Пробивщики среднего звена: за утечки данных из банков чаще всего наказывают сотрудников

Утечки конфиденциальной информации из банков обернулись для них крупными штрафами только в 20% случаев, а в большинстве инцидентов наказание, в том числе в виде увольнения, понесли сотрудники. В 10% утечек не был наказан ни сам банк, ни его сотрудники. В России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим клиентам об утечках, поэтому доказать их факт затруднительно, поясняют эксперты.
"Ъ" ознакомился с исследованием "Ростелекома" об особенностях защиты конфиденциальной информации в финансовом секторе. Из него следует, что чаще всего за утечку корпоративной информации из банков наказывают сотрудников. Более чем в 70% случаев утечка приводит к применению дисциплинарных взысканий к виновным сотрудникам, в том числе и к увольнению. Только в 20% случаев масштабные утечки в банках обернулись для них крупными штрафами со стороны регуляторов. В 10% утечек не был наказан ни сам банк, ни его сотрудники, говорится в исследовании. Исследование проводилось путем опроса специалистов по информационной безопасности финансовых организаций с марта по июнь.
Чаще всего утечки в финансовой сфере происходят через личную почту и облачные хранилища, на них приходится около 35% от всех инцидентов. Еще 28% утечек было совершено через мессенджеры, и 24% - через корпоративную почту.
Только 15% утечек не были связаны с интернетом: они могли производиться через печать документов (5%), кражу данных с помощью съемных носителей (5%). На внутренние системы банка пришлось всего 5% утечек. Всего в 2020 году, по данным InfoWatch, число утечек из российских финансовых организаций выросло на 36,5%, тогда как во всем мире снизилось на 7,3%.
В 60% случаев, по данным "Ростелекома", были скомпрометированы персональные данные клиентов и сотрудников финансовых организаций, еще в 30% - злоумышленники крадут данные платежных карт. Менее чем в 10% инцидентов достоянием мошенников становится коммерческая информация банка. В Сбербанке "Ъ" заверили, что за последние два года "ни одного такого инцидента не было": "У нас принципиально новая архитектура процессов по противодействию утечкам". Но в октябре 2019 года Сбербанк сообщал, что в результате расследования стало известно об утечке 5 тыс. учетных записей кредитных карт клиентов. В ЦБ не стали комментировать данные "Ростелекома".
Во многом рост утечек из банков связан с трансформацией в представлении финансовых услуг под влиянием пандемии, говорит руководитель направления аналитики InfoWatch Андрей Арсентьев: "Произошел крен в сторону дистанционного представления услуг, и системы защиты банков трудно было оперативно адаптировать под новые реалии".
По его словам, чаще всего в утечках из банков виноваты внутренние нарушители - более 80% инцидентов в прошлом году произошли по их вине, тогда как в мире этот показатель составил немногим более 50%.
В России базы данных клиентов часто утекают в результате действий сотрудников банка, которые незаконно подрабатывают на сервисы "пробива", говорит операционный директор Group-IB Сингапур Сергей Никитин. По его словам, в первую очередь речь идет об администраторах баз данных, операционистах, менеджерах по продажам.
В России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим лицам об утечках, напоминает преподаватель Moscow Digital School Алексей Мунтян: "Это часто не дает возможности доказать факт утечки". Ответственность за нарушение законодательства о персональных данных может быть административной с наказанием до 12 тыс. руб. для граждан и до 300 тыс. руб. для юрлиц, напоминает председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. В исключительных случаях за утечку данных может грозить уголовная ответственность, отметил он. Но, по его мнению, текущих мер не хватает, их стоит ужесточить.
Источник: КоммерсантЪ: https://www.kommersant.ru/doc/4900159

15.07.2021