Алексей Кузовкин, “Инфософт”: “Ответственность за утечку клиентских данных из банков зависит от того, каким образом она произошла”
Октябрь ознаменовался масштабным скандалом: появились сведения о крупной утечке пользовательских данных из Сбербанка. В начале месяца сообщалось о том, что утекли данные около 60 млн кредитных карт, затем в конце "Коммерсант" сообщил, что обнаружил на чёрном рынке базу с полными персональными данными клиентов банка, включавшую около миллиона строк. Утечки банковских данных, к сожалению, довольно распространённое явление, хотя столь масштабными они бывают редко. Что является их причиной? Какова должна быть мера ответственности банковской организации, из которой происходит утечка? Что может и должен сделать банк, и что может и должен сделать пользователь, чтобы застраховаться от потерь? На эти и другие вопросы отвечает Алексей Кузовкин, основатель компании “Инфософт”. Почему вообще происходят утечки банковских данных? Алексей Кузовкин: Здесь необходимо сперва определиться с терминологией. Почему? - Дело в том, что общим понятием "утечка" описываются сразу несколько явлений, имеющих разную природу. Да, в целом речь идёт о том, что к конфиденциальные данным - то есть, сведениям, которые должны быть известны только клиенту и банку, - получают доступ третьи лица. Причём доступ, не санкционированный ни банком, ни клиентом. Однако ключевым оказывается вопрос, каким образом это оказалось возможным. А вариантов тут может быть множество. Самый, если угодно, "детективный" - это взлом банковской инфраструктуры хакерами с последующим выводом большого количества данных. Однако банки, особенно крупные, вкладывают значительные ресурсы в то, чтобы атаковать их “в лоб” стало бесполезным, и киберпреступники об этом знают, предпочитая менее защищённые мишени. Второй, уже более вероятный, но тем не менее, довольно редкий вариант, - это утечка вследствие деятельности инсайдера. Инсайдер при этом должен обладать довольно высокими полномочиями по доступу к информации, а следовательно, это будет не рядовой клерк, а достаточно высокооплачиваемый сотрудник, перекупить которого не так-то просто, учитывая возможные риски. Есть, конечно, вариант с попытками воздействовать на него какими-то другими средствами, но снова потребуется целая криминальная операция. Гораздо дешевле и проще в исполнении другие подходы, - мошеннические атаки на держателей счетов и карт (например, поддельные звонки из служб поддержки банков); заражение конечных устройств пользователей троянскими программами, крадущими банковские реквизиты, скиммеры на точках продаж и т.д. Выманенные таким образом данные зачастую накапливаются в течение продолжительного времени и активно продаются потом на чёрном рынке. Наконец, случаются такие ситуации, когда операторы персональных данных с той или иной целью - при миграции, например, выкладывают массивы пользовательских данных на внешние облачные хранилища, но забывают настроить адекватную защиту или удалить данные после того, как миграция закончена. Подобное случается сплошь и рядом, хотя, как правило, речь идёт не о банках. И как от этого можно защититься? Алексей Кузовкин: Как уже сказано, банки предпринимают значительные усилия для того, чтобы избежать подобных инцидентов, - в защитные системы, позволяющие вовремя обнаружить и заблокировать попытки киберпреступников проникнуть в инфраструктуру банка, вкладываются в буквальном смысле миллионы и миллиарды. Разработано и множество подходов по борьбе с мошенничеством, в том числе когда речь идёт об атаках на конечных клиентов, как технического, так и нетехнического характера. Проблема, однако, упирается в уязвимость и, в конечном счёте, безалаберность пользователей, - именно они, а не банки, чаще всего пренебрегают собственной защитой и поддаются на уловки мошенников. Хотя надо понимать: сегодня мошеннические группировки, “работающие” по конечным пользователям, очень часто держат “в штате” высокопрофессиональных психологов, способных манипулировать даже самыми опытными и знающими людьми. Как вы считаете, какую степень ответственности банки должны нести за утечки пользовательских данных? Должны ли они возмещать клиентам их потери в случае таких утечек? Алексей Кузовкин: На мой взгляд, всё зависит от того, откуда именно “утекли” данные. То есть, несомненно, виновен будет банк, если хакерам удастся взломать его защиту и вывести данные напрямую из его инфраструктуры. Также на банке будет лежать вся мера ответственности, если окажется, что данные украл инсайдер или что в силу халатности сотрудников данные оказались в открытом доступе. Но если “утекшие” данные - это просто набор сведений, которые мошенники и кибервзломщики длительное время выманилии или выкрали у различных пользователей, то здесь претензии к банку предъявлять неправомерно. Банковские приложения сами по себе в большинстве случаев надёжно защищены, вдобавок, банки распространяют среди своих клиентов информационные материалы о том, как не пасть жертвой мошенничества и защитить себя. Если пользователи не следуют рекомендованным практикам, то какой может быть спрос с банка? В целом я считаю, что в стандартном договоре банковского обслуживания должна оговариваться возможность утечки пользовательских данных, сопутствующие обязательства сторон по профилактике и ответственность, наступающая вследствие инцидента. Иными словами, в договоре должно быть сказано: банк такой-то принимает на себя обязательства обеспечить самую современную и эффективную защиту своей инфраструктуры и пользовательских данных, а также - безопасность официальных цифровых инструментов для доступа пользователей к своим банковским счетам. Банк гарантирует отсутствие или своевременное исправление критических уязвимостей в мобильных приложениях и на официальном сайте банка; защиту от кибератак на канал связи; а также - опционально - консультации пользователей по вопросам киберзащиты. В свою очередь, клиент обязуется следовать рекомендованным практикам самозащиты, своевременно обновлять программные средства, которыми он пользуется, следить за обновлениями антивирусов и перепроверять источники звонков или СМС-сообщений, якобы поступающих из банка. Подобным образом, по крайней мере, удастся частично снизить остроту проблемы. Большое спасибо!