Comments 320
УК РФ 272 ч1,. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
Информация, защищенная законом, есть, копирование есть. Корыстных мотивов, ущерба или служебного положения, нет, и именно поэтому ч1 упомянутой статьи, а не ч2, 3 или 4.
А то, что информация об авторе же — ну, это бы работало, если бы автор в собственный личный кабинет вломился, куда у него доступ и так есть. А доступа к ИС банка у него не было и быть не должно, поэтому копировать полученную оттуда информацию (пусть даже и о самом себе) он права не имел.
Если бы не такое широкое освещение в медиа — думаю, автору бы прилетело, Тиньков иногда бывает импульсивен.
На самом деле, двухходовка, которую вы описываете — то есть, два формально не не особо незаконных действия, (или одно из которых не особо незаконно) но неразрывно связанные и вместе составляющие четкую картину правонарушения, уже давно и просто трактуются как правонарушение.
Ну то есть все вот эти «какие налоги, какие чеки, какие разрешения, я ему ничего не продавал. Я подарил ему картину, он подарил мне деньги», или там кошелёк из кармана тащит один воришка, и тут же передает его второму. Если первого ловят — у него нет главного вещдока, а второй — он вроде как и не крал… В общем, всё это не работает. И то, что ТС лично не заходил в интерфейс оператора банка — не изменяет того, что информацию, которую он сознательно получил, да при пособничестве сотрудника банка, он получить не должен был.
И, пожалуйста, про «вы ничего не докажете» давайте не будем, мы же обсуждаем формальную сторону.
Этак скоро вскрывать вены, вешаться и травиться перестанут — приехала скорая, откачала, и героя сразу в тюрьму на 10 лет — покушение на убийство. Самого себя, но про это в законе опять же уточнения нет.
Правда у них в приютах взрослых в два раза больше, чем детей, поэтому сей метод работает хорошо. У нас юридическая техника помещения в приют иная, но работает плохо, потому что у нас в приютах меньше взрослых.
судят за нарушение их собственно праваЭто, простите, что-то немыслимое. По такой логике выходит, что права и обязанности — это одно и тоже. Мечта наших отцов народа. Можно, к примеру, издать указ, в котором будет явно прописано ваше право публично хвалить государя в комментариях на хабре. Соответственно, если вы этого не будете делать, то вас можно увозить в «воспитательный приют», т.к. вы нарушаете своё собственное право.
Я к тому, что если ходить в школу — это обязанность детей, то так и нужно говорить. Иначе это подмена понятий и, как следствие, нарушенное мышление.
Например, есть право на жизнь. Но если вы совершили неудачный роскомнадзор, то ваш будут принудительно лечить в психушке. Собственно за отказ от собственного права на жизнь.
Есть право на жилье. Если вы его не используете, вы нигде не зарегистрированы. И из-за этого теряете в других правах. То есть любой документ, где требуется регистрация, вам не получить. Например, с полисом ОМС — огромные проблемы.
Могу ещё несколько примеров привести. Так что бывает такое.
P.S. Разумеется то относится не ко всем правам. Но для некоторых — отказ от права наказуем.
«Право» означает, что вы можете его использовать разными способами. Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?
Но откуда вытекает, что вы имеете право совсем отказаться от использования любого права?Из смысла слова «право» в русском языке. Право — это предоставленная возможность, но не обязанность. Иначе бы не было никакой разницы между правами и обязанностями.
И в УК у нас "Несовершеннолетними признаются лица, которым ко времени совершения преступления исполнилось четырнадцать, но не исполнилось восемнадцати лет."
Русский язык, ау? Здравый смысл, ау? Нету их. Есть законы.
Мне лень искать источники, но вот вам вики:
Если правоотношение урегулировано диспозитивной нормой, управомоченный субъект может отказаться от принадлежащего ему права, в том числе передав его другому субъекту (такой отказ, будучи юридическим действием, прекращает либо изменяет правоотношение).
Если общественное отношение регулируется императивной нормой, то отказ от соответствующего субъективного права не имеет юридической силы (к правам такого рода относятся, в частности, права человека).
Ну что рационального (для домохозяйки) в том, что 1 и 1.0 имеют разные битовые представления? Мы к этому привыкли и понимаем причины.
Видимо и юристы понимают необходимость прав, отказаться от которых нельзя. Вроде права на жизнь vs эвтаназии.
Кстати, ещё есть личные права, которые не передать по доверенности, вроде права на написание завещания. Они тоже не очень рациональны (для домохозяйки).
Видимо и юристы понимают необходимость прав, отказаться от которых нельзяЧем вообще в таком случае права отличаются от обязанностей?
субъективное право определяет меру и пределы возможного (т.е. дозволенного) поведения правомочного субъекта в отличие от обязанности — меры до́лжного поведения, и запрета — меры недопустимого поведения
Вы имеете право работать. Вы сам решаете, где работать, кем, за какие деньги, по какому графику. Но за тунеядство в СССР была уголовная статья.
Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.
То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можете (или этот выбор сильно ограничен).
Но это лучше к юристам.
P.S. Ещё один пример. Завести детей — это право, но налог на бездетность в СССР был.
То есть реализацию права вы выбираете сами, а реализацию обязанности выбрать не можетеЭтим самым вы утверждаете, что право это в принципе вид обязанности, и единственная разница — реализация обязанности. Я с такой трактовкой не согласен. Не лучше ли это назвать определённым видом обязанности, дабы не путать понятие права как возможности, не предполагающей принудительной реализации, с понятием обязанности в том или ином виде?
Сравните с обязанностью, ну скажем, платить налоги. Где, как и сколько вы платите — решаете не вы сами, а государство.
Дело в том, что режим налогообложения тоже можно выбирать. Таким образом это в соответствии с вашей же интерпретацией является правом, а не обязанностью. Выходит путаница.
Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете. Например, я обязан содержать помещение, в котором проживаю, в соответствии с определёнными требованиями неких законов. Как я буду это делать — я выбираю сам, таким образом по-вашему — это не обязанность, а право.
Вопрос о том, кого как лучше назвать — смысла не имеет. Не лучше ли назвать «программу» ну скажем «прокодом», ибо в ней нет ничего про граммы? :-)
понятие права как возможности, не предполагающей принудительной реализацииХорошая мысль. У обязанностей есть принудительная реализация, а у прав нету. Налог на бездетность все-таки очень далек от принудительного совокупления. :-)
Можно полно привести примеров, которые никак не вяжутся с тем, что вы предлагаете.Так я вообще ничего не предлагаю. Просто вместе с вами разбираюсь во взаимосвязи прав и обязанностей.
По мне, общая обязанность платить налоги не противоречит частному праву на выбор налогового режима. Кстати, если этот выбор вас касается — от него нельзя отказаться, ибо все равно какой-то режим будет выбран по умолчанию.
Знаете, что? Понимайте этот так. У любой переменной в Си есть значение. Оно может быть неопределенным, но какое-то значение всегда есть. А вот в SQL — бывает NULL, что означает «нет значения». Вы хотите, чтобы везде было как в SQL, но технически — это неудобно.
У вас есть мысли насчёт того, что произошло на самом деле между автором и банком Тинькофф?
Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.
Т.е. автор хотел получить эти данные? Хотел. Производил целенаправленные действия для получения данных? Производил. Умысел налицо.
Если бы автор не хотел получать эти данные, и действий, направленных на их получение, не производил, но данные все равно оказались бы у него, то умысла не было бы.
автор хотел получить эти данные?
Ну нет же. Автор хотел получить другую информацию — о возможности неправомерного доступа. Ему не нужна была информация о себе самом!
Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?
Автор хотел получить другую информацию — о возможности неправомерного доступа.
Как я уже написал:
Отсутствие умысла в данном случае было бы в том случае, если бы автор не хотел получать выписку со счета, а просто спросил, возможно ли это сделать, на что продавец не просто ответил бы ему «возможно», а осуществил доступ и предоставил данные.
Если я шатаю забор для проверки прочности, хочу ли я его сломать, есть ли у меня умысел на доступ к охраняемой забором территории?В данном случае аналогия будет такой: для проверки прочности забора, вы наняли человека с инструкцией: «Сломай забор». После этого человек его благополучно сломал, получив за это от вас деньги.
Автор же не пентестил сайт банка для проверки его на уязвимости (шатал забор для проверки прочности), чтобы потом разбираться, хотел ли он просто взломать сайт или скачать с него охраняемые данные. Автор заплатил за результат — выписку по счету (ценную вещь с охраняемой забором территории).
С понятием информации вообще тонкий момент — то, что ничего не меняет для субъекта (наблюдателя), информацией и не является — ценной вещи автор за деньги не получил. Он получил данные, которые не несли информации. Точнее, не несли охраняемой законом информации. Если бы он заказал выписку с чужого счёта, то он бы получил охраняемую информацию, а в данном случае нет. С помощью посредника или без, он провёл именно тестирование уязвимостей и получил информацию, разрешённую для получения, а именно о надёжности хранения данных в банке Тинькофф. Клиент банка имеет полное право на достоверную информацию подобного рода.
Если говорить о том, что автор не получил информации, к которой у него не было допуска, то выходит, что отсутствует одна из составляющих преступления — не состоялось нарушение банковской тайны, не произошло нарушения ничьих прав на какую-либо тайну (смотря, кстати, что за преступление мы пытаемся инкриминировать автору, потому что неправомерный доступ к охраняемой законом информации таки произошел, но это ладно, мы сейчас про умысел).
Мы же обсуждаем умысел на получение своей выписки. Которую, как вы сами сказали, автор хотел получить, чтобы предъявить в качестве доказательства возможности её получения в обход законных процедур. Т.е. ему не просто надо было узнать, можно ли её получить, а ему нужна была сама выписка (вы сами так сказали). И он заказал саму выписку, а не проверку на возможность её получения. Т.е. договор между автором и исполнителем звучал как "дай мне выписку по номеру ххх", а не "проверь, можно ли получить выписку по номеру ххх, и если можно, дай доказательства, что можно". Автор, как вменяемый человек, понимает и отдает себе отчёт в том, что заказ "дай мне выписку по номеру ххх", в случае его успешного исполнения, приведет к получению и предоставлению ему выписки со счета. С учётом того, что автор заплатил за это, и был удовлетворен результатом, о чем свидетельствует эта статья и написанное в ней, автор заранее понимал, что он получит в результате этого заказа и получил именно то, что хотел, т.е. выписку со счета. В этом и есть умысел на получение выписки, т.е. на совершение конкретного объективного действия.
Вы же все время подменяете понятия. Вы говорите, что автор не хотел нарушать чужую банковскую тайну, а потому заказал выписку по своему номеру. Т.е. у него не было умысла на нарушение банковской тайны. Но это работает немного не так, умысел нужен не на то, чтобы стать преступником, а на формально, физически проведенное действие, т.е. на получение выписки.
По аналогии с забором, мы не ищем умысел на "испортить чужую собственность", мы ищем умысел "сломать забор". А если умысел в случае с забором был "достать свою вещь с территории", то этот умысел все равно был, но т.к. эта вещь своя, то самого преступления, т.к. кражи чужого имущества, не произошло (хотя произошло проникновение на охраняемую территорию, но это уже другой вопрос).
Одной из обязательных составляющих преступного деяния является умысел. Нет умысла — нет состава преступления.
А если я вас случайно насмерть молотком по голове ударю, или случайно с крыши столкну вам на голову кирпич, или на машине собью не заметив — тоже нет состава преступления?
Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры. Вашу шкатулку из вашей квартиры. Он её успешно спёр и принёс вам, после чего вы сдали его полиции. Вполне вероятно, что если все будут в адеквате, то вам ничего не предъявят, т.к. собственно и предъявлять-то по большому счёту нечего, состава преступления с вашей стороны нет.
Предположим, вы пошли на рынок, нашли исполнителя и заказали ему украсть шкатулку с драгоценностями из квартиры.
состава преступления с вашей стороны нет.
Очень даже есть. Согласное статье 33 УК РФ, в предложеной вами ситуации, «я» соучастник преступления. (к стати, автор этой статьи, теоретически, тоже)
Статья 33 УК РФ. Виды соучастников преступления
…
4. Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом.
Все норм, пойдёт как "группой лиц по предварительному сговору". Можно ещё роль организатора докинуть.
Автор, надеюсь, что вы не работаете в Тинькофф?
Инсайдер — имеющий доступ в силу служебных обязанностей, как-то так, скорее это будет в другой части…
ИМХО проблема в том что искать тех, кто продаёт информацию можно только имея точную информацию о том что, по кому и когда слили, да и то не так просто, но из-за этих уродов в ближайшее время сотрудникам банков запретят пользоваться не только интернетом с рабочего компа (я не про операциониста) но и в принципе своими телефонами (а сейчас уже есть проблема того, что ответы на технические вопросы приходится искать через смартфон)
Ну и абсолютно ничего не мешает самому банку делать контрольные закупки и по логам посмотреть, кто пробив делал или Тинькову 10К жалко?
Впрочем, если кто-нибудь сделает репост — придраться можно будет к репосту.
Наверняка имея примерное время можно без водяных знаков по логам посмотреть кто запрашивал. Не думаю что там будет большое количество запросов через внутренюю систему.
И это только банки. Масштаб проблемы если его озвучить/выложить в месте где его услышат/прочитают хотя бы сотни тысяч, вызовет массовую истерию и панику у правительства. Правда паника правительства ничем хорошим не заканчивается, в первую очередь они заблокируют ресурс где была выложена информация, затем меры могут последовать ещё более идиотские(вроде ареста автора публикации).
А вот «специалистов первой-второй линии поддержки» с доступом через логируемые интерфейсы — сотни, а часто и тысячи. И вот такие как раз на раз палятся на контрольной закупке.
Тем более, что у них часто не хватает мозгов догадаться, что ВСЕ доступы к любой информации логируются и даже самый тупой безопасник может сопоставить событие «данные Иванова А.А. были проданы 01.01.2019 в 00:45» и запись в логах «сотрудник Петров В.В. заходил в карточку Иванова 01.01.2019 в 00:10», а тут уже и до уголовного дела с реальным сроком недалеко.
тут даже идиот догадается, что слив из банка.
У супруги есть карты нескольикх банков, но только с одном у неё на карте написано не NAME SURNAME а NAME L SURNAMЕ, то есть в банке поставили в середине первую букву отчества. Это было только в этом банке (в котором есть слово America). И теперь, когда нам прилетают офферы на кредитки из всяких других мелких банков и там в поле «кому» есть первая буква отчества, мы сразу знаем, кто слил инфу :)
Банки может и хотят, но увы это превращается в бюрократию от, иногда, недолёких иб-ников в стиле всё запретить и подложить себе бумажку…
В принципе многое сделано, но самое сложное понять когда слили, на фото слив вероятно из чего-то похожего на АБС, там найти можно, а что делать если это где-то в 10-й пред прод системе рисковиков по которой ещё документации нет?
Тут нужна слаженная работа и безопасности и МВД, но вот не быстрое это дело...
Также у него может быть прямой доступ к базе данных банковской системы.
Проще еще чтобы любой доступ к данным клиента, вне рамок стандартных процедур без авторизации клиента (не чат, телефон, отделение) требовал смс подтверждения, код высылать клиенту — типа "Сотрудник банка получает доступ к Вашей информации, сообщите код из приложения банка"? Или чтобы если вы в банк не обращались, вам поступало бы сообщение, о том, что с вашими данными ктото работает из сотрудников. Если операции легальны и доступ к анкете/операциям тоже то не вижу в этом ничего страшного для клиента, сообщения можно высылать по смс/ в чат банковского приложения.
В целом видно, что только часть операций требует этот код. Иногда также запрашивают ФИО, дату рождения и телефон.
Скорее всего имеет место быть некий баланс между безопасностью, удобством и скоростью обслуживания, чтобы не спрашивать код на любой вопрос.
Это и так есть, для тех кто работает с клиентом, а что делать с теми кто работает с данными, вот пщапускает аналитик запрос… А оператор миллионами смски шлёт.
И с обезличивание не всё так просто, если по хорошему, то того что мы часто можем знать о человеке, может быть достаточно для идентификации, не говоря уже о том что обезличивание платёжки не очень выходит, ибо нет быстрее способа ввести подтип транзакций в АБС под нужды какого либо учёта, чем добавление кодов и спецпоследовательностей в текст описания ;)
через час
Смс: подтвердите согласие раскрытия выписки старшему следователю по особо опасным экономическим делам"
Через час «просим вас не выходить из дома, нужно уточнить детали»
А нормальный, не ленивый аналитик точно захочет работать за зп тупого погона?
Я протру жирным пальцем объектив телефона перед тем, как фотать — и плакали ваши точечки...
могу еще предложить увлекательный эксперимент: попробуйте любым стеганографическим методом зашить сообщение в картинку, потом сфотать экран на телефон или на профессиональную камеру в идеальных условиях и попробовать считать сообщение.
1) Доступ к файлам базы, тут всё неплохо описано в PCI DSS, немного паранойи, отдельный физически контур с доступом через некое подконтрольное API. Сюда же — резервные копии данных которые обычно не шифруют и хранят вне доверенного контура или доступ к ним не так строго контролируется, также передаваться данные могут не в шифрованном виде (будь то интернет или грузовик)
2) запросы в базу делим на 2 части, автоматизированные (проверки целостности, отмывания денег и прочее, что делается скриптами) — анализируем на аномалии, учитывая что это может быть взлом одной из автоматических систем
3) слив сотрудниками. Логировать, кто куда обратился и с какими фильтрами, в том числе для разделения — это попытка слива всей базы, пробив клиента или легитимная обработка.
Сами логи при этом тоже являются особо важной информацией и нужно ограничить к ним доступ даже для админов, оставив только для СБ, и принять все меры для невозможности их модификации или удаления вне регламента. Удаление только по регламенту, автоматизированно (где-то было обязательство хранить такие логи 5 лет, а потом они не нужны)
Также влить в базу некоторое количество «пустышек» и как-то их актуализировать, периодически добавляя новых. Информации о том что это пустышка не должно быть нигде кроме СБ.
Скоро плявится ресурс с более чуткими и конкретными данными и оптом :) С деанонимизацией вме скоро станет возможным
Ну судя по заголовку новости от 30 июля:
«Ростелеком» впервые закупил системы хранения данных по закону Яровой
Ждём новые пакеты услуг =D
:sarcasm
Мне три пакета Яровой и немного Клишаса на сдачу.
Спрос неэластичный, так как данный «товар» всегда будет востребован и всегда будут пути слива.
Это как «борьба» с наркотиками
Вот и славно, что цена растёт. Любопытных обывателей будет меньше, останутся только профессионалы.
Цена растет из-за ваших (и других подобных постов).
Вы приверженец Security through Obscurity?
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
К тому же, тут широкий простор для применения ИИ: выявление нехарактерных действий пользователя; действий, не связанных с выполнением служебных обязанностей и пр.
А данные о богатеньких нужны бандитам и мошенникам. Эти не станут покупать данные, если цена не отобьётся грабежом или обманом. Просто сменят подход.
На негодяев действует не строгость наказания, а его неотвратимость, поэтому «новый уровень» будет сомнительный. Клерки перестанут продавать из-за огромного риска: срок и голая задница на многие годы станут весьма вероятны, не то, что сейчас.
Те, кто сможет продать оптом (начальники и админы), и так не хило получают, и дальше хотят получать. Мараться не станут.
Рынок этих данных реально сожмётся, ибо исчезнет массовость, останутся «реальные дядьки», охотящиеся на крупную дичь.
Уже неплохо.
Речь в статье идёт именно о них, родимых.
Повысится ответственность за утечки (неважно как, преследование по закону, общественный резонанс или ещё что-то), появится стимул минимизировать риск утечки. А это не только технические меры, но и сотрудники, которым есть что терять. Хорошо зарабатывающий сотрудник трижды подумает, рисковать ли сложившейся карьерой или сдать предложившего подзаработать в СБ, как потенциальную угрозу.
2. Админы разные бывают, речь про которых? Не думаю что DBA кормят плохо хоть в сбере, хоть в любом банке из топ-100.
Уж не говорю, что если вскроется, то потом ни в банк, ни к ОПСОСам, ни в сетевой ритейл с такой «историей» не возьмут.
Есть много людей которые не разделяют точку зрения о том, что наказание должно быть не только соизмеримо деянию но и оказывать профилактический эффект на окружающих. Многие считают что за первое воровство надо чуть ли не по голове погладить и помочь исправиться, в такой среде, на мой взгляд, отлично уживаются безпринципные жулики, увы.
А вот если за торговлю такими данными начнут давать большие сроки и дикие штрафы, освещая в СМИ каждое подобное дело, то этот «бизнес» сойдёт на нет. Желающих торгануть поубавится, цены сильно повысятся, не каждая банда наберёт денег на такую покупку.
Правительство прилагает все усилия, чтобы 'свести на нет' такой бизнес. Недавно же только новость про 'отжим яндекса' была.
Другие методы вряд-ли помогут.
заказал месячную выписку (с 24 июля по 26 августа 2019 г.)Судя по скриншотам, наверное, с 24 июня по 24 июля?
авось кто-нибудь зачешется
Будет показательная казнь и хороший повод закрутить гайки еще на полоборота для каких-нибудь месседжеров.
Лицо слившее данные, можно определить элементарной контрольной закупкой и сопоставлением обращений к этим данным из логов.
И есть большая уверенность что обращение к БД таким образом так или иначе уже логируется (каждое обращение пользователя определённо точно хранится в системе).
К тому же, это не очень чувствительные данные, можно обойтись без оракла, HP-сервера, сертификация от регулятора, тогда вообще о стоимости хранения и говорить не стоит.
Никто не логирует все запросы к БД. Никакого хранилища не хватит, что бы логировать запросы на чтение.
А все и не надо. Достаточно внести в систему ханипоты — фэйковые клиенты, при запросе которых СБ получает соответствующее уведомление. Ну и периодически «закупать» пробивку ханипотов.
Это всего-то 200мбит/с трафика
К вариант проблема в том, что банк должен заплатить жуликам, чтобы поймать инсайдера. При этом наверняка 99% таких жуликов — мошенники. Т. е. денежки заплатил, а в ответ ничего. Банк должен ещё и с мошенниками разбираться? Как по мне, это дело полиции.
Надо распространить эту практику на всех имеющих доступ к персданным, т.к. основной транспорт для передачи данных — сотовые сети. То что идёт через корпсеть легко отлавливается всяким антифродом, то что на внешних носителях — заложенными портами. Т.о. мошенникам придется развивать фото-память — взглянул на скрин, убежал в туалет, записал на кусочек туалетной бумаги, привязал к голубю и отправил заказчику.
В обще ми целом — проблемы достаточно легко решаются, и то что они не решены свидетельствует только об одном — это выгодно ЛПР.
… обидно за билайн, с таким дисконтом продают своих пользователей -(
Под своим выражением «выгодно ЛПР» я в том числе подразумевал, что пока в сеть не утекают данные по особо важным персонам, или пока судебная система столь несовершенна, или пока рак на горе не свистнет — ЛПР не будут вкладывать деньги/ресурсы в защиту персданных на столь глубоком уровне.
"СМИ сообщили об обысках в офисах «МегаФона» в связи с нарушением тайны переписки
МОСКВА, 15 августа. Следственный комитет проводит проверку в офисах службы безопасности компании «Мегафон». Об этом сообщает «Новая газета».
По информации издания, это связано с возбуждением уголовного дела в отношении руководства СБ дочерней компании, «Мегафон-Ритейл». Представители силовых органов сообщили, что основной причиной обыска является нарушение тайны почтовой переписки. Остальные детали операции пока не разглашаются.
Ранее, как сообщается, «Мегафон» оштрафовали на 30 тысяч рублей из-за передачи данных своей «дочке». В ходе ведомственной проверки Роскомнадзор установил, что «Мегафон-Ритейл» имеет доступ к персональным данным клиентов, а также их счетам. На самом деле тайна переговоров должна быть сохранена именно тем оператором, к которому подключен абонент.
Данный факт подтвердил девятый арбитражный апелляционный суд Москвы, который вынес штраф оператору в размере 30 тысяч рублей. По мнению самого «Мегафона», проблема решается с помощью изменения формулировок в договоре с дочерней фирмой.
Между тем, продолжает «Новая газета», утечка данных в сети популярного оператора случалось неоднократно. В частности, в феврале 2014 года за разглашение сведений и нарушение тайны телефонных переговоров суд Уфы признал виновным продавца-консультанта компании «Мегафон-Ритейл». 23-летний Мурадбек Эргашхожаев помог своей знакомой вывести ее гражданского мужа «на чистую воду» с помощью детализации телефонных разговоров. В результате Мурадбека приговорили на два года условно."
Источник: www.rosbalt.ru/moscow/2014/08/15/1304457.html
Но видимо лишь ход уголовного дела заставил МегаФон поднять цены (цитата: «Цены выросли в 2 раза.»).
Представляешь что ты предлагаешь, почему люди должны терять возможность быть на связи? Хотя не таких как ты много, уже и Госдума с ЦБ обсуждают. Запретить всегда просто, но давай начнём с того, что в целях борьбы с разными опасностями разрешим в метро только в трусах и майке?
В Тинькофф-банке считают «подобные исследования и оценки спекулятивными, так как они исходят от «экспертов», которые используют их в собственных коммерческих интересах», в частности, «вбрасывают на рынок информацию об утечках из конкретных банков, а затем предлагают им свои коммерческие решения». При этом в кредитной организации заявили, что проводят «регулярную проверку объявлений о продаже персональных данных клиентов и во всех случаях эти объявления не имели под собой реальных подтверждений».
Очень коррелирует с реакцией Олега Тинькова на договор с клиентом, который банк отказался выполнять:
Первоисточник: https://twitter.com/olegtinkov/status/365218836703756288
Тогда комментировали: «Позиция Тинькова и его юристов попахивает маразмом. Клиент мошенник, он де внес изменения в анкету. То есть, когда возмущается ограбленный банком клиент — банк назидательно говорит: „Надо внимательно читать договор, включая мелкий шрифт. Закон не запрещает писать мелким шрифтом.“ А если то же самое делает клиент, причем разленившемуся и зажравшемуся персоналу банка лень прочитать договор — то клиент мошенник, он же заставляет свиней работать и пользуется их ленью. Запредельно.»
Источник: https://zergulio.livejournal.com/501073.html
Сейчас банк и его владелец проходят все те же стадии: отрицание, гнев, торг, депрессия и принятие.
Стороны отказались от претензий друг к другу. Кроме того, банк выпустил для Дмитрия Агаркова дебетовую карту, по которой банк начисляет 10% годовых на остаток по карте и платит cash back до 30% по отдельным видам покупокwww.forbes.ru/news/243449-bank-tinkova-pomirilsya-s-trebovavshim-24-mln-rublei-voronezhtsem
Думаю, здесь нужно уточнить, что претензии были следующие:
1) Клиент имел долг в сумме более 45 000 рублей
2) Банк должен был оптатить компенсацию в размере 24 млн рублей
Для хадупа — Apache Ranger, для БД — IBM Guardium (например, это то, что я знаю. Например, используется в Société Générale во Франции, как раз для data masking, распределения прав доступа и аудита).
Проблема стара как айти в банковской сфере, и для неё уже есть проверенные решения.
Кроме того, уже по-моему во всех промышленных базах данных есть RAC — row access control.
Банки же не пирожками торгуют, в конце концов, можно пару лямов вложить в покупку зарекомендовавших себя решений
Yota действительно не продаётся или просто не перечислена по принципу неуловимого Джо?
В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.
Очень интересно, и как вы этого добились, например, в налоговой, в мвд, в куче банков, у сотовых операторов? Или вы считаете слив много раз по паре сотен рублей с мобильного счёта дешевле бесплатной для оператора информации о счёте? Или это всё фигня? Ну тогда — продажа вашей квартиры по договору, подписанному ЭЦП, зарегистрированную на ваши данные — тоже мелочь? Или всё же сначала стоит подумать, и только потом писать?
В общем — всё логично и нормально для нашей страны. Только так здесь и может быть.
Мне кажется, дело не в стране. 'Что знают двое, знает свинья', а в эпоху, когда для копирования информация не нужно даже уметь говорить или писать, бороться с ее свободным распространением это все равно что воевать с ветряными мельницами, мне кажется.
А по поводу кейса: остается лишь порадоваться за клиентов Тинькофф и оперативную реакцию Банка и результат, а ведь есть и другие банки, где добиться какого-либо вменяемого ответа на аналогичные по сути инциденты, практически невозможно.
А как такие кейсы решает ваше решение? Например если бы в Тинькофф был установлен Devicelock, можно ли было это пресечь и собрать доказательства для суда? Насколько мне известно другие dlp (Solar Dozor, Searchinfrom, Infowatch) собирают такие данные и успешно используют в судах.
Поймать инсайдера торгующего данными дело техники. Надо просто поднять ленивую ж…
Вообще с банками ситуция интересная. Паттерны миллионов людей собирают с помощью алгоритмов — предсказывать спрос, изучать поведение, потом для каждого составлять персонифицированную рекламу, миркротаргетирование. Вроде Cambridge Analytica, только банковская.
Забавно, что банки собирают паттерны и им за это еще и платят сами клиенты.Потом паттерны такое же товар как и «пробив»
Почитать можно здесь.
www.computerworld.com.au/article/664459/machine-learning-can-find-heavily-sampled-anonymised-dataset
Практически никак. Можно лишь определить степень доверия — оценить заинтересованность и мотивацию сторон, попытаться найти логические нестыковки, учесть репутацию автора, но все это будет на уровне предположений и распределения вероятностей.
>Дайте ссылку на этот ответ — тогда поверим.
Не на все можно дать ссылку. Интернет — это не только веб.
habr.com/ru/company/digitalrightscenter/blog/460565/#comment_20429805
Понятно что объявления на черном рынке источник не очень то и надежный, но вообще тот факт, что кодовое слово может продаваться (оно хранится в открытом виде, серьезно?) вызывает смешанные чувства.
как еще оно может храниться, как не в открытом виде?
Оператор услышал его в трубке, ввел в формочку внутренней софтины, софтина сравнила хеши и сказала верное или неверное слово?
Да, человеческий фактор в виде оператора остается, однако если вы ни разу не авторизовались кодовым словом по телефону — из БД его достать нельзя.
по моему опыту операторы в банках (Сбер, Тинькофф) авторизуют по кодовому слову сразу и ничего никуда не вводят, а значит видят его на экране, вместе с остальными моими данными
Мы с оператором будем очень долго хэш на него правильный получать, если только он не на моей волне изначально.
Соответственно, считать эту информацию особо чувствительной и регистрировать все обращения к ней.
Конечно, слив всё равно возможен, то круг вовлечённых лиц резко сужается. Одно дело обиженный на зарплату оператор с мобилкой, другое — DBA.
[я буду обновлять страницу, я буду обновлять страницу...]
вариант с вводить и пусть машина сравнивает красивый конечно, но до первого блока карточки из-за связки неграмотный оператор — грамотный клиент или даже наоборот.
Оператор по телефону не может быть уверен в побуквенной точности кодового слова и подтверждает его совпадение на своё усмотрение. У меня в карточке написано «КОРОВА», а в гарнитуре оператор услышит КАРОВА, КОРОФА или даже КАГОВА — и всё равно подтвердит.
Здесь тот же самый механизм может быть реализован программно. Есть фонетическая схожесть на 90% и побуквенная на 80% (условно) — система подтверждает. Показатели подобрать, чтобы минимизировать срабатывание по схожим словам, в пограничных случаях всегда можно попросить клиента произнести слово по буквам (или просто уточнить пару конкретных букв).
Другое дело что есть слово типа «семидесятипятимиллиметровый» то тут никакие схожести не помогут, а от оператора будет нужна грамотность, что вообще не гарантировано. Автоисправления тут никак не помогут, сложносоставные слова корректоры обычно не знают.
Ждём.
Так же не стоит забывать кто в итоге заплатит за это «отлаживание» (борьбу с ветряными мельницами). В итоге останется один банк — зеленый. Сами, думаю, понимаете почему.
Кмк, нужно ужесточать наказания непосредственно для тех кто сливает.
Обезличивать данные для обработки, не требующей личной коммуникацииОк, согласен.
При личной коммуникации сделать верификацию по смс, приложению, токену, etc…
Сделано ведь уже во многих CRM и используется в банках. Но тут мы правда только операционистов отсекаем.
Что бы наказать, сначала нужно найти. А когда доступ есть даже у уборщицы(утрирую), найти сливателя тяжело.
Найти как раз не сложно, даже судя по примеру автора. Логи в той же CRM хранятся по действиям юзера. Cложно ведь именно отличить нелигитимную активность при выполнении штатных задач и предотвратить слив.
Собственно, я про это и говорил, что 3 случая, то точно наберется при хорошем желании со стороны заинтересованных людей.
Разве что триггером может быть, если был анализ карточки клиента при отсутствующем обращении клиента.
Выдумываем посещение клиентом офиса банка, берём за него талончик, садимся сами к себе и разглядываем его карточку. Тут можно будет разве что прицепиться к тому, что обычно клиент ходит в отделение в Мытищах, а тут вдруг обратился в Новокузнецке. Но объёмы проверок по таким критериям будут колоссальны.
Представьте, кто-то знет ваш номер расчётного счёта (вы в садик заявку на возврат отдавали) что вы будете обезличивать? А если ещё дату рождения и город, а если ИНН и СНИЛС? И номер карты…
Обезличивание это очень тонкая штука...
Вы представляете что могут сделать сотрудники сбера со всей страной?
— Здравствуйте, мне нужно перевыпустить карту.
— Ожидайте, пожалуйста. Наш оператор ответит вам в течение… 7 лет 250 дней 7 часов и 10 минут.
Меня тогда это нокаутировало. )))
К сожалению, это минус цифры.
В частности открытым остается вопрос любого ли человека можно пробить таким образом.
Все знают, а кто не знает гугл в помощь, про кучку сервисов предлагающих прислать переписку любого человека в том же гугле или яндексе.
Но это не значит, что сотрудники гугла или яндекса барыжат данными.
Это с большой вероятностью означает, что пароль человека есть в базе паролей гуляющей по интернету.
Если он есть — сделка состоится, если нет — то нет.
Ни в чем не подозреваю автора, но вероятность что пробив по банкам происходит именно так не нулевая.
dtornado.ru/bazy/magistral
Хотите запреты — сделайте свой гулаг и запрещайте всё, что хотите.
DeviceLock DLP: Цены российского черного рынка на пробив персональных данных (плюс ответ на ответ Тинькофф Банка)