В крупных банках сотрудникам запретили фотографировать экраны компьютеров



    Не секрет, что на специализированных форумах в продаже можно найти практически любые приватные данные о любом человеке (см. статью «Наши с вами персональные данные ничего не стоят»). Вот примеры самых популярных «пробивов»:

    • ФИО, паспортные данные, адрес по номеру телефона;
    • отслеживание местоположения человека по вышкам сотовой связи, история местоположений, детализация звонков, детализация SMS;
    • пробив автомобиля по базе ГИБДД;
    • балансы по счетам, картам физического лица, выписка по карте, кодовое слово.

    Банковская категория с пробивом физ- и юрлиц — одна из самых популярных на форумах. Судя по всему, информацию «сливают» сотрудники самих банков, которые легко могут открыть информацию по любому счёту. Так вот, банки нашли способ, как с этим бороться.

    Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов, пишет РБК.

    Специалисты уверены, что новые правила вводятся для борьбы с утечками данных о клиентах. Злоумышленники размещают объявление в даркнете с заказами на «пробив», говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. В зависимости от услуги и банка цены могут варьироваться от 800 до 8000 руб. У мошенников есть сообщники — инсайдеры в разных банках.

    Запреты на фото- и видеосъёмку экрана подтвердили представители Сбербанка, «ЮниКредита», «ФК Открытие» и ВТБ. Как правило, эти запреты фиксируются в нормативных документах или договорах. О новой практике рассказал заместитель председателя Сбербанка Станислав Кузнецов на международном конгрессе по кибербезопасности.

    Эксперты считают, что это довольно логичная и правильная мера. Дело в том, что остальные каналы надёжно фиксируются и отслеживаются внутренними системами DLP (Data Leak Prevention). Они отслеживают любые внешние и внутренние коммуникации сотрудников: почта, мессенджеры, мобильная связь и т д. А вот фотосъёмку без передачи информации наружу DLP-система не в силах отследить. Сделав снимок, сотрудник потом спокойно выносит приватную информацию за пределы периметра прямо на своём телефоне. Кроме того, факт фотографирования потом непросто доказать.

    Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлёв рассказал РБК, что банк запрещает сотрудникам делать фото- и видеосъёмку экранов мониторов, служебных документов, презентаций и клиентских данных, а также вести аудиозапись служебных переговоров на личные мобильные устройства (смартфоны, телефоны, планшеты и т. п.) и другую аппаратуру.

    Санкции за фотографирование клиентских данных «самые жёсткие». Заместитель председателя Сбербанка Станислав Кузнецов на пресс-конференции рассказывал, что сотрудников, уличённых в этом, немедленно увольняют. «Если им удалось по какой-то причине передать это преступникам, мошенникам либо третьим лицам, мы передаём материалы в правоохранительные органы», — отметил Кузнецов.

    Возможно, следующим шагом в повышении безопасности банков станет полный запрет проносить личные мобильные телефоны на рабочее место. Такие правила действуют на режимных объектах. Судя по всему, работодатель имеет право сделать это. Согласно статье 190 Трудового Кодекса РФ, «правила внутреннего трудового распорядка утверждаются работодателем с учётом мнения представительного органа работников в порядке, установленном статьей 372 настоящего Кодекса для принятия локальных нормативных актов». Правила внутреннего трудового распорядка обычно являются приложением к коллективному договору, так что если сотрудник подпишется под такими правилами, то юридических вопросов не возникнет. Или запрет на использование мобильных телефонов можно оформить в виде приказа.

    С другой стороны, такие действия работодателя можно попытаться оспорить согласно статье 23 Конституции РФ, которая в числе неотчуждаемых и принадлежащих каждому человеку от рождения прав и свобод называет право на неприкосновенность частной жизни.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 66

      +3
      ИМХО лояльность сотрудника это лучшая защита в таких случаях.
      Другой вопрос как ее добиться, но я на своем опыте знаю что так вполне можно выстраивать отношения.
        +8
        Мне кажется на лояльность можно надеяться в маленьких фирмах. Там действительно возможно всё, вплоть до индивидуального подхода к сотруднику. В огромных же конторах на тысячи сотрудников всех лояльными не сделать, никак.
          –1
          Очень верный комментарий.
          Возможно для огромных компаний имеет смысл более глубокая фрагментация чтобы получить требуемый эффект.
            0
            тогда компания превратится в неуправляемую кашу
              +1

              В таких компаниях как СБ, дешевле сотрудников еб*ть за любую мелочь, и выкидывать на мороз за малый проступок, чем выстраивать с ними лояльные отношения. Ну и рынок в целом подтверждает, что это рабочая стратегия.

                0
                Поэтому я все больше стараюсь по маленьким компаниям и стартапам работать.
                Предпочитаю фирмы «семейного» типа
                Имел в свое время опыт работы в компаниях >100К сотрудников.
            +1
            Лояльность звучит хорошо, но имхо, в банках ей вообще пахнуть не может. Лояльность требует того, чтобы работодатель что-то предлагал в ответ. Имхо, опять же, банкам наплевать на сотрудников настолько, что как только он перестаёт быть нужным, от него пытаются максимально дёшево избавиться. Когда банки из-за разных причин вышвыривают сотрудников на улицу (иногда со словами «У нас в банке нет сокращения, просто увольняйтесь»), адекватный человек не будет верить в сказки про командный дух, ответственность и лояльность. Он просто будет пытаться получить максимум в рамках своих возможностей и моральных границ.
            0
            Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов, пишет РБК.

            Угу, а давайте еще запретим убийцам — убивать и насильникам — насиловать, а так уже запретили в УК, но чего-то убивают и насилуют…

            что сотрудников, уличённых в этом, немедленно увольняют

            неважно, данные уже ушли кому надо

            полный запрет проносить личные мобильные телефоны на рабочее место

            полумеры, пускай вкладываются в технологии удаления воспоминаний

            Нет, ну серьезно. Сначала для открытия счета начали требовать как можно больше личных данных, потом стали нанимать на работу студентов за копейки и давать им доступ к пользовательской базе, а теперь заплакали.

            А страдают в итоге конечные вкладчики, кто-то по своей воле (ССЗБ) открывшие счет, а кто-то по принуждению (зарплатные карты) работодателя.
              +3
              Альтернатива — разрешить убийцам убивать и насильникам насиловать? А кто не отбился сам дурак, ведь по закону «не запрещено»? Да и в Apple (к примеру) нанимают исключительно студентов, что так и норовят сфотографировать новинки? И совсем никаких происков конкурентов или мошенников?
              Пока человек ходит на работу «за деньги», исключить возможность продажи информации можно только под угрозой затрат, больших чем вероятная прибыль.
                –1
                Альтернатива (в контексте банков) — не спрашивать личные данные при открытие счета. Но я прекрасно понимаю, что такого никогда не случится (привет силовым структурам, налоговой и пр.). Так что не использовать банковские карты, что тоже с каждым годом делать все сложнее (привет зарплатные проекты).
                  –3
                  Всего лишь старательно подтягиваются до уровня «развитого капитализма», когда на крупную сумму наличности начинают косо смотреть в любом приличном магазине.
                  Имея деньги, легко потратить часть на грамотного бухгалтера/юриста и провести их выгодным маршрутом, а простому работнику лишь выбирать дизайн ошейника кредитной карты.
                    +1
                    Альтернатива (в контексте банков) — не спрашивать личные данные при открытие счета. Но я прекрасно понимаю, что такого никогда не случится (привет силовым структурам, налоговой и пр.).

                    А причём тут силовые структуры, налоговые и пр.?

                    Как в вашей картине мира без личных данных при открытии счёта и любых банковских операций сами банки будут производить идентификацию клиента?
                    Вот пришел человек в банк, никак себя не идентифицировал, личные данные не записывались — открыли счёт 123.
                    Пришёл завтра другой человек, сказал, что хочет снять деньги с счёта 123 и как вы убедитесь, что это именно тот же человек(или его доверенное лицо), который вчера открыл счёт?
                      –1

                      С помощью криптографической подписи, например. Всё, что нужно знать обо мне — мой pubkey, который и так лежит в открытом виде в куче мест. Тогда, кстати, и с доверенными лицами очень просто — для каждого счета создаем новый keypair, приватный ключ оставляем себе и доверенным лицам, pubkey — банку.

                        0
                        Неплохой вариант, на самом деле.
                        Однако, сразу ряд проблем с использованием исключительно подобной подписи.

                        • Во-первых, подобная подпись электронная. Иными словами, если у человека нет доступа к технологиям(не важно по какой причине) — он не сможет её получить и соответственно лишится возможности открывать счета и пользоваться банковскими услугами
                        • Во-вторых, заполучив секретную часть ключа — можно сказать, что мы украли личность и имеем беспрепятственный доступ к любым банковским услугам от лица другого человека. Могу ошибаться, но в текущем формате ЭЦП хранится в флешках и соотвественно достаточно украть эту самую флешку и все документы, подписанные этой подписью скомпроментированы. Это так же относится к утере носителя с ЭЦП.


                        Как-то не особо безопасненько и доступно. В будущем этот вариант может сработать, согласен — можно много что придумать для устранения как минимум этих минусов. Но в текущей ситуации — одной ЭЦП мало для подобных операций. Как минимум, связка эцп + фотография и второй вариант для работы без ЭЦП.
                          –1

                          Совсем не обязательно на флешке хранить такую подпись. Её можно хранить, например, на достаточно доверенном телефоне (и подписывание осуществлять с помощью, скажем, NFC). При этом сам приватный ключ должен быть зашифрован с помощью passphrase. Тогда даже если кто-то украдет телефон, ему придется вскрыть защиту (телефона) и подобрать passphrase. Это уже гораздо дольше и сложнее.

                            0
                            Согласен, можно защитить конкретно ключ. Ещё можно ЭЦП хранить в импланте на руке с тем же NFC, к примеру. Но это для будущего, а не настоящего.
                            А в настоящем эта защита секретного ключа ложится на плечи клиента, для которого это лишние заморочки и большинство не будет этим запариваться. В итоге у большинства ключи будут защищены… никак. И из-за этого делать ЭЦП единственной точкой идентификации будет некорректно. Удобно, спору нет, но невозможно в текущих реалиях.
                              0
                              огда даже если кто-то украдет телефон, ему придется вскрыть защиту (телефона) и подобрать passphrase

                              это ерунда по сравнению с тем как вы будете возвращать себе доступ к своим деньгам
                              p.s. только не надо про копии ключей, тут не все админы бекапы делают, куда уж про простых людей говорить
                    +1
                    А страдают в итоге конечные вкладчики, кто-то по своей воле (ССЗБ) открывшие счет


                    Странный комментарий. А где вы предлагаете хранить деньги?
                    Дома в банке? В крипте? Инвестировать?
                      –1
                      Что угодно, деньги — это ресурс, а не конечный результат.
                        0
                        Ага, а крипту за наличные в подворотне покупать :)
                        +3
                        неважно, данные уже ушли кому надо

                        Еще как важно, коллеги сотрудника пять раз подумают, прежде чем будут делать тоже самое
                        +3
                        Эксперты считают, что это довольно логичная и правильная мера.


                        С такими «экспертами» становится понятно, почему вся кибербезопасность в жопе.
                          +2
                          Ну, эксперты здесь вполне правы, кстати.

                          Других мер ИБ эта мера не отменяет, а лишь дополняет, причём ничего нового в ней нет — я и сам работал в организации, где был запрет на пронос любой фото/видеотехники в определённых зонах. Обыскивать, конечно, не обыскивали, но если кто-то попадался, то масса неприятных последствий была гарантирована. Лично у меня был телефон без камеры :)
                            +2
                            Эта мера — т.н. «театр безопасности».
                            В ней ровно столько же смысла, сколько в «ежемесячной смене пароля». Только по поводу второго у людей уже в голове что-то начинает проясняться (и то, ДЕСЯТКИ ЛЕТ для этого понадобились), а по поводу первой всё ещё глухо, как в танке.
                              0
                              Спорно.
                              Как по мне, это одна из мер трудовой дисциплины в области ИБ. «Данные компании не должны покидать устройств компании». Она напоминает о правильном отношении и ответственности за утечки.

                              И в отличие от требований менять пароль раз в месяц, она неудобств сотрудникам не доставляет.

                              Но не панацея, да.
                            0
                            «Эксперты» вообще шикарны. Очень похожий список банков отличался тем, что сливал (или все ещё сливает, кто знает) данные о балансах и операциях клиентов через IVR меню и Call-центры, а сейчас они говорят, что пытаются бороться с утечками.
                            0
                            Сразу вспоминаю как ипотеку оформляли. Нужно скинуть пакет документов (скан), но у них корпоративная почта не принимает «такой объем информации» (из 6 банков 1 принял), остальным менеджерам тупо кидали на личные почты/вайберы и т.п. чтобы не ездить в банк не отдавать то же самое. Не говорю, что так правильно, просто так было :(
                              0
                              К сожалению, это пока часто встречается.

                              Я вот клиент одного крупного банка. Несколько лет назад мне потребовалась выписка, но у них что-то в системе повисло. Милая девушка-оператор спросила, может ли она отправить мне выписку на почту после того как проблему решат? Я согласился.

                              Через час получил выписку со своего счёта в PDF. С её личной (на мейл.ру) почты :)
                                0
                                Вы просто на фотографиях хорошо получаетесь:)
                              +3
                              Такие меры умиляют на фоне существования отделений банков, где мониторы с рабочих мест смотрят в сторону окон (пример Сбербанка, просматриваемые окна в левой части здания, на фото видны частично прикрытые плакатами справа). О да, усилили безопасность, конечно.
                                +2
                                Косательно утечки данных из банка не забывайте, что ряд банков при открытии вкладов стал требовать биометрические данные (пока на законодательном уровне это добровольно, но кто знает что будет дальше).
                                  –1
                                  >>DLP (Data Leak Prevention). Они отслеживают любые внешние и внутренние коммуникации сотрудников: почта, мессенджеры, мобильная связь и т д
                                  Тут что, признались в прослушивании мобильных ???
                                    0
                                    Если телефон по Wi-Fi подключился к корпоративной сети, то да, через DLP.
                                    Некоторые для отслеживания 3G требуют установить специальный модуль на телефон сотрудника, например InfoWatch Device Monitor.

                                      0
                                      Модуль на телефон? А как же фемтосоты? habr.com/ru/post/393959
                                        0
                                        Это немного другое. Фемтосота позволяет прослушивать открытые коммуникации. Тот же WhatsApp или Телеграм она не поймает.

                                        А модуль поймает, так как по сути является spyware, установленным непосредственно на устройстве :)
                                    +3
                                    С другой стороны, такие действия работодателя можно попытаться оспорить согласно статье 23 Конституции РФ, которая в числе неотчуждаемых и принадлежащих каждому человеку от рождения прав и свобод называет право на неприкосновенность частной жизни.

                                    А причём здесь неприкосновенность частной жизни, когда речь идёт об исполнении служебных обязанностей? Так ничего оспорить не выйдет. Это кто такой перл выдал? Явно с юристами не советовались.

                                      0
                                      Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов


                                      Выдыхаем, пока делать скриншоты не запретят, все норм.
                                      Вообще, забавно конечно, какой следующий логичный шаг? Запретить сотрудникам смотреть в мониторы? Мое ИМХО, такие проблемы невозможно решить «запретами распространять», вопрос тут очень комплексный. А то что делается сейчас — исключительно ради галочки, все равно что профилактическая беседа.
                                        +1
                                        Скриншоты (а также нажатия клавиш в виде келоггера) отслеживаются любой системой контроля сотрудников. StaffCop, InfoWatch, Solar Dozor от Ростелекома, Forcepoint, и ещё десяток других.
                                        0
                                        Пробив станет дороже, а все интересующие данные будут просто записывать на листике. Не запретишь же что-то писать на рабочем месте.
                                          0
                                          Дороже. Дольше. Менее надёжно — на бумажке можно данные из головы написать и это не сложнее, чем с экрана, а достоверно подделать фото с монитора — уже стараться надо.

                                          Запрет в общем случае — так себе защита, но возможность слива данных в пару нажатий в компаниях, где доступ к критичной информации есть в т.ч. у рядовых сотрудников — штука довольно стрёмная. Красивых путей решения проблемы не вижу.
                                          +1
                                          Мне не понятно почему информационная система позволяет открыть данные кого попало, какой нахер пробив просто по желанию оператора? Система должна давать доступ только после идентификации клиента и обязательно по одноразовым токенам.
                                            0
                                            Правильно, раздать все клиентам токены с ключами и пока он токен не приложил — доступ не открывать.
                                              +1
                                              Но можно сделать, что после проверки паспорта клиента или сканирования в систему любого документа, по которому человек подтверждал свою личность + фото клиента. Либо если клиента прикрепили к данному менеджеру (при ипотеке).
                                              +2
                                              В любой нормальной АБС есть аудит по обращениям к счетам/клиентам, если этот аудит нормально настроен банку ничего не стоит узнать кто и когда получал данные по клиенту. Если случился слив, всегда можно узнать кто и когда что-либо смотрел. Службе информационной безопасности банка достаточно заказать данные по клиенту на подобном форуме и поймать оператора с поличным. Но вот что-то мешает безопасникам это сделать.
                                                0
                                                Службе информационной безопасности банка достаточно заказать данные по клиенту на подобном форуме и поймать оператора с поличным.
                                                Довольно интересны юридические последствия этого. А то было бы забавно посмотреть, как безопасник отправляется в камеру через коридор от того, кого так поймали, мало ли как это можно повернуть.
                                                  0
                                                  ИБ может работать с органами и все юридические действия проводить через них. Но для банка это плохо, банки очень редко «выносят сор», обычно все решается внутри и сотрудника тихо увольняют.
                                                0
                                                Call-центр представляете? Или вот тётеньку-операционистку, к которой клиент якобы «сам пришёл», ногами. Как за ними всеми следить?
                                                Хотя конечно ограничивать доступ кому попало — нужно. И логировать тотально — тоже.
                                                  0
                                                  В call-центрах все звонки записываются, и обычно доступ к банковским данным через некую оболочку, технически можно реализовать доступ к данным только во время звонка, сравнивать номер входящего телефона с телефоном клиента в базе (при несовпадении вешать флаг для дополнительной проверки). При приходе ногами клиент тоже «авторизуется» показывая паспорт, можно поставить сканеры паспортов (как в аэропортах) и давать доступ к данным клиентам только после скана паспорта. Можно много всего придумать, но банкам проще и дешевле придумать идиотские запреты для работников, которые легко обойти.
                                                    0
                                                    Ну ок, есть вторая-третья линия, которая контролирует первую. Сколько в Сбере старших смен и эникеев на местах?
                                                    Я не защищаю банки, у них всё так. Тупо запрещать и не пущать, по крайней мере без бумажки. Если они к клиентам так относятся, то было бы странно видеть иное отношение к сотрудникам.
                                                      0
                                                      но банкам проще и дешевле придумать идиотские запреты для работников, которые легко обойти.


                                                      а вы не забывайте что в банке есть очень много офисных сотрудников которые не обслуживают клиентов но имеют доступ к базе
                                                      Например сотрудники ИТ отдела, админы, dba и т.п.(а если вспомнить что есть тестовые базы данных для разработчиков, которые по регламенту должны быть обезличены… но вопрос… всегда ли это так?.. лучше не буду отвечать на этот вопрос сам...) Потом сотрудники всяких отделов статистики, претензионщики, бухгалтерии (банковской),… можно много перечислять, скажем так что операторы лишь небольшая часть которая имеет туда доступ
                                                      0
                                                      Call-центр представляете?
                                                      Доступ к данным после кодовой фразы, которая недоступна оператору (а так же по распознаванию голоса). Звонок записывается и анализируется по возможности на ключевые слова?
                                                        0
                                                        'а я не помню кодовое слово!' (с) Клиент, каждый третий
                                                    +1
                                                    С другой стороны, такие действия работодателя можно попытаться оспорить согласно статье 23 Конституции РФ, которая в числе неотчуждаемых и принадлежащих каждому человеку от рождения прав и свобод называет право на неприкосновенность частной жизни.
                                                    И каким образом это связано с запретом на смартфоны? Вы смартфон оставляете в шкафчике, ваша частная жизнь в ваших руках.
                                                    Либо разрешат трубки без фотоаппаратов — вообще никак не ограничат вашу частную жизнь.
                                                    Ибо возможность делать селфи на рабочем месте по конституции никак не защищается
                                                      0
                                                      сотрудникам запретили фотографировать экраны
                                                      Ну, как бы, езда по встречке тоже запрещена. Как и убийство человеков. Что-то это мало какого злоумышленника останавливает.
                                                        0
                                                        Но если в правилах данные вещи прописаны не будут, то и наказывать за это нельзя будет. Или вы считаете, что можно штрафовать за выезд на встречку, не прописав это в законах?
                                                          0
                                                          Ну скажу так, что введение лишения за двойную сплошную резко уменьшило количество езды по встречке на больших дорогах.
                                                          +2
                                                          А до этого то есть можно было? :)
                                                            0
                                                            У меня есть лучше идея, выдавать сотрудникам специальные телефоны во время работы без камер (и возможно без микрофонов, правда это будет мешать разговаривать). И никакой проблемы не будет, никаких ущемлений прав. Да, придется раскошелиться, но мы говорим же о банках…
                                                              0
                                                              А как запрет на личную болтологию в рабочее время влияет на неприкосновенность частной жизни?
                                                                0
                                                                а также вести аудиозапись служебных переговоров на личные мобильные устройства

                                                                Без микрофона нельзя записывать звук, а также разговаривать
                                                                +2
                                                                А еще можно показательно наказать банки, сливших данные клиентов (приостановка лицензии, отзыв лицензии), и другие банки сами быстро придумают необходимые меры для защиты от слива. Было бы желание у власть имущих…
                                                                  0
                                                                  Например, в корейском Samsung камеры на телефоне заклеиваются спец-наклейками, целостность которых на выходе проверяют. Если _очень_ надо, то можно считерить, но все равно риск спалиться будет. Не самая плохая мера.
                                                                  0

                                                                  Выглядит как дешевый костыль.
                                                                  Адекватным решением был бы запрет доступа на уровне систем хранения данных, с этим пробив резко бы потерял ценность, а массовый слив обрабатываемых в текущий момент коррумпированным оператором — малоценным в силу объема и легко обнаружимым по даже нескольким записям.


                                                                  Конечно, из-за багов в софте качество обслуживания может упасть, зато безопасность и условия работы честных сотрудников станут нормальным в этой части

                                                                    0
                                                                    выписка по карте, кодовое слово

                                                                    Сотрудник колл центра не имеет доступа к кодовому слову.
                                                                    Опять не там копают похоже.
                                                                      0
                                                                      надо иметь на экране поляризационный фильтр, где изображение видно только в специальных активных поляризационный очках, действие которых прекращается при сьеме с головы.

                                                                        0
                                                                        Есть же специальные решения для таких случаев, Printer Guard тот же или DRM-сервисы.

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                        Самое читаемое