Полное цифровое досье на человека стоит 300 тысяч рублей
Фото: 123rf/Legion-media
В 300 тыс. руб. оценивается сбор информации обо всех финансовых операциях человека за год. Такие «ценник» даркнета озвучил председатель совета директоров ООО «СёрчИнформ» Лев Матвеев на заседании пресс-клуба «Руссофта».
По его словам, сами сотрудники банков с готовностью «сливают» данные злоумышленникам. Первоначальная вербовка специалиста обходится в 50–100 тыс. руб.
Однако банки неохотно сообщают об утечках. Согласно данным исследования «СёрчИнформ», 64 % из них всячески скрывают подобные инциденты, хотя в последнее время с ними сталкивались 68 % компаний в кредитно-финансовой сфере. Только 45 % банков после утечки данных проинформировали регулятора и лишь в 18 % случаев поставили в известность самого пострадавшего клиента и извинились перед ним. С официальным заявлением в СМИ не выступил ни один банк.
Под атакой чаще всего оказывалась информация о клиентах и сделках и персональные данные. Вина в подавляющем большинстве случаев ложится на рядовых сотрудников.
Как подчеркивает Лев Матвеев, бизнес стал активнее применять защиту от внешних угроз, но с ростом внутренних угроз бороться не готов. В качестве иллюстрации он привел рассказ о том, что в одном из банков в ночное время сотрудник подменял в базе данных телефон клиента, на который должны были бы приходить уведомления об операциях со счетом, на свой собственный и снимал по 100–150 рублей. Утром возвращал данные к исходному виду.
Потерю такой суммы сразу заметит далеко не каждый, а ущерб такой операционист мог нанести значительный.
Лев Матвеев. Фото: Олеся Тарасова / предоставлено РУССОФТОднако положение с кибербезопасностью в банках в целом лучше, чем в других компаниях — сказывается давление финрегулятора. За год ФинЦерт выявил около 700 нарушений — все они были связаны с человеческим фактором. Как правило, права сотрудников расширялись, а контроль за данными — нет. В результате 44 % банков понесли наказание за compliance-риски, — такие цифры приводятся в исследовании «СёрчИнформ».
Однако к злоумышленникам могут попасть не только финансовые сведения, но также более чувствительные данные — например, истории болезни.
«К сожалению, безопасность сегодня — "бумажная", и ФЗ-152 (о персональных данных. — Примеч. ред.) — самый «бумажный» закон, а самый «бумажный» орган контроля — Роскомнадзор: на бумаге полный порядок, но на деле все продается и покупается, — отметил Лев Матвеев. — В любой гостинице сегодня сканируют паспорт, потом эти данные появляются в Интернете — так консьерж зарабатывает себе "на мороженое". Если на законодательном уровне отели обяжут установить инструменты контроля выхода данных любым способом — на принтер, на флешку, в облако, — то это решит проблему. Причем для этого не потребуются затраты, как на закон Яровой: минимальная система стоит 300–400 тыс. руб.».
Члены некоммерческого партнерства разработчиков ПО, объединяющего 165 компаний, «Руссофт» готовят ряд обращений к новому правительству. Комитет по информационной безопасности «Руссофта» планирует обратиться в правительство с предложением создать Министерство информационной безопасности, в котором должны быть управления по борьбе с наркотиками в Интернете, по борьбе со сливами медицинских данных граждан и утечками из банков. В него могут войти реальные руководители служб кибербезопасности крупных компаний.
В феврале стало известно, что в МВД создано Интернет-подразделение по борьбе с наркотиками в онлайн. Это первый шаг борьбы с даркнетом, но, по мнению членов «Руссофта», напоминает ситуацию, когда для латания дыры на локте вырезается заплатка с колена.
По оценкам специалистов в сфере кибербезопасности, если 5–7 % средств, выделяемых на цифровизацию, направить на кибербезопасность, то проблема сливов информации в России просто исчезнет.
Инофграфика: предоставлена РУССОФТПодписывайтесь на нас:
Еще по теме
