакеры стали активнее и научились обходить киберзащиту серьезных компаний? Едва ли дело в этом, убежден бизнес-консультант по безопасности Cisco Алексей Лукацкий. Возможно, теперь организациям нужно пересмотреть свои методы борьбы с уже не внешним, а внутренним врагом. «В условиях достаточно непростой экономической ситуации всегда внутри компании находятся люди, и в перспективе их число будет больше, которые захотят продать те данные, к которым они имеют вполне легальный доступ. И учитывая, что эта информация является достаточно ценной для злоумышленников, всегда найдутся те, кто захочет ее купить. Здесь скорее дело не в том, что компании не умеют выстраивать системы защиты от хакеров, а в том, что немного меняется сама парадигма: защищаться уже надо не только и не столько от хакеров, сколько от людей, которые имеют доступ к данным»,— заявил Лукацкий.

Если борьба с собственными нечестными сотрудниками — дело самих компаний, то настоящими хакерами и интернет-мошенниками должна заниматься реальная полиция. Предложения создать в органах МВД узкоспециализированные киберотделы звучат в России не первый год, но поддержки в органах власти они не нашли. В последний раз в сентябре речь шла о создании киберполиции для борьбы с распространением наркотиков через интернет. Но эту идею не одобрили на самом высшем уровне — в необходимости такого рода силовиков усомнился президент Владимир Путин.

В самом Сбербанке “Ъ FM” отказались дополнительно комментировать ситуацию. Ранее информацию “Ъ” об утечке данных 60 млн кредитных карт там назвали некорректной.

Комментарии
Профиль пользователя