Утечка данных Сбербанка. Эксперт о рисках для владельцев кредитных карт

После утечки данных Сбербанка эксперт в области безопасности в финансово-банковской сфере Борис Славин рассказал DW о распространенных видах мошенничества с картами и дал советы пострадавшим.После того, как в СМИ появилась информация об утечке данных 60 млн кредитных карт Сбербанка, в самом банке заявили о том, что проводят внутреннее расследование и что похищенная информация "в любом случае никак не угрожает сохранности средств клиентов". Как оказалась возможной столь масштабная кража данных, как устроены системы защиты банков и что делать клиентам, которые опасаются, что их данные появятся в открытом доступе, - эти и другие вопросы DW задала Борису Славину, эксперту по финансовой безопасности автоматизированных систем в финансово-банковской сфере Финансового университета при Правительстве РФ.

Deutsche Welle: Борис Борисович, как могло получиться, что данные миллионов кредитных карт крупнейшего в России банка оказались в открытом доступе в интернете?

Борис Славин: К новости о потере данных миллионов карт я бы относился очень осторожно. Вероятность столь масштабной утечки - это что-то из области фантастики. Потому что все операции любого банка отслеживаются его службой кибербезопасности. Потеря данных 60 млн карт означала бы, что эта служба не работает вообще.

- А как она должна работать в идеале?

- Все операции внутри информационной системы банка отслеживаются, и сведения о любой нестандартной операции тут же получают соответствующие службы, которые начинают проверку. Персональные данные - это наиболее чувствительная информация, поэтому она защищается особым образом, особенно когда речь идет о большом количестве данных, связанных с финансами. Даже простое копирование номеров 60 млн карточек - это операция, которая проводится не за одну секунду. Соответственно информацию о ней также получает служба безопасности. А вот копирование номеров небольшого количества карт - да, это возможно.

- Какова вероятность того, что это действительно был внешний взлом?

- Внешние атаки бывают, но там, где это касается банков, они, как правило, невозможны без инсайдеров. Чаще всего такое происходит из-за халатности или нарушения внутренних регламентов работы с данными, допустим, когда часть информации временно копируется на незащищенный носитель. Или же некий инсайдер намеренно копирует эти данные.

- Разрабатывает ли каждый банк особые системы безопасности "под себя" или на рынке есть какой-то универсальный поставщик?

- Сегодня используются оба варианта. С одной стороны, на рынке есть компании, которые разрабатывают программы для защиты информации и ее отслеживания внутри банка.

Помимо этого многие крупные банки, и Сбербанк, наверняка, к ним относится, разрабатывают собственные средства защиты и шифрования. Каждый банк использует свои алгоритмы и сочетания этих защитных средств. Само это уже представляет проблему для злоумышленника, которому предстоит узнать весь набор используемых средств защиты, прежде чем преступить к их взлому.

- Можно ли верить Сбербанку, когда он утверждает, что средства клиентов, несмотря на то, что данные карт оказались в сети, находятся в безопасности?

- Если речь о небольшом количестве карт, то вероятность того, что информация о них действительно была утеряна, есть. В таком случае лучше всего заявить об этом банку и заменить эти карточки. Однако все зависит от того, какая именно информация была утеряна. Если это просто номера карточных счетов, то это, скорее всего, не представляет большой опасности, хотя и требует проведения расследования внутри банка.

- Утеря какой информации, в таком случае, представляет реальную опасность?

- Появление в сети только номера карточки нежелательно, но все-таки гораздо менее опасно, чем когда он публикуется вместе с личными данными клиента. Пин-коды на карте не хранятся, поэтому доступа к ним у злоумышленника при краже данных карты не будет. С другой стороны, сейчас есть магазины, которым достаточно номера карты и данных о владельце, чтобы провести оплату покупки. Но и в этом случае еще есть возможность, позвонив в банк, вернуть на счет списанную таким образом сумму.

- Нужно ли при подозрении на утечку личных данных блокировать карту?

- Сам банк, зная, какая информация утеряна, может оценить, насколько это опасно, а потом проинформировать клиента о необходимых мерах. При подозрении, что ваши персональные данные попали в интернет, можно позвонить в банк и попросить проверить, не была ли скомпрометирована (так это официально называется) ваша платежная карта. При этом не нужно давать сотруднику банка, с которым вы общаетесь, никаких личных данных - они у банка и так есть.

Кстати, сегодня данные карт чаще всего "компрометируются" из-за различных интернет-магазинов, потому что взломать их гораздо проще, чем банк. Именно так многие мошенники получают персональные данные пользователей.

- И как же они могут впоследствии ими распорядиться?

- Самый распространенный тип мошенничества - это когда злоумышленник, зная ваши персональные данные, пытается вынудить вас совершить какое-то действие, например перевести кому-то деньги.

Причем некоторые мошенники пользуются этой схемой, даже не зная названия вашего банка, просто звоня наугад и рассчитывая, что наткнутся на клиента Сбербанка, просто потому что очень большой процент населения действительно имеет там счет. При этом мошенники даже умеют делать так, что на экране вашего телефона определится номер вызова, который действительно принадлежит Сбербанку.

Как правило, представляясь сотрудником банка, мошенник рассказывает о том, что со счетом клиента была проведена какая-то нежелательная операция и добивается , чтобы доверчивый клиент совершил нужные ему действия, например назвал какой-то код. Пока случаев такого мошенничества гораздо больше, нежели тех, которые связаны с использованием украденных у банка номеров банковских карт.

- Может ли клиент, данные карты которого оказались в интернете, подать в суд на банк?

- Следует понимать, что ваша карта на самом деле принадлежит не вам, а банку, а вы просто пользуетесь его собственностью. Поэтому думаю, что иск из-за того, что кто-то посторонний увидел данные самой карты, будет невозможен.

А вот если из-за этой утечки с использованием карты была проведена какая-то операция, уже вполне можно подавать в суд. В таких ситуациях банки, особенно если они виноваты, как правило, идут навстречу клиенту и сами возмещают убытки, не доводя дело до суда. Но это не касается случаев, когда вы сами передали жуликам свою личную информацию.

- Есть ли отличия в работе систем информационной безопасности российских банков и банков в ЕС?

- В европейских и российских банках действуют примерно одинаковые стандарты в области безопасности и управления рисками. Так что уровень защищенности российских банков примерно тот же, что и в Европе. Хотя многое зависит от самого банка. Чем крупнее банк, тем больше он инвестирует в развитие системы безопасности. Именно поэтому мне кажется столь невероятной новость о том, что в Сбербанке были утеряны данные 60 млн карт.

- То есть, по вашему мнению, кто-то хотел скомпрометировать Сбербанк, распространив о нем заведомо ложную информацию? Кому могло быть это выгодно?

- Возможно, самим журналистам, гоняющимся за красивыми, "жареными" новостями (смеется. - Ред.). Если бы это был какой-то другой банк, то это можно было бы списать на конкурентную борьбу. Однако Сбербанк у нас находится вне конкуренции, поэтому такое предположение кажется маловероятным.

Подписывайтесь на наши каналы о России, Германии и Европе в | Twitter | Facebook | YouTube | Telegram

Эта новость также на сайте Deutsche Welle.