Защита персональной информации клиентов банка: как она работает?

Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.

Миф: для сотрудника банка слив клиентской базы — простейшая операция
На практике все не так просто, как кажется. Внутренние системы банка построены с учетом защиты клиентской информации — это определяют приказы регулятора. При этом в крупнейших банках, по крайней мере в ТОП-10, используется не какой-то единственный инструмент, а всесторонний подход, сложная многоступенчатая защита. Клиентские данные защищены сразу несколькими средствами.
Доступ к данным организован по ролевой модели. То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей. Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт. Ролевая модель учитывается во всех операциях, вплоть до сборки back-офисом консолидированных отчетов — сотрудники просто не видят отчеты, которые «не положены» им по должностным обязанностям.
Информацию, к которой сотрудник по должности все-таки имеет доступ, нельзя просто так скопировать.
Во-первых, о запросе информации моментально станет известно. Весь доступ к данным журналируется. Фиксируются даже запросы администраторов и суперпользователей. Кстати, рабочие места тех, кто связан с настройкой системы, контролируются еще и внешним оборудованием — так всегда можно узнать, зачем администратор заходил в систему.
Во-вторых, результаты запроса не «вынести». Все рабочие станции защищены от создания скриншотов и оборудованы системой контроля периферийных портов, которая блокирует подключение любого стороннего устройства и отслеживает копирование на незаблокированные. Данные даже на печать нельзя отправить без разрешения и внешнего контроля.
Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности. К сожалению, их уровень зрелости защиты информации ниже. Понимая, что это дыра в системе безопасности, банки зачастую выдают подрядчикам доступ к синтетическим или обезличенным данным, нарушение конфиденциальности которых не приведет к наступлению финансовых рисков для банка.
Миф: легальные сотрудники вне игры, но есть же хакеры
Банковские системы действительно постоянно атакуют извне. В первую очередь это касается фронт-офиса, доступного через интернет: порталов, мобильных приложений, систем электронного диалога между банками и клиентами, клиентов для дистанционного обслуживания. Доля атак на внутренние системы (бэк-офис) составляет не более десятой процента.
Цель атаки — получение дохода прямым или косвенным путем (например, через продажу данных). При этом атакующий может работать не один, а в хакерской группировке, где участники подобраны по необходимым навыкам. Члены такой группы могут даже не знать друг друга лично, отыгрывая четко прописанную роль.
Банки научились сражаться и с такой организованной преступностью. Каждый из компонентов банковской инфраструктуры защищен по-своему. Применяются и антивирусы, и средства защиты от всплывающих окон или удаленного доступа на рабочих местах сотрудников, и анти-DDoS, и системы выявления инцидентов внешними путями, и масса других инструментов.
Идеальных систем не существует. Я готов спорить, что в любой лучшей системе безопасности можно найти бреши. Но сегодня инфраструктура российских банков настолько развита, что взлом их систем будет стоить дороже, чем доход от этого мероприятия
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Атаки на фронт-офис всегда реализуются через клиентские профили, поэтому противодействовать преступникам помогает выявление аномалий в поведении клиентов. Так можно заметить взлом еще до того, как о нем сообщит клиент.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.
В нашем банке и у целого ряда крупных коллег созданы Ситуационные центры по информационной безопасности. Кстати, мы одни из первых, кто в России в 2009 году перешел на риск-ориентированный подход и внедрил выявление, анализ и противодействие инцидентам. В нашем ситуационном центре 24 часа в сутки 7 дней в неделю работает более 40 человек. Все это эксперты по безопасности с опытом в отрасли более 10 лет
Для разбора сложных ситуаций привлекаются эксперты профильных подразделений.
Миф: вы отлично рассказываете, но на черном рынке полно клиентских баз российских банков!
Наша практика показывает обратное. Большая часть «товара» — фейк. Привлекая подрядчика, который занимается киберразведкой, мы выходили на диалог со злоумышленниками, предлагавшими базы данных наших клиентов. Контрольная закупка показала, что данные там не скопированы с наших систем, а сформированы на основе информации из открытых источников. К примеру, юрлицо размещает на сайте реквизиты: номер счета, наименование банка и так далее. Используя их, злоумышленники формируют некую фальсифицированную запись. В ней клиент, счет и расчетные реквизиты — реальные, а движение средств и остатки по счетам — нет. Для физических лиц аналогичные базы можно сформировать на основе интерфейсов систем быстрых платежей. Перебирая номера телефона, можно посмотреть, является ли физическое лицо клиентом нашего банка. Это известный кейс
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Ситуационный центр расследует десятки тысяч сообщений в год, и лишь несколько из них касаются утечек информации. Зачастую это ложное срабатывание — предупреждение о том, что сотрудник скопировал некую информацию. Это могут быть даже синтетические данные, подготовленные для работы подрядчиков. Однако сигнал о подозрительном поведении обрабатывается в любом случае совместно с руководителем сотрудника, который выполнил копирование. Такое расследование помогает обучать систему.
Миф: SMS-сообщения, которые банки используют для уведомлений и подтверждения операций, недостаточно защищены. Это дыра в безопасности платежей по банковским картам?
Использование SIM-карты в качестве инструмента для двухфакторной авторизации действительно открывает мошенникам возможность вывести деньги клиента без его ведома. Для этого надо заменить или копировать привязанную к счету SIM-карту, чтобы перенаправить на себя SMS с подтверждением вывода клиентских денег.
Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами. Крупные банки и крупные же операторы заключили соглашения, что при замене данных клиента — номера телефона, IMEI устройства, уникальных идентификаторов SIM-карты — оператор оповещает банк. Получая такое уведомление, банк связывается с клиентом, чтобы проверить, все ли хорошо. Одни банки звонят через call-центр, другие присылают push-уведомления в нативное мобильное приложение. Незаметно подменить SIM-карту не получится.
У каждого банка действуют ограничения на операции после замены SIM-карты. У одних банков это часы, у других — день-два. Так что сделать все максимально быстро у злоумышленников уже не выходит.
Замена SIM-карты не типовая операция, поэтому в целом на клиентском сервисе это отражается не сильно.
Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере — так организован перехват угроз еще на стадии виртуальных машин. Отказоустойчивость реализована на каждой площадке, плюс катастрофоустойчивость.
В последнее время банки стараются переводить этот риск в разряд страхового. Другие же перекладывают ответственность на сторону мобильного оператора. Заключенное с ним соглашение подразумевает, что именно оператор обеспечивает проверку абонента — мошенник это или нет. Использование того или иного подхода зависит от региона работы
Миф: есть масса способов украсть данные карты, чтобы вывести деньги через покупки в интернете. Деньги потом не вернуть!
Действительно, мошенники разработали массу способов получения данных карт. Но банки пытаются защитить клиента, даже если данные карты утекли в интернет по его вине.
Все крупные банки поддерживают технологию 3D Secure. Конечно, для мошеннических операций без присутствия карты выбираются банки (и подключенные к ним магазины), которые ее не поддерживают. Но по условиям платежных систем ответственность за проведение подобных операций берут на себя именно эти банки. Это схема reliability shift, которая определяет, что деньги при этом теряет банк, не поддерживающий защиту.
Также банки развивают системы антифрода. Базовые требования к ним определяют операторы платежных систем и закон о противодействии легализации денежных средств, полученных преступным путем.
Мы подробно разбираем на составляющие каждый сценарий проведения мошеннической операции. Смотрим временные рамки, профиль клиента, который подвергся атаке, использованные магазины. Так мы формируем некоторую корреляцию для загрузки в систему мониторинга финансовых транзакций, позволяющую выявлять и блокировать аналогичные операции. Так что если сценарий один раз сработал в отношении кого-то из наших клиентов, и тот заявил о мошенничестве, к другим клиентам применить его будет сложнее. Например, если обманули пожилого человека, мы можем сузить профиль клиента (возраст 60-70 лет, подобные операции ранее не совершались), выявить метаданные транзакции и реквизиты банка мошенника, куда был совершен перевод, оценить лимиты — обычно это суммы ниже порога, определенного 115-ФЗ. Все это позволяет на потоке выявлять похожие операции: отзваниваться бабушкам и уточнять, действительно ли они хотят перевести деньги
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Анализировать все транзакции в реальном времени помогают технологии big data.
Миф: о скимминге пару лет назад писали все, а теперь о проблеме молчат. Неужели банки бросили клиентов?
Скимминг — это установка дополнительных устройств на типовой банкомат, ворующих данные банковской карты. Чаще всего это считыватель магнитной полосы и накладная клавиатура или камера, помогающая злоумышленнику подсмотреть пин-код. Получив клиентские данные, злоумышленник может скопировать банковскую карту и вывести деньги клиента. С 2012 по 2016 год об этом виде мошенничества действительно писали довольно много. А банки постоянно предупреждали клиентов о том, как именно можно распознать скиммер. Чаще всего такие устройства появлялись на банкоматах Центрального, Северо-Западного и Южного федеральных округов (Москва, Санкт-Петербург, Ставрополь, Краснодар). Сегодня о проблеме замолчали, но лишь потому, что она перестала быть столь острой.
В свое время мы признали эту проблему критичной, и с этого момента пошли по трем основным направлениям: усовершенствовали карты клиентов, изменили конструкцию банкомата и провели инструктаж охранников допофисов и инкассаторов. Кстати, в других крупных банках (как минимум ТОП-5 по стране) действовали так же
Крупные российские банки перешли на карты, данные которых записаны на чипе. Для них стандартные скиммеры для магнитных полос бесполезны. А устройств, которые бы умели считывать данные чипа, в России пока зафиксировано не было.
Технически и чип скопировать можно, но это слишком дорого для злоумышленника, поэтому в эту сторону он пока не смотрит
Для защиты оставшихся карт с магнитной полосой (например, карт других банков, клиенты которых пользуются банкоматами Газпромбанка) в конструкцию устройства были внедрены антискиммеры, генерирующие электромагнитный шум за пределами считывателя магнитной полосы. На таких банкоматах скиммеры, установленные поверх корпуса, не дают ожидаемого результата — вместо данных карты они записывают белый шум. Сейчас установлено уже около 6,5 тыс. антискиммеров по всей стране.
А чтобы быстрее выявлять установленное мошенниками оборудование, в Газпромбанке прошла целая серия обучающих мероприятий.
Мы показывали, как выглядит скиммер, рассказывали, каким образом можно выявить наличие этого устройства. В качестве обучающих материалов у нас есть целая коллекция скиммеров, снятых с наших банкоматов. Конверсия получилась очень хорошая. За год после обучения мы по России собрали 6 или 7 новых устройств для коллекции, хотя до этого выявлялось 1−2 скиммера в год
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
В результате скимминг стал неэффективен. После 2016 года был зафиксирован только один случай установки скиммера на банкомат Газпромбанка. Произошло это сравнительно недавно — в октябре 2019 года. Мошенники установили устройство на одном из банкоматов в Центральном регионе, но его сразу же сняли в процессе инкассации.
Мы проанализировали свежий кейс. Скиммер был установлен выходцами из Восточной Европы, а снят он был буквально через полчаса, поскольку инкассаторы действовали по нашим инструкциям. Анализ данных со скиммера показал, что установка была обучающим мероприятием. Видимо, человек, стоявший у истоков этого вида мошенничества в России, передавал знания следующему поколению
Миф: банкомат подвержен вирусам. Злоумышленник легко может списать деньги со счета любого?
Злоумышленники, занимавшиеся до 2016 года скиммингом, действительно переключились на вирусы. В последнее время это был самый популярный способ атак на банкоматы.
У некоторых производителей банкоматов для доступа к верхнему кабинету устройства, где размещен системный блок с внешними интерфейсами, было достаточно стандартного ключа — банки просто не задумывались о том, чтобы использовать уникальные кодовые комбинации или физические замки. Нижний кабинет, где размещаются устройства для выдачи денег, всегда защищался гораздо лучше. Злоумышленник, получивший ключ от верхнего кабинета, мог получить доступ к USB-интерфейсу и через флешку запустить вредоносное ПО
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Чтобы защититься от этого вида мошенничества, Газпромбанк блокирует доступ к USB-портам системного блока банкомата так же, как и к портам на рабочих местах сотрудников в офисе. А факт открытия верхнего кабинета фиксируется в системе мониторинга.
Но даже без этих мер перехватить данные о транзакции и тем более изменить ее было бы не так просто. Платежные системы — не только Visa и MasterCard, но и российская Мир — требуют защищенного VPN-соединения между банкоматом и процессингом, а обмен данными идет в шифрованном виде. Более того, пин-код и некоторые данные по транзакции дополнительно шифруются с помощью ключей, установленных в самом считывателе или POS-терминале. В итоге тому, кто попадет в недра банкомата, доступны только метаданные транзакции, но не ее суть.
Миф: банк знает все обо мне и обязан отчитываться перед государством. Значит, любого банковского клиента можно «пробить» через знакомого из спецслужб?
Когда СМИ говорят о том, что банки готовы предоставлять в следственные органы информацию о движении денег, среднестатистический обыватель представляет себе сотрудника этих самых органов перед терминалом, напрямую подключенным к «Большой Базе Данных Всех Клиентов». Но на практике все выглядит совсем иначе. Прямой доступ сотрудников спецслужб и других органов в банковские системы невозможен по закону. Данные действительно передаются, но кто, кому и что отправляет, жестко регламентировано.
От регулятора (из МВД, налоговой, Роскомнадзора) поступают официальные запросы. Они должны содержать юридически значимое объяснение причины запроса: расследование, решение суда, номер уголовного дела. Такой запрос проходит через наш юридический департамент и направляется в нужное подразделение, только если признается легальным
Банк не обязан давать полный доступ к «досье» клиента. В запросе всегда содержится указание на конкретные данные: реквизиты, транзакции, временные отрезки. И банк дает ответ строго на поставленный вопрос. Более того, он делает это не в режиме онлайн, поскольку при подготовке ответов задействуются разные подразделения. Ответы на многие вопросы даже с использованием внутренней системы электронного документооборота не подготовить быстрее, чем за пару дней, особенно если запрашиваются филиалы. А перед тем как покинуть банк, ответ еще раз проходит через юридический департамент.
Банки и сами запрашивают информацию о клиентах у регулятора, принимая решение, предоставлять ли клиенту ту или иную услугу. Но это ни в коем случае не «полный доступ к Госуслугам».
Получение информации осуществляется в формате запросов. Например, мы работаем с Бюро кредитных историй, запрашивая данные по старым или новым кредитам потенциального клиента. Аналогично мы проверяем действительность паспортов, уголовные дела. В каждом случае мы ограничиваем диалог минимальным набором информации — его когда-то уже определил регулятор. То есть если для ответа на наш вопрос достаточно сообщить только фамилию, имя, отчество клиента и номер его паспорта, мы не будем передавать иные данные. Ответ государственного органа также минимизирован. Например, если нас интересует, действующий ли у клиента паспорт, в ответ на запрос от миграционной службы мы получаем просто маркер: да или нет
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка
Взаимодействие с госорганами происходит через порталы-посредники. А формат диалога жестко прописан в договорах с ними (кстати, типовых для банков).
Требования к безопасности при передаче информации для разных государственных органов отличаются. Иногда задействуется Система межведомственного электронного документооборота с ее универсальным форматом запросов и подходом к безопасности, а иногда регулятор определяет собственную схему передачи.
Уникальные средства защиты применяются, например, при работе с Бюро кредитных историй. Там свои форматы сообщений, VPN, шифрование. Каждый пользователь в этом взаимодействии использует свой набор уникальных идентификаторов.
В любом случае все сообщения, передаваемые между банком и порталами, шифруются, чтобы избежать перехвата на канале или подмены со стороны портала. Если требования регулятора, по мнению банка, недостаточны, он вносит в договор дополнительные пункты о шифровании, подписи электронного сообщения, формате шифр-контейнеров.
Миф: вся эта многоярусная защита должна блокировать мою карту по 10 раз в день из-за ложных срабатываний!
Блокировка карт — это просто защита денег на клиентском счете. Она выполняется в нескольких случаях. Карта может блокироваться либо по инициативе самого клиента через приложение или звонок в колл-центр, либо автоматически при проведении транзакций, которые соответствуют мошенническому профилю. Разновидностью блокировки также можно назвать установку лимитов, например, при пересечении границы.
Автоматические блокировки происходят довольно редко.
Сейчас у нас около 50 млн выпущенных пластиковых карт. За последний год блокировки по всем причинам (включая собственное желание клиента) исчисляются десятками в неделю, что дает вероятность блокировки какой-то конкретной карты в течение года около одной тысячной процента
Гораздо чаще пользователи сталкиваются с мнимыми блокировками, когда злоумышленники рассылают уведомления от имени банка о том, что необходимо позвонить по определенному номеру. С реальными блокировками эти сообщения не имеют ничего общего. И единственная рекомендация на такой случай — звонить не по телефону из сообщения, а по номеру, указанному на оборотной стороне карты. Банк никогда явным образом номер телефона в сообщении не присылает.
В целом этот миф сосредоточен вокруг блокировок по подозрению в мошенничестве. Часто банковские клиенты боятся, что их могут заблокировать из-за совершения нетипичных операций, например, сбора денег на подарок перед Восьмым марта. Но и для таких периодов у банков настроены профили, характеризующие то самое нетипичное поведение клиента. Если кто-то и сталкивался с подобным в прошлом, сейчас все покупки подарков и сборы средств коллеге уже заложены в стандартные операции в системе мониторинга финансовых транзакций. Клиент может получить разве что звонок из банка для уточнения.
Действительно нетипичными могут быть, например, операции, развязанные по геолокации. Допустим, клиент совершает покупку в Москве, а спустя полчаса — на Манхеттене в США. Такая операция потенциально является мошеннической, и если банк ее по каким-то причинам не остановил, он может заблокировать карту и связаться с клиентом, чтобы уточнить причину (или начать процедуру возврата средств). Такого подозрения не возникнет, если интервалы укладываются в логику: когда одна операция совершена в аэропорту Шереметьево, а вторая — в Доминикане, но спустя 15–18 часов.
Банковские системы пытаются понять, чем обоснованы действия клиента при совершении каждой операции. Но при этом без информации клиента никто не оставит. Кстати, у нас были ситуации, когда к счету была выпущена дополнительная карта и наш прозвон выявлял так называемый «френдли фрод» — операции, которые выполнялись по карте членами семьи без ведома основного клиента. Кому-то мы так сохранили семейный бюджет
Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка

Комментарии 26

    –5
    Спасибо. Очень познавательно!
      +2
      Доступ к данным организован по ролевой модели. То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей.

      Это была бы уже не ролевая модель, а атрибутная. С учётом того, что вы пишете далее, тут правильнее было бы написать «типовые задачи», а не «текущая задача».


      Возможно, будет интересно: https://en.m.wikipedia.org/wiki/XACML

        +1
        Чуть покрупнее бы текст
          +6

          Берем кредит в банке.
          Данные передаются в спарк. На следующий день все в стране знают ваш телефон и начинают обзвон с предложениями.

            +3

            Судя по многочисленным утечкам — никак.

              0

              Если бы это было так, все клиенты уже давно бы всех денег лишились.
              У вас счёт в банке есть? Часто подобное приходило?

              +3
              Почему-то фотография в кружочке Алексея Плешкова — заместителя начальника департамента защиты информации Газпромбанка — навевает на меня безудержную тоску. Оттенки фона добавляют ощущение, что сделана она в «богатом» зале с золотом, канделябрами и коврами.
                0

                Не хватает бороды, свитера и полуподвального помещения?

                  0

                  Да и в существование "специалиста по всему" как-то слабо верится.

                  +2

                  Все это херня… Все эти сказки про то, что ограничен доступ и все отслеживается и блокируется. Оно только в отчетах для инвесторов присутствует.
                  В любой организации работают целые департаменты it, котоые, на минуточку разрабатывают ну очень много разного софта и большинство это интеграции с внешними или внутр системами. Как организованы обмены между микросервисами одному богу микросервисов известно. Как работают госконторы, с цифровизацией и нанотехнологиями в воображении их руководства тоже известно. Достаточно посетить оные очно или онлайн.
                  Откуда эти старые представления о том, что злоумышленник скопирует базу данных на флюшку!? Клюква какая то и профанация.
                  Зачем злоумышленнику подставлять себя, если он имеет дрступ к вполне себе годным ресурсам для разработки, тестирования и прочим отчетам?
                  С ростом количества микросервисов в качестве технологий обмена информацией и межсистемными интеграциями растёт степень уязвимости. Это проблема экосистем. Когда вовне стоит заслон а сбоку открыта дверь. Так как никто не проверяет, да и физически не сможет проверить весь зоопарк связей внешних и внутренних. И их количество все множится.
                  Помножим на качество кода и получим то, что есть.
                  И винить разработчиков тут нельзя полностью. Да. Они совешают ошибки.
                  Но ошибки эти от того, что такие как автор и прочий бизнес постоянно куда то скачут. Постоянно все в аврале. Начали одно, бросили, срочно другое надо еще вчера, потом третье и т.д. Про первое уже забыли и отдали на доработку какому нибудь студенту. В итоге получаем дыры, баги и корявый функционал.
                  Зато мы блокировали usb и скриншоты (бред)

                    +2

                    Не все здесь херня, но частично. Рассчитано на тех, кто не работал в финтехе.

                      0

                      Да все херня. Ещё раз повторюсь.
                      Никто не в состоянии отследить все интеграционные связи. Эт я только про боевой контур. А есть еще аналитический и девопс… Там как правило, суточные клоны… На которых экспериментируют… Наворачивают какие нибудь модные блокчейны., ага…
                      И другие типа песочницы. Ясен пень, рядовому клерку просто так не слить данные.
                      Но инсайдеру какому нибудь…
                      И чем больше контора, тем больше бесхзных ресурсов типа виртуалок… За которыми никто не следит.
                      Большинству народа хоть что рассказывай, а они как слали пароли почтой, так и шлют…
                      Все эти "суперпупер" методы защиты не будут значить ничего, например, в случае слияния банков или интеграций на системном уровне… Дыра на дыре.

                        0

                        Рядовому клерку может быть и никак, но рядовому прогеру — нефик делать.
                        Несмотря на 152ФЗ и иже с ним сопоставить базу с базой и таблицу с таблицей и затем накатить на результат ключ расшифровки — тоже нефик делать.
                        Даже если конкретному прогеру по плану защиты нефик делать вот та том-то серваке — а на нем лежит то, над чем он работает и что должен получать для решения задачи.


                        Сисадмины еще проще. Пароль от базы — дак он ее недавно бэкапил или восстанавливал. Файлы базы — дак вот они.


                        Начальник прогеров — ну тут все понятно.
                        Начальник начальника — он скорее всего не технарь вообще и два запроса не вяжет, но у него есть телефонное право и право формировать/реформировать ИТ-отдел.


                        А если пожар и его нужно еще вчера потушить — держи доступ и давай быстрее.


                        Так что да, дыра на дыре.

                    0
                    Во-вторых, результаты запроса не «вынести». Все рабочие станции защищены от создания скриншотов и оборудованы системой контроля периферийных портов, которая блокирует подключение любого стороннего устройства и отслеживает копирование на незаблокированные. Данные даже на печать нельзя отправить без разрешения и внешнего контроля.

                    Как всегда самые изощренные методы защиты абсолютно бесполезны для защиты информации от
                    действий дурака
                    image


                    Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности.
                    Людям чьи данные были скомпрометированны вот как то глубоко пох кто это сделал- банк который скопировал их паспорт или подрядчик которому этот банк его отдал. Результат -один, так же как и ''виновный''. И бороться в такой ситуации можно только наказывая всю цепочку одинаково, вне зависимости от того кто виноват.
                      0
                      Между прочим, один из крупных банков вполне себе интересовался «специальной вебкамерой», которая бы автономно определяла, что манагер пытается щёлкнуть мобилой экран и слала предупреждение СБшникам.
                        0
                        один из крупных банков вполне себе интересовался «специальной вебкамерой», которая бы автономно определяла, что манагер пытается щёлкнуть мобилой экран и слала предупреждение СБшникам
                        Уже есть подобные работающие решения. Распознавание образов, бигдата и вот это все. Главное, что требуется — хорошее покрытие офисов внутренними камерами наблюдения в HD. Т.е. задействована не вебкамера на рабочей станции, а внутренняя СВН.
                      0

                      Ну, о степени осведомленности ЦБ и достоверности информации об инцидентах мы можем судить по реакции на последние утечки, когда после утечки данных тысяч клиентов того же Сбера официально было заявлено лишь о компрометации данных 200+ клиентов. Зато вся страна потом получала звонки от мошенников по информации из утекшей базы.

                        +1
                        То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей. Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт.
                        То есть сценарий «клиент с паспортом пришел за услугой в другой филиал» вы считаете фантастическим?
                          0
                          Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами.

                          Отлично, но почему при этом отказываться от двуфакторной авторизации БЕЗ этих унылых мобильных телефонов? У банкстеров кого-то держат в заложниках и требуют всё привязывать к телефонному номеру??
                          И да, не обязательно перевыпускать SIM карту — можно поставить рядом с «клиентом» более мощную «базу» MITM
                            0
                            Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт.
                            .
                            Прям Сбербанк №2 какой-то… Т.е, уехал я из своего региона в поездку, случилась неприятность, и мне не помогут в другом филиале?
                              0
                              грустно, но да
                              история несколько другая, но тем не менее
                              занесло меня в Крым в 2016
                              предварительно у местных уточнял, есть ли филиалы, какие особенности, могу ли платить или снимать наличку с карт банка ТОП5
                              ответы были, что филиалы хотя и есть, снять нет, не сможешь, но переводы без проблем

                              но проблемы таки возникли, при первой же попытке использовать Интернет-банк карту и счет мне заблокировали
                              милые сотрудницы банка и колл-центра любезно сообщили, что судя по моему IP, была попытка входа в личный кабинет из Крыма и поэтому я должен явиться лично в отделение банка в родном городе с паспортом
                                0

                                Мне в подобном случае сильно помог предусмотрительно заведённый VPN-канал в родной город.

                                0

                                Вы можете никуда не уезжать.
                                Например Альфа прекрасно умеет самостоятельно менять кодовое слово юзера, в результате чего юзер лишается поддержки (если повезет), или доступа к своим деньгам (если не повезет).

                                0
                                Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт.
                                Где карту открывали, туда и идите?
                                  –1
                                  Вот одна из последних ситуаций.
                                  В итоге клиент был просто послан банком в пешее путешествие.
                                  Так что не все описанное в той статье соответствует истине.
                                    +1

                                    А тут то банк при чем? Пользователь добровольно ввел все данные включая код из смс.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.