Источник: РИА Новости/Алексей Мальгавко
Согласно результатам исследования, проведенного DeviceLock, в 2019 году участились случаи утечек важной информации с участием IT-специалистов. В количественном соотношении доля таких утечек составляет всего 2%, но вот если считать по объему похищенной информации, то цифра вырастает до 25-30%. Другими словами, утечки, которые спровоцированы IT-специалистами, гораздо объемнее, чем любые другие.
Выяснение того, причастны ли сотрудники IT-отделов, проводилось простыми методами — эксперты проверяли, есть ли в слитых таблицах служебные поля, плюс проверялось и наличие полной резервной копии с большим количеством строк. Что касается остальных утечек — они происходят из-за сотрудников других подразделений банков и компании. Это может быть бэк-офис или клиентская поддержка.
«Технологические решения по предотвращению утечек защищают от мошеннических действий сотрудников бизнес-подразделений, но не IT-специалистов, например, имеющих полномочия администратора. Кроме того, доказать вину айтишника, имеющего базовые понятия об информбезопасности, на порядок сложнее, чем менеджера, который продает данные через Telegram, привязанный к SIM-карте под его именем», — рассказал технический директор DeviceLock Ашот Оганесян.
Он также добавил, что сейчас IT-специальности превращаются в массовые и понемногу перестают считаться «элитарными». Соответственно, в этой сфере намечается снижение уровня получаемых доходов и требований с сотрудникам. При этом даже хорошая заработная плата не всегда останавливает представителей IT от продажи, к примеру, баз данных о банковских клиентов. Так, среднемесячная заработная плата администратора баз данных в Москве составляет около 150 тысяч рублей. А вот база из 100 тыс. записей оценивается в 0,5-2 млн рублей.
По мнению экспертов, большинство крупных банковских утечек этого года произошли не без участия IT-специалистов. Речь идет о крупных «сливах» данных, количество записей в которых превышает 50 тыс. Сами банки создают предпосылки, занимаясь цифровизацией и развитием финансовых технологий. На этот сектор приходится около 25-30% утечек по объему.
Представители крупнейших банков России заявили, что у представителей различных IT-специальностей действительно есть прямой доступ к персональным данным клиентов. Проблема в том, что если доступ к базе закрыть для всех, то сама по себе она долго не проработает — рано или поздно произойдет сбой. Права доступа предоставляются по принципу минимально необходимых полномочий для выполнения рабочих обязанностей.
Кроме того, все клиенты банка подписывают согласие на обработку персональных данных, что может означать передачу этой информации третьим лицами — то есть, посредникам. В итоге банк отвечает за сохранность информации клиентов у себя, но не несет никакой ответственности за действия партнеров.
По данным, банки являются источником утечки персональных данных клиентов лишь в 13% случаях. В остальных ситуациях проблема как раз в посредниках. Один из примеров — утечка сведений о кредитных клиентах Сбербанка в октябре 2019 года. Тогда виновным признали сотрудника коллекторского бюро, с которым работал банк.
«Банки реализуют целый комплекс мер, направленных на защиту клиентских данных: от повышения осведомленности работников по вопросам сохранности личной информации и мер ответственности за их разглашение до сугубо технических процедур — мониторинга атак и реагирования на них», — рассказал директор департамента информбезопасности МКБ Вячеслав Касимов.
Сейчас банки постепенно ужесточают доступ к персональным данным клиентов для своих сотрудников. Так, используются DLP-системы, кроме того, ведется и учет сотрудников, у которых есть доступ к защищаемой информации. По мнению экспертов «Лаборатории Касперского», системные администраторы, отвечающие за утечки, действуют как умышленно, так и по не знанию. Но чаще всего проблемы возникают из-за представителей подрядных организаций.
В «Лаборатории» также отметили, что в целом, российские банки достаточно ответственно подходят к обеспечению кибербезопасности, данные защищаются неплохо. ЦБ постепенно вводит новые меры защиты персональных данных.
«Сисадмины в отличие от обычных сотрудников компании имеют доступ ко всему массиву сведений из информационной системы. Они могут стать источниками данных из любой компании. Поскольку сейчас на черном рынке особым спросом пользуются сведения о банковских клиентах, появились утечки персональных данных финорганизаций и через IT-специалистов», — рассказал директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Для того, чтобы предотвратить проблемы, стоит разграничивать обязанности IT-специалистов. В то же время, чрезмерная зарегулированность сферы затрудняют работу инфобезопасников. Проще всего повышать лояльность сотрудников, а не усложнять все бюрократическими процедурами.
