Сразу несколько крупных российских банков ввели новую меру безопасности, которая должна помочь в борьбе с нелегальными рынками баз персональных данных. Теперь сотрудникам кредитно-финансовых
институтов запрещено фотографировать экраны компьютеров на личные смартфоны. По мнению экспертов, данный шаг связан с резким всплеском утечек персональных данных через снимки экрана, что, в свою
очередь, стало следствием повышения спроса в мошеннической среде на услуги сбора персональных данных о банковских клиентах.
По данным исследования, проведенного экспертами компании в сфере систем безопасности DeviceLock, в 2019 году резко выросла доля утечек, совершенных через фотографирование экранов камерами
смартфонов. Если в прошлом году доля таких утечек была незначительна (всего 1-2%), то в текущем году уже порядка 10% продающихся в даркнете (DarkNet) и на специализированных форумах
пользовательских данных пришлось на снимки компьютерных мониторов.
Главными источниками утечек остаются банки, микрофинансовые организации (МФО) и операторы сотовой связи – на их долю приходится более 70% всех утечек. К примеру, одна из крупнейших утечек затронула
интересы почти 900 тыс. россиян – клиентов ОТП-банка, Альфа-банка и ХКФ-банка. Базы данных, которые содержат имена, телефоны, паспорта и места работы клиентов этих банков, были выложены в открытый
доступ в конце мая текущего года. И хотя данные в них собирались несколько лет назад, но существенная часть информации до сих пор актуальна.
Рост утечек через снимки экрана объясняется ростом спроса на услуги «пробива» (сбора) данных о конкретных людях. Самые популярные «пробивы», по сведению экспертов в сфере безопасности – поиск
информации о полном имени того или человека, его паспортных данных, адреса по номеру телефона, отслеживанию его местоположения по вышкам сотовой связи, истории местоположений, детализация звонков и
SMS, поиск автомобиля по базе ГИБДД, балансы по счетам и картам физического лица, выписка по карте, кодовое слово.
Сегодня именно банковская категория с «пробивом» физических и юридических лиц — одна из самых популярных на специализированных форумах. По словам замруководителя лаборатории компьютерной
криминалистики Group-IB Сергея Никитина, в зависимости от услуги и банка, цены на заказы «пробива», размещенные в даркнете, могут варьироваться от 800 до 8 000 рублей. Информацию мошенникам
«сливают» инсайдеры в банках, которые легко могут открыть информацию по любому счёту.
Помимо этого, как прокомментировал директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев, на основе фотографий клиентских данных можно изготовить поддельные документы
для вывода средств со счета клиента или использовать в мошеннических схемах с применением социальной инженерии.
Специалисты уверены, что новые правила внутреннего распорядка, запрещающие банковским работникам фотографировать экраны компьютеров на личные смартфоны, что зафиксировано в нормативных документах
или договорах, помогут банкам в борьбе с утечками данных о клиентах, как и с действиями инсайдеров. Подобные ограничения ввели Сбербанк РФ, банк «ЮниКредит», банк «ФК Открытие» и ВТБ.
Так, сотрудникам «ФК Открытие» запрещена фото- и видеосъемка экранов мониторов, служебных документов, презентаций и клиентских данных, а также запись служебных переговоров на личные мобильные
устройства. Наказание за нарушение этого запрета в банке, как заявил его представитель – «самое жесткое».
Сотруднику банка ВТБ, для того, чтобы сделать фотографии на объектах, необходимо произвести согласование с ответственными подразделениями.
А, как сообщил зампред Сбербанка РФ Станислав Кузнецов, сотрудников банка, уличенных в передаче служебных данных в третьи руки, увольняют, а информацию об этом передают в правоохранительные органы.
Эксперты полагают, что введенный банками запрет – мера логичная и правильная. Так, практически все каналы потенциальной утечки информации фиксируются и отслеживаются внутренними системами DLP (Data
Leak Prevention), которые отслеживают любые внешние и внутренние коммуникации сотрудников: электронную почту, мессенджеры, мобильную связь и так далее. И практически единственное, что DLP-система
не в силах отследить – это фотосъемка, особенно если фотография с зафиксированной информацией не передается наружу. Сделав снимок, сотрудник легко может вынести приватную информацию за пределы
периметра прямо на своем телефоне. Кроме того, факт фотографирования информации доказать впоследствии практически невозможно. Не исключено, полагает ряд экспертов, что следующим шагом банков станет
запрет на пронос личных мобильных устройств на рабочие места.
Источник: http://www.it-world.ru/it-news/security/146616.html
