Клиентов банков, ломбардов и МФО защитят от кражи персональных данных
В январе вступили в силу новые требования Центробанка РФ к кибербезопасности в финансовом секторе. В наибольшей степени они касаются системно-значимых кредитных организаций. Речь идет о Положении Банка России от 17 апреля 2019 г. N 683-П. Часть требований начала действовать с начала прошлого года. А то, что касается уровней защиты, с 1 января 2021 года.
Стандартный уровень безопасности должны обеспечить банки и страховые компании с активами свыше 20 миллиардов рублей. Определенные требования начнут предъявляться также к микрофинансовым организациям и ломбардам. Что это значит для рядовых заемщиков, разбиралась корреспондент "Российской газеты".
"Новые требования для небольших игроков рынка оказались в новинку, - считает консультант Центра информационной безопасности компании "Инфосистемы Джет" Сергей Канивец. - По сути, это первая попытка заставить следить за кибербезопасностью ломбарды и микрофинансовые организации - МФО". Эксперт считает, если микрофинансовые структуры внедрят нововведения, то стоимость их услуг может несколько вырасти. Но это единственное, что заметят клиенты.
А вот будет ли защита от киберугроз эффективна? Здесь все не так просто и быстро. Сектор микроплатежей действительно часто подвергается различным киберугрозам. Они бывают чисто технические, когда, например, человек пытается получить дистанционный заем, взламывая электронную платежную систему. С такими деятелями МФО давно привыкли бороться самостоятельно, они проводят платежи через защищенные каналы, вводят системы идентификации заемщиков, в общем, делают все, чтобы их не обворовывали.
Для заемщиков же главной угрозой становится кража персональных данных. Казалось бы, чем человек, человек, который занимает пять тысяч рублей до зарплаты, может быть интересен хакерам? На самом деле, может. У него воруют паспортные данные, под которые затем оформляют займы, зачастую это происходит дистанционно. Таких кибермошенников называют "фродами". В данном случае потерпевшими оказываются все.
Гражданин, у которого украли данные, через год может столкнуться с тем, что у него списывают деньги по решению суда, о котором он даже не знал. Правду доказать можно: люди успешно оспаривают решения судов, возвращают деньги (но это требует нервов и времени). В таком случае потерпевшей становится финансовая компания, которая потеряла деньги.
Новые требования ЦБ к микрофинансистам должны защитить персональные данные граждан от такой схемы. Правда, как говорит Денис Пащенко, руководитель отдела консалтинга и аудита информационной безопасности STEP LOGIC, 77 процентов утечек данных из финансовых организаций в этом году произошли из-за умышленных действий персонала.
"Новые требования позволят структурировать работу таких организаций, что несколько снизит риски, однако, скорее всего, принципиально ничего не изменится", -считает Пащенко.
С ним солидарен и программист, основатель компании "Только Высокие Технологии" Даниил Растовцев. Эксперт утверждает: 100-процентной защиты от проникновения и получения информации от посторонних лиц путем социальной инженерии пока просто не существует. Этот процесс может только быть минимизирован, например, когда искусственный интеллект будет закрывать информацию от сотрудника финансовой организации при попытке получить несанкционированный доступ. Но с прошлого года решать вопросы внедрения искусственного интеллекта и защиты систем стало решать значительно сложнее. В финансовом секторе, в том числе и в небольших компаниях люди, ушли на удаленку. И работают они со своих домашних незащищенных компьютеров.
"У небольших организаций нет денег на специалистов по информационной безопасности. И не будет. У них и ИТ-специалистов часто не бывает, - предупреждает Денис Батранков, независимый эксперт по информационной безопасности. - Во многих таких компаниях можно найти способы взлома обычными общедоступными сканерами уязвимостей, поскольку никто не занимается обновлениями программного обеспечения".
По словам эксперта, информационная безопасность - это не только создание защищенных каналов или привлечение профильных специалистов. "Она, - поясняет эксперт, - начинается с культуры каждого сотрудника: создавать сложные пароли, использовать разные пароли на разных ресурсах, не отдавать пароль коллеге, не кликать и не открывать письма от неожиданных адресатов".
Таким образом, путь к кибербезопасности не будет быстрым и простым. Регулятор только запустил процесс, который еще предстоит сделать реальностью каждого дня. И этому могут помочь клиенты тех же МФО и ломбардов. Они тоже должны повышать свою финансовую и ИТ-грамотность. И вообще надо поднимать культуру кибербезопасности населения, считает Денис Батранков, а начинать следует со школы.
Источник: Российская газета https://rg.ru/2021/01/03/klientov-bankov-lombardov-i-mfo-zashchitiat-ot-krazhi-personalnyh-dannyh.html
04.01.2021