Пошли на поправку: кто предотвратит утечки персональных данных

Количество утечек персональных данных, а вместе с ними денег со счетов и карт клиентов, в 2019 году значительно выросло. В даркнете активно продается персональная и платежная информация жертв — специалисты Банка России насчитали почти 13 тыс. предложений. Как бизнес, законодатели и финрегулятор намерены решать проблему — в материале «Известий».

Тень на электронном будущем

Сегодня более половины россиян предпочитают бесконтактные платежи. Чаще всего на кассе они используют банковские карты (58%) и смартфоны (26%). На Google Pay приходится 44% операций, на Apple Pay — 33%, на Samsung Pay — 11%, сообщается в февральском исследовании Аналитического центра НАФИ. Но масштабному переходу на бесконтактные платежи с помощью мобильных устройств мешают вопросы безопасности, отмечают эксперты.

Главный источник информации для мошеннических действий с деньгами жертв — утечки. В 2019 году специалисты Банка России зафиксировали шесть утечек из баз данных финансовых организаций. В даркнете эксперты регулятора выявили 12,9 тыс. объявлений о продаже информации, 12% которых относилось к базам с банковской информацией.

— Результаты нашего собственного исследования показали, что в 2019 году с утечками информации столкнулись 68% организаций кредитно-финансовой отрасли, почти в половине случаев утекали персональные данные, — рассказал Алексей Парфентьев, руководитель отдела аналитики SearchInform.

Платежная платформа RBK.money к громким утечкам 2019 года отнесла инцидент с публикацией в интернете базы о миллионах клиентов «Билайна». Примерно в это же время в Сеть попала платежная информация пользователей «Яндекс.Денег». Компании даже пришлось перевыпускать виртуальные и физические карты.

— Причиной утечек в 44% стали внешние атаки, но большинство — результат нарушений внутри компании, — напомнил генеральный директор RBK.money Денис Бурлаков.

Мошенники наращивают обороты

Из-за утечек информации в 2019 году злоумышленники провели более 570 тыс. операций без согласия клиентов, ущерб от них составил 5,7 млрд рублей. Такую статистику (в ней не учитываются онлайн-кошельки) приводит Банк России.

По данным МВД, число мошеннических действий с использованием электронных средств платежа (пластиковые карты, электронные кошельки, платежные сервисы и т.п.) существенно растет. За 9 месяцев 2019 года их стало на 417% больше по сравнению с аналогичным промежутком 2018 года. При этом на 69% выросло количество преступлений с помощью информационно-телекоммуникационных технологий.

Новые стандарты безопасности

Законодательные инициативы, обсуждаемые депутатами и регуляторами, призваны усложнить преступникам жизнь и защитить персональную информацию клиентов. Логичный шаг — идентификация пользователей e-mail для снижения волны фишинга и мошенничества путем личных сообщений на популярных интернет-ресурсах — один из камней преткновения.

— Законопроект одобрен правительством, но Минкомсвязи выступает против, считая документ технически нереализуемым и нарушающим принципы сетевого нейтралитета, — поясняет Денис Бурлаков. — В итоге власти стараются принимать законы, обязывающие операторов связи тщательнее относиться к хранению и защите данных, а также к идентификации пользователей и блокировке злоумышленников. Со стороны компаний также идет наращивание экспертизы по кибербезопасности.

Для финансовых организаций особый «профиль защиты» готовит Центробанк. В течение года регулятор обещает сформулировать обязательные для выполнения стандарты информационной безопасности для разных категорий финансовых организаций — предполагаются минимальный, стандартный и усиленный уровни защиты. Также эксперты ЦБ высказали идею ужесточить наказание за утечки персональных данных клиентов вплоть до уголовной ответственности.

Как подчеркивает директор департамента консалтинга и аудита АО НИП «Информзащита» Александр Барышников, теперь в отношении программного обеспечения, которое используется для осуществления финансовых операций, должны проводиться проверки — на соответствие ряду серьезных требований к оценочному уровню доверия и отсутствие уязвимостей. Следить за исполнением будет Центробанк.

Защити себя сам

Пока депутаты и регулятор меняют правила игры, компании вынуждены самостоятельно обеспечивать защиту информации. Как полагают в RBK.money, действия нужно начать с реализации принципа наименьших привилегий.

— Доступ к информации должен предоставляться исключительно при необходимости решения рабочих задач, — отмечает Денис Бурлаков. — Грамотно выстроенная архитектура, содержание инфраструктуры в порядке, правильное разграничение доступа и контроль над выполнением этих разграничений, мониторинг за движением информации в системах — вот пять китов, на которых строится надежная и эффективная защита личных сведений клиентов. Изобретение «велосипедов» избыточно.

В самой компании налажен мониторинг манипуляций с критической информацией. Например, без внимания не остаются факты чтения файлов, которые по уровню доступа нельзя открывать, просмотр критически важной документации в нерабочее время или массовые операции с файлами — это серьезные поводы для реагирования. Для криптографической защиты в платежных сервисах RBK.money используются только надежные алгоритмы.

Однако борьба бизнеса за пользовательские данные по-прежнему остается «битвой брони и снаряда» — злоумышленники становятся всё изобретательнее. Они активно переключаются с более защищенных финансовых институтов на их клиентов с применением инструментов социальной инженерии. Спасение — во внедрении кросс-канальных систем противодействия мошенничеству с технической стороны и проведении программ повышения осведомленности и цифровой грамотности населения.

ЧИТАЙТЕ ТАКЖЕ

Черный и не пушистый: появилась новая схема обмана «Белый кролик»

После прохождения безобидного опроса клиенту присылают одноразовую ссылку, ведущую на сайт злоумышленника

Изобретая жертву: ИП попадут под прицел банковских мошенников в 2020-м

Они так же доверчивы, как физлица, но хранят более значительные суммы на счетах