От IT в сторонку: в 2019-м появился новый канал утечек личных данных
В 2019 году персональные сведения россиян стали утекать через IT-специалистов: пока число инцидентов невелико (менее 2%), но по объему похищенной информации на этот канал может приходиться 25–30%. Такие данные приводятся в регулярном исследовании инсайдерских утечек информации из российских компаний, проведенном DeviceLock. Для корректной работы банковских сервисов у сисадминов должен быть доступ к информации о клиентах, рассказали «Известиям» в крупнейших кредитных организациях. По мнению экспертов, ограничить утечки через сотрудников IT-служб можно, только повысив их лояльность.
Угроза в IT
Признаком того, что похитителями стали именно сисадмины, оказалась выгрузка из систем управления доступом, присутствие в слитых таблицах служебных полей, а также наличие полной резервной копии с большим количеством строк, сказано в исследовании компании по кибербезопасности DeviceLock. Это новый вид инсайдеров, который в предыдущих исследованиях зафиксирован не был. На него пришлось 2% сливов. 98% остальных утечек происходят из-за сотрудников других подразделений банков и компаний. Например, бэк-офиса или клиентской поддержки.
— Технологические решения по предотвращению утечек защищают от мошеннических действий сотрудников бизнес-подразделений, но не IT-специалистов, например, имеющих полномочия администратора. Кроме того, доказать вину айтишника, имеющего базовые понятия об информбезопасности, на порядок сложнее, чем менеджера, который продает данные через Telegram, привязанный к SIM-карте под его именем, — рассказал технический директор DeviceLock Ашот Оганесян.
Он добавил, что профессия IT-специалиста превращается из элитной в массовую, где вероятно снижение уровня получаемых доходов и требований к нанимаемым работникам. При средней ежемесячной зарплате администратора баз данных в Москве в 150 тыс. рублей, на продаже, например, 100 тыс. сведений о банковских клиентах, можно заработать от 500 тыс. до 2 млн рублей, посчитал Ашот Оганесян.
По словам эксперта, практически все крупные банковские утечки последнего года объёмом свыше 50 тыс. записей, произошли не без участия IT-специалистов. При этом банки сами создают предпосылки, занимаясь цифровизацией и развитием финтеха. Хоть это и новый способ сливов, на него приходится уже 25–30% всех утечек по объему.
В 2019 году СМИ сообщали о выставленных на продажу в DarkNet баз данных клиентов Сбербанка объемом 60 млн записей, ОТП Банка (800 тыс. записей), санируемого «Открытием» Бинбанка (70 тыс.) и других крупных кредитных организаций. Используя слитые в Сеть данные, мошенники втираются в доверие и методами социальной инженерии выманивают деньги у банковских клиентов.
В крупнейших российских банках «Известиям» пояснили, что у айтишников действительно есть доступ к персональным данным клиентов. Без поддержки со стороны IT-специалистов такие системы в принципе долго работать не могут, рассказал директор департамента информбезопасности Росбанка Михаил Иванов. Он отметил, что права доступа предоставляются по принципу минимально необходимых полномочий для выполнения рабочих обязанностей.
По словам Михаила Иванова, все клиенты кредитной организации подписывают согласие на обработку персональных данных, которое подразумевает передачу их третьим лицам — компаниям-партнерам. Хотя по партнерскому договору они обязаны следить за неразглашением личной информации, банк не может отвечать за сохранность сведений в других компаниях.
Технологии не помогут
В ЦБ не ответили на вопросы «Известий» о каналах утечек персональных данных из финорганизаций через IT-специалистов. В отчете подразделения регулятора по кибербезопасности ФинЦЕРТ сказано, что из самих банков уходит лишь 13% всей личной информации, которая в итоге продается в Сети. В частности, в утечке сведений о кредитных клиентах Сбербанка в октябре 2019-го был обвинен работник коллекторского бюро, с которым сотрудничала кредитная организация, писали ранее «Известия».
— Банки реализуют целый комплекс мер, направленных на защиту клиентских данных: от повышения осведомленности работников по вопросам сохранности личной информации до сугубо технических процедур — мониторинга атак и реагирования на них, — рассказал директор департамента информбезопасности МКБ Вячеслав Касимов.
Кредитные организации также используют DLP-системы, которые в первую очередь направлены на рядовых сотрудников, кроме того, ведется учет работников с открытым доступом к защищаемой информации, добавили в ВТБ.
Утечки действительно могут происходить по вине системных администраторов: они делают это умышленно или по незнанию, считает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, чаще такие ошибки допускают не банковские сотрудники, а представители подрядных организаций.
Российские банки ответственно подходят к обеспечению кибербезопасности, доступ к конфиденциальной информации действительно хорошо защищается, знает Сергей Голованов. Он подчеркнул, что сфера защиты персональных данных как от рядовых специалистов, так и от IT-сотрудников, жестко зарегулирована стандартами и рекомендациями ЦБ, а также международными требованиями.
— Сисадмины в отличие от обычных сотрудников компании имеют доступ ко всему массиву сведений из информационной системы. Они могут стать источниками данных из любой компании. Поскольку сейчас на черном рынке особым спросом пользуются сведения о банковских клиентах, появились утечки персональных данных финорганизаций и через IT-специалистов, — рассказал директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Защита от IT-специалистов требует кропотливой работы по разграничению обязанностей, при этом принятые меры очень бюрократизируют и затрудняют их работу, отметил эксперт. Он добавил, что на практике организации чаще всего понимают риск утечки через сисадминов и делают упор на повышение их лояльности.
