Греф: из «Сбербанка» нельзя будет вынести ни один бит информации

    «Сбербанк» заявил о радикальном пересмотре политики безопасности. После утечки данных клиентов меры информационной безопасности ужесточились настолько, что сотрудники жалуются на «замедление рабочих процессов» и «перегибы» службы безопасности.

    Дальше будет хуже. «Случай, который произошел, поменял нашу парадигму», — сказал Герман Греф. В ходе прямой линии с сотрудниками «Сбербанка он напомнил о внедрении новой технологической платформы, которая не позволит вынести «ни один бит информации несанкционированно». Но сейчас такой платформы ещё нет, поэтому служба безопасности вынуждена «делать это в ручном порядке» (проверять сотрудников).

    «Не отреагировать на то, что произошло, мы не могли. Нам нужно радикальным образом пересмотреть наше отношение к киберзащите наших внутренних ресурсов. Я уже говорил о том, что мы исходили из парадигмы, что внутри банка люди понимают, насколько важна и ответственна роль сотрудника банка. И построить систему, которая полностью защищала бы нас от всякого рода злоупотреблений внутри, невозможно. Случай, который произошел, поменял нашу парадигму. Мы сказали: мы не можем полагаться на волю случая и не может один недобросовестный человек вылить ложку дёгтя в бочку с мёдом», — сказал Греф.

    До конца 2022 года банк планирует перенести около 80% своих сервисов на новую технологическую платформу: «2023 год будет, наверное, завершающим годом переноса сервисов на платформу. Потом останутся какие-то мелочи, которые будут в рабочем режиме загружаться».

    После утечки данных пришлось пойти на самые жёсткие меры: «Мы контролируем сегодня в разы больше, чем раньше, — заявил глава «Сбербанка». — К сожалению, то, что мы видим даже за последний месяц, — у нас значительное число инцидентов. Попыток выноса информации из банка самыми разными способами. Каждый из этих способов мы внимательно изучаем и внедряем систему контроля. Мы, в конце концов, создадим такую систему, когда невозможно будет из банка вынести ни один бит информации несанкционированно. Но сегодня мы вынуждены делать это в ручном порядке».

    По информации издания «Коммерсантъ», на одном из теневых ресурсов 13 октября 2019 года появилось объявление о продаже персональных данных клиентов Сбербанка на миллион строк. В объявлении утверждалось, что база содержит полные данные клиентов банка, имеющих кредиты или кредитные карты: паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности.



    Информация в базе по «Сбербанку» собирается с 2015 года и обновляется еженедельно. Данные продаются в любом объёме с произвольной выборкой по цене 30 рублей за строку.

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 165

      +23
      «1», «0» — получилось даже два
        +11

        Видимо, будут сотрудникам память стирать в конце рабочего дня. А то они хоть одну букву запомнят — всё, утечка нескольких бит информации.

          +3
          А если сотрудник посреди рабочего дня фонариком в соседнее здание начнёт передавать информацию? По результатам — окна убрать, весь радиочастотный диапазон заглушить, сотрудников по приходу на работу провести под полный досмотр, включая внутренние пространства тела, по выходу с работы тоже, плюс память за весь день стереть. А, да, ещё полностью отключить здание от всех сетей, включая питающую, ведь можно побочкой по электропитанию передать, поэтому надо установить в здание генераторы.
            –2

            У них за день столько не накапливается в голове.

            +25
            Ты буквально вынес их все.
              +9
              Да кому эти нули нужны? Они же ничего не значат. То ли дело — единички. :))))
                –8
                Это не информация. Нет способа вывести из них какие либо знания.
                  +6

                  Этг информация, она уменьшает информационную неопределённость в 2 раза. Примерно так было в школьном учебнике информаци про биты :)

                    +1

                    Нам преподаватель объяснял разницу между информацией и данными. Думаю, ваш собеседник именно на это намекает.

                +7
                И коррупция должна стать неприличной, ага.
                  +25
                  Это точно тот же самый банк, в котором карточки сотрудники выдают не в конвертах, а руками из открыто лежажей перед сотрудником кучки карт?)
                    –1
                    Скажу в защиту: это относится только к _перевыпускаемым_ картам, не к новым. Второе: они не активированы, активируется она только после вставки в банкомат и ввода ПИН-кода, который знает _только_ клиент (он совпадает с оным от старой, истекшей карты). Такая ситуация во _всех_ банках. Хммм. А может даже и ко всем картам, даже новым. Вроде как сейчас Пин код придумываешь сам при активации новой карты (в банкомате) или вообще меняешь в любой момент через приложение (Тинкофф).
                      +16
                      На карте есть имя, год, ее номер и код. Этого достаточно, если пройдет верификация внутрення, например, оплатить товар на сайте Амазона :)
                        –29
                        Карты НЕ АКТИВИРОВАНЫ. До активации они не существуют.
                          +40

                          Но ведь после активации они ВНЕЗАПНО начинают существовать.

                            0

                            Да. Это большая дыра в безопасности. Хорошо, в основной своей массе, сотрудники честные люди, но все же...

                          0

                          а CVV? Это, вообще, пушка тогда.

                            +2
                            вы карточку ни разу не делали?) естественно он там напечатан
                              –1

                              а вот не факт, не на всех он есть

                            –2
                            1) есть 3d secure, т.е. вас во время платежа переадресует на сайт где нужно ввести код из смс 2) на амазоне когда я пробовал платить, то платёж висел почти сутки, может из-за банка ну и сумма там была не маленькая, т.е. было достаточно времени позвонить в банк. ну и 3) я думаю всё это приезжает в банк запечатанным и дальше везде висят камеры, если работник решит переписать, то его спалят в итоге
                              +6

                              1)3d secure необязателен. Продавец решает, использовать ли его. Некоторые продавцы не требуют этого.
                              Да, тут есть некоторое доверие, плюс механизмы поиска виноватого, если доверие вдруг не оправдывается.
                              3) работник может запомнить всё, что нужно; полагаю, этот навык легко тренируется.

                              0
                              и дальше везде висят камеры

                              И в курсе становится не только сотрудник, но и оператор видеонаблюдения… И все, имеющие доступ к видеозаписям… Дырка в безопасности, это как дырка в презервативе. Может быть незаметной, но вот последствия…
                                0
                                смысле переписать? Это же можно просто запомнить при большом желании. Ну и что, что висит сутки. Вы то откуда узнаете об этом. Он так и провисит, если уведомление пропустить
                              +3
                              Такая ситуация во _всех_ банках.

                              Это очень сильное утверждение, для опровержения которого достаточно привести пример. Или нужны дополнительные граничные условия. Например, может быть так делают в России — это первое граничное условие. И в период времени — второе граничное условие.
                                –2
                                Ну во всех имеется в виду, конечно, в России. Так уже кучу лет, например, выдают карты в МКБ (лежит стопка карт).
                                +2
                                Не во всех. Банк «Санкт-Петербург», например, выдаёт перевыпускаемые карты в конвертах, и идущий к ней пин не совпадает со старым.
                                  +5

                                  Банк которым пользуюсь я, доставляет карты в конверте курьером

                                    0
                                    Скажу в защиту: это относится только к _перевыпускаемым_ картам

                                    Кстати, расскажите, пожалуйста. Сбер при перевыпуске выдаёт карту с тем же номером, но с другим сроком. Товарищ из РФ говорит, что такого ещё не видал. Я в Украине никогда такого не видел тоже. Это вообще как? Разве при перевыпуске не должны выдавать карту с новым номером?
                                    У меня теперь две карты с одинаковым номером и всеми надписями кроме срока и CVV. Новая карта с пейпассом, старая без. Обе активны (по идее? Только что понял, что ещё не проверял. Надо проверить завтра).
                                      +1

                                      Лично такое получал в газпромбанке лет 10 назад. Тот же номер, другой срок с cvv

                                        0
                                        Всегда в Сбере так было, да и в других банках, если обычный перевыпуск по окончании срока действия, номер карты не меняется. В момент перевыпуска старая перестает действовать.
                                          +2
                                          ВТБ и Сбер: при плановом перевыпуске номер карты не меняется. Сбер: при внеплановом перевыпуске (утеря карты) номер карты тоже не меняется. Работоспособность старой карты не проверял, правда, сразу уничтожал после получения новой.
                                            0
                                            Сбер: при внеплановом перевыпуске (утеря карты) номер карты тоже не меняется

                                            Меняется.

                                              0
                                              Мой комментарий основан на моём личном опыте, примерно 3 года назад. Возможно, сейчас ситуация поменялась, я не сотрудник Сбера, так что не в курсе последних новостей.
                                                0
                                                я работал там 10 лет назад, уже тогда менялся номер при досрочке.
                                                +1
                                                Я даже больше скажу. При перевыпуске потерянной карты они даже срок действия карты не меняют.
                                                Столкнулся с этим в июле этого года. Пришлось заказать новую карту, а старую заблокировать.
                                                  0

                                                  В июле этого года — потерял карту, получил с новым номером и сроком.
                                                  Сбер, да.

                                                    0
                                                    Присоединяюсь. Август, Сбер — новый номер, cvv, ПИН, срок, в конверте.
                                                      0

                                                      В общем "Сбер Шредингера".
                                                      И меняет и не меняет.

                                                    0
                                                    Значит при перевыпуске указали другую причину. Например: техническая неисправность. Но возможно это все из-за вечно глючного софта, который пилят-пилят, а потом меняют на новый, и опять начинают допиливать бесконечно.
                                                    0

                                                    а вот и нет, не меняется ни номер карты, ни ПИН-код. только дата и cvc)))
                                                    проверено этим летом в сбере.

                                                    0
                                                    Плановый перевыпуск — номер карты не меняется, меняется дата и CVC
                                                    Внеплановый перевыпуск, если до окончания срока еще много (более скольки-то месяцев) — меняется номер и CVC, дата не меняется.

                                                    Крайне странно, если у вас не сменился номер при внеплановом.
                                                      0
                                                      У меня при внеплановом не менялся только по причине неработоспособности карты.
                                                      +2
                                                      У меня такая же ситуация с картой (кредитной) одного небольшого американского банка. Добавлял authorized signer к своей существующей кредитной карте, банк заодно «перевыпустил» и мою (пришли просто две карты), хотя до окончания срока действия еще год.
                                                      В результате у меня на руках 3 карты с одинаковыми номерами, две из них с одинаковым именем (моим), но разным сроком действия, одна с другим именем, но со сроком действия, совпадающим с моей «перевыпущенной» картой. Все с разными CVV. Все три прекрасно работают что онлайн, что оффлайн.
                                                        0
                                                        Только при перевыпуске номер остаётся прежний, при блокировке — получите карту с новым номером и в конверте с пином.
                                                          0

                                                          Так делают многие банки даже в ЕС, даже на кредитки.
                                                          Меняется только срок действия, и, возможно, CVV.

                                                          0

                                                          Нет. Карты студентам новые так же выдают. Которые в совместных проектах с вузами

                                                            0

                                                            Номер карты, срок действия, имя, фамилия и CVV код не меняются весь срок жизни карты, а по ним можно оплатить покупки в некоторых магазинах, без второго фактора от платёжной системы.

                                                              +8
                                                              это относится только к _перевыпускаемым_ картам, не к новым

                                                              Это не оправдывает такое безалаберное отношение к этим картам.
                                                              Второе: они не активированы

                                                              Достаточно просто сфотографировать карту с двух сторон и подождать пока её активирует владелец, чтобы делать через неё покупки в интернете.
                                                              Такая ситуация во _всех_ банках

                                                              Получал за последние пять лет карты в трёх российских банках.
                                                              Везде выдавали в запечатанном конверте.
                                                                0

                                                                Вы не правы. Не следует обобщать свой личный опыт на все. Неделю назад получал зарплатную карточку в сбербанке (г. Москва, самый центр): сотрудница банка вынесла ее в руках без конверта с прикрепленной скрепкой бумажкой с пин-кодом, после чего производила странные манипуляции в виде вставки ее в некий терминал для банковских карт, который стоял у нее на столе.


                                                                Номер карты, дату выпуска и CVV код она легко могла запомнить, а то и зафоткать в каком-нибудь проходе по пути. В ВТБ, к слову, было то же самое.


                                                                А вот курьер Тинькофф привез мне запечатанный конверт, попросил убедиться в целостности и дал возможность самостоятельно вскрыть.

                                                                  +1

                                                                  Ну блин, конверт ещё не показатель, в него карту такие же люди кладут. Тут разница только до какого этапа банк сотрудникам доверяет.
                                                                  И если в большинстве банков не пользуются конвертами для карт это значит что нет прецедентов, которые потребовали бы запечатывания карт в конверты.

                                                                    +2

                                                                    а если будут прецеденты кражи с карты, то автоматом будет виноват владелец карты, потому что передал данные карты третьему лицу, а доказать что это произошло еще в банке он вряд ли как-то сможет

                                                                      0

                                                                      Это проблема глобального подхода "в краже виноват клиент".

                                                                        0

                                                                        Это если введён пин-код

                                                                          0

                                                                          Даже в вашем самом плохом сценарии, когда банк отказывается возместить потери клиента, сам факт кражи не означает что все кончено. Это означает что расследование преступления вышло за пределы юрисдикции банка и теперь им должна заниматься полиция. И в каких-то случаях это работает и деньги возвращают.

                                                                          0

                                                                          Вы уверены, что в конверт кладут такие же люди?
                                                                          Я уверен, что, например, ПИН никакие люди не кладут.

                                                                            0

                                                                            А где его кладут в конверт? Пин меняется в банкомате, да и то он нужен только при покупке более 1000 руб(сейчас все карты бесконтактные), а у тинькова вообще не нужен, при любой сумме.
                                                                            Да и сам по себе пин ничего не даст без карты.

                                                                              0

                                                                              Вы очень легко обобщения делаете

                                                                                0
                                                                                Пожалуй да, зря я начал додумывать то что вы хотите сказать. Давайте начнем сначала
                                                                                >Я уверен, что, например, ПИН никакие люди не кладут.
                                                                                А кто кладёт?
                                                                          0
                                                                          В следующий раз просто попросите принести ДРУГУЮ карту, уже в запечатанном конверте, а если откажется — попросите предоставить инструкцию, заставляющую сотрудницу поступать именно таким образом. Можно также напомнить, что все действия и разговоры в банке записываются. Мы сами отвечаем за свою безопасность.
                                                                            0

                                                                            Карты эмбоссируются не в отделении и другой у сотрудника точно не будет. Не понятно, чего вы этим добиться хотите.


                                                                            Работник банка не обязан кому попало свои инструкции показывать. Более того, они легко ДСП могут быть.


                                                                            Можно также напомнить, что все действия и разговоры в банке записываются.

                                                                            Это кто вам такое сказал?

                                                                              –1
                                                                              По видео — гуглится легко www.banki.ru/services/responses/bank/response/10069522 срок хранения видео с камер в офисах 14 суток. Про разговоры — читайте, например, там: acitadel.ru/2018/03/30/proizvodstvo-i-ispolzovanie-audiozapisi-v-otnoshenii-grazhdan-i-dolzhnostnyx-lic и делайте выводы для себя.
                                                                                0

                                                                                Вы дайте пруф о том, что в отделении банков пишутся все разговоры, а не левые ссылки.
                                                                                По остальным вашим фантазиям комментарием не будет?

                                                                                  0
                                                                                  Как рассказывал мой знакомый, имя которого я уже забыл, звук пишется на камеры, которые висят на рабочим местом (следить за сотрудниками, а не обстановкой в целом), но качество его такое, что вряд ли, что то разобрать из-за фонового шума (микрофоны в камерах ненаправленные и самые дешевые — все мы знаем, как проводятся «госзакупки»).
                                                                                  Клиентам никто ничего предоставлять не будет, естественно, тем более инструкции, которые только в электронном виде, безбумажный док оборот ведь. Видимо господин Dotarev считает, что ему все должны и обязаны и банк это вполне поощряет, кстати, но на самом деле это так.
                                                                                  Пиши письма и жалобы, на что вам ответят, что «нам ваше мнение очень важно».
                                                                                    +3
                                                                                    считает, что ему все должны и обязаны

                                                                                    На самом деле, нет, и не думаю что я написал такое. Немного поясню свою мысль. Думаю, что нет инструкций, обязывающих оператора распаковывать конверт и производить какие-либо действия с картой. Если это так, действия сотрудницы в данном случае — это самодеятельность на местах. Напомнив о производящейся записи — Вы напомните сотруднице, что служба безопасности, в случае необходимости, может проверить производимые ей действия и разобраться в правомерности. (Вам, разумеется, никто никаких записей не предоставит, и это не имелось в виду. Зато Ваше заявление обязательно рассмотрят.) Но вот забирать распечатанную карту с открытым пин-кодом не советую. Конечно, у отделения банка нет в запасе пачки карт в Вашими данными. Так подождите перевыпуска. Или смените банк, даже зарплатная карта может быть в другом банке, надо только написать заявление в бухгалтерию своего предприятия. И кстати, если карта не именная, то в запасе вполне может быть другая.
                                                                                    Могу привести пример из личного опыта. Очередь человек на пятьсот на замену зарплатных карт, я примерно в средине, действие происходит на нашем предприятии. Сотрудник банка просит каждого распаковать конверт, сообщить пин-код, после чего вставляет карту в считыватель, подключенный к своему ноутбуку и производит какие-то действия. Доходит очередь до меня, диалог:
                                                                                    — Пожалуйста, распакуйте Вашу карту и сообщите пин-код.
                                                                                    — Зачем?
                                                                                    — Мы активируем карту.
                                                                                    — Действительно? И самостоятельно я не смогу это сделать?
                                                                                    На это возражений нет. Разумеется, с картой никаких проблем не возникло. Распаковал дома, запомнил ПИН, активировал в ближайшем банкомате. Удручает другое. Я не видел людей в очереди до себя, которые бы поступили аналогично. Все бездумно доверяют самое сокровенное — свой кошелек «чужому дяде». Поэтому и здесь смолчать не смог.
                                                                                      +2
                                                                                      Dotarev Я извиняюсь, если не правильно вас понял.

                                                                                      Самодеятельность на местах, очень просто объясняется — активация карт, а не только их выдача, входит в плановые показатели сотрудника. Ему надо не только выдать, но и активировать, подключить мобильный банк, личный кабинет и еще кучу всяких автоплатежей.

                                                                                      Поэтому, фактически сам банк заставляет сотрудников проделывать такие штуки. Для чего это сделано? Если не активировать карту, то ее можно закрыть без оплаты годового обслуживания, все просто. Конечно, если написать жалобу, то сотруднику прилетит и банк сделает удивленные глаза, но каким образом сотруднику банка выполнять свои KPI, которые сами же сверху и спустили? В скриптах сотрудник должен ТАК рассказать с горящими глазами о продуктах банка, что все сразу побегут их оформлять. Но это все только во влажных мечтах «эффективных менеджеров». Реальность — она другая.

                                                                                      Все планы делаются в банках на грани фола (но замечу, что среди моих коллег на то время (до грефа и первые годы, до массовых сокращений), почти все были настолько порядочными и у них мысли даже не было, запомнить, сфоткать или что то украсть), но по отзывам бывших и не очень коллег, практически везде так. Кому присесть на уши, кому заглянуть в глаза, а кому помогает расстегнутая пуговичка и немного задравшаяся юбка и чулки (да-да, была у меня такая коллега, лучшая в области между прочим по выполнению плана! мужики слюни пускали и лотереечки и кредиты брали пачками).

                                                                                      А вообще, пообщался тут с одним бывшим коллегой в баре (работали в разное время — он относительно недавно) вся эта суета с базами клиентов, которая была в прессе недавно, скажем так — мелочи, но как пишут в объявлениях, своя клиентская база будет преимуществом при трудоустройстве, если вы понимаете о чем я. Так, что то опять дед завелся и навыдумывал, пойду приму таблетки.
                                                                                  0
                                                                                  Вообще-то норматив видеоархива в банке — месяц.
                                                                                  Голос и видео гарантированно пишутся в кассе и со стороны кассира и со стороны клиента (это какие-то требования ЦБ), остальное по технической возможности.
                                                                                  Ну и пишут обычно клиентов, а не сотрудников, более того в законодательстве РФ прямо указано что нельзя вести видеонаблюдение за конкретным сотрудником (любой организации, не только банка), максимум только общее обзорное видео кабинета если в нем сидит несколько человек.
                                                                                    0
                                                                                    в законодательстве РФ прямо указано что нельзя вести видеонаблюдение за конкретным сотрудником

                                                                                    А ссылку можно? А то google выдает противоречивые статьи.
                                                                                      0
                                                                                      Да гугл тут не помощник, такие вещи надо в гаранте смотреть и аналогичных системах. Но в любом случае мои данные устарели и сейчас это возможно, при условии получении письменного согласия на видеонаблюдение от работника, но тут уж дело техники, несогласного можно уволить легально на основании его несогласия.
                                                                                        0
                                                                                        А если виден кассир, его стол и техника, он сам и пол кассового узла, а у клиента видны только руки и максимум грудь и ниже, это конкретный сотрудник или обзорное видео?) а уволить легко, любого кассира можно еженедельными внезапными ревизиями кассы. Кто работал с наличкой, тот знает о чем я, плюс-минус копейка и на улицу легко, а то и УК РФ ст.160 могут при особом желании.
                                                                                          0
                                                                                          Странно что мне не удалось найти того положения, но там было что-то вроде того что наблюдение не должно быть за конкретным человеком, т.е. если сегодня дежурит один кассир, завтра другой — значит все нормально.
                                                                                          А увольнение, судя по последней практике, можно вести легально: сотрудника уведомляют что изменяются условия труда и он должен подписать согласие на видеонаблюдение, он отказывается и после течении 2х месяцев можно на основании этого уволить.
                                                                                          Вообще у нас можно любого уволить, сократив его должность, различные приемы для принуждения увольнения по собственному желанию используются только для того чтобы не платить оклад за 2 месяца, положенный после сокращения.
                                                                            0
                                                                            Пин код можно теперь менять в приложении даже для неполученной карты (и активировать её, но вставить дамочке её все равно придется). Есть проблема, мне выдают карты не в пакете. Но это только на моем уровне обслуживания, у обычный пользователей действительно выдают карты в конверте и пин код меняется при первом вставливании карты (т.е. конверта нет). У меня же и карта есть без конверта и пин конверт (но в защиту Сбера карта приходит отдельно от конверта, правда из-за этого мне SMS приходит, когда приезжает карта, а не пин конверт, который позже приходит, поэтому я иногда неправильно прихожу).
                                                                            0

                                                                            В Альфа банке так делают, в МКБ так делают… Во многих банках так делают. Не в кучке карт у Сбербанка проблема.

                                                                              0
                                                                              В «Альфе» в свое время мне без конверта выдавали. Из такой же общей кучи.
                                                                              0
                                                                              В альфабанке так же
                                                                                0
                                                                                А где-то карточки выдают в конвертах (кроме присланных по почте)?
                                                                                0
                                                                                вынести ни один бит информации

                                                                                Правильно, чего на мелочи размениваться — тащить так гига и петабайты!
                                                                                  +2
                                                                                  Ну давай, расскажи мне, на сколько ты повысил бюджет на безопасность, Гриф?
                                                                                    +1
                                                                                    Заранее сочувствую админам дочек Сбера, на которых сверху свалятся новые инструкции.
                                                                                      +19
                                                                                      Мне сотрудница Сбера подмигнула — вот я и вынес бит информации.
                                                                                      Как тебе такое, Герман Греф?
                                                                                        +3

                                                                                        Если не подмигнула, то вы тоже вынесли этот же бит, но в противоположном значении

                                                                                          0
                                                                                          Бэримор выносит несколько бит информации

                                                                                          +1
                                                                                          Мы, в конце концов, создадим такую систему, когда невозможно будет из банка вынести ни один бит информации несанкционированно.

                                                                                          Предлагаю идею: за каждый вынесенный бит Сбербанк будет жертвовать 1% от прибыли в несвязанные с ним благотворительные организации. И для безопасников стимул, и людям полезно.


                                                                                          А если серьёзно, то мне кажется, что это выглядит как попытка заблаговременной рекламы своей абстрактной "платформы": через пару лет, возможно, Сбербанк будет ходить по разным (гос)компаниям и говорить, что они разработали надежную отечественную многоцелевую безопасную корпоративную платформу, котороя уже обслуживает Сбербанк, хотите такую же себе?

                                                                                          +6
                                                                                          Бла бла бла, дайте нам ещё несколько миллиардов, куй железо пока горячо.
                                                                                          Как выносили, так и будут выносить, ни одно решение в принципе не поможет это пресечь. Не смогу вынести из Сбера — будут выносить из партнёров, кол-центра (как в этом случае), с коллекторских агентств и так далее. И хрен что Сбер с ними сделает.
                                                                                            +1
                                                                                            из «Сбербанка» нельзя будет вынести ни один бит информации

                                                                                            К счастью, такого не будет. Просто повысится стоимость оказания информационных услуг населению — ведь придется держать на зарплате какого-нибудь безопасника.
                                                                                              –1
                                                                                              1 бит выносится с вероятностью 50% с одной попытки, с вероятностью 100% — с двух. Кое-кому пора обратно в школу на уроки информатики и стохана…
                                                                                                +9

                                                                                                1 бит, верный с вероятностью 50%, — это ровно ноль бит информации. Да, кое-кому и правда пора обратно на уроки информатики...

                                                                                                  –1
                                                                                                  Некорректно выразился. 1 бит можно угадать — всего два варианта. И защищать информацию при такой степени угадываемости не имеет смысла.
                                                                                                    +2

                                                                                                    И какую информацию это даст?

                                                                                                      0

                                                                                                      Информация о том, что некий матч договорной и определённая сторона точно выиграет — меньше 1 бита (при некоторых реалистичных предположениях) и всего 2 бита при максимально нереаличтичных. Несмотря на то, что, как вы говорите, "можно угадать — всего два варианта", такой бит (ну или пара битов) информации дорого стоит и очень даже защищается.

                                                                                                    –2
                                                                                                    Если интуиция не подсказывает что вы несете чушь — загляните в вики за определением информации.
                                                                                                      0
                                                                                                      См. выше.
                                                                                                    0
                                                                                                    несанкционированно

                                                                                                    просто добавят к всем логам «одобряем», делов-то. а к всем утечкам — это в интересах следствия, а какого — секрет.
                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        +17

                                                                                                        Стивен Хокинг считал, что ни одного бита информации нельзя извлечь из чёрной дыры. Впоследствии от признал ошибку и изменил своё мнение. Но Стивен Хокинг не знал про Сбербанк!

                                                                                                          +1
                                                                                                          Нельзя не значит что невозможно. Он хороший оратор.
                                                                                                            0

                                                                                                            Т.е. раньше, выходит, было можно?

                                                                                                            +5
                                                                                                            Случай из жизни (Дисклеймер: Если чего, это я вру и всё буду отрицать и вообще был пьян, нёс чушь)

                                                                                                            Прилетел самолёт с тушёнкой на срочке. через каждый метр по обе стороны по офицеру вплоть до кузова машины. Ни одной банки налево! Все корманы на проверку!
                                                                                                            Вечером вся база жрала тушёнку.
                                                                                                              0
                                                                                                              Как?
                                                                                                                0
                                                                                                                В трусы можно спрятать. Пока несешь — банку в кусты, потом кого-нибудь послать собрать…

                                                                                                                У меня другой случай был. Принимал экзамен в аудитории, где стояли новые парты типа «фанерка на четырех ножках». Жара, лето. В аудиторию заходит девочка микро-формата с юбкой типа «ремень, из-под которого ноги торчат». Вроде все идет по плану, и вдруг посреди экзамена у той девочки с грохотом падает «базовый» учебник по дисциплине — томик формата почти А4 на 800 страниц. Пятнадцать лет прошло, а я все думаю ту же думу: «Как???» ;-)
                                                                                                                  0
                                                                                                                  За ремень был заткнут?
                                                                                                                    0
                                                                                                                    Там не было ремня — там была ну очень короткая юбка. Прятать некуда.
                                                                                                                      0
                                                                                                                      Имелось в виду за пояс юбко-ремня заткнут и майкой сверху прикрыт.
                                                                                                                  +6
                                                                                                                  Уже со склада где всё выгрузили и офицеры уехали. Зачем прятать банку, когда можно десяток ящиков. Дыры в безопасности бывают размером с ворота.
                                                                                                                    0

                                                                                                                    через офицеров же

                                                                                                                  0
                                                                                                                  имхо, в интернете данных слитых уже столько, что беспокоиться из-за очередной утечки смысла нет
                                                                                                                    +1
                                                                                                                    Каждый день в банковском секторе появляются новые данные — кто-то выпускает новую карту, открывает новый счет или берет новый кредит. Реже — меняются паспортные данные. Через 5 лет база, слитая из Сбера, станет менее актуальной, поэтому новые утечки продолжатся.
                                                                                                                      0

                                                                                                                      Судя по моим картам срок их службы 2 года, так что база карт станет наполовину неактуальной через год, а через 2 года она протухнет полностью. И это в идеальных условиях, если никто карту не закроет/потеряет/перевыпустит

                                                                                                                        +1
                                                                                                                        Какие-то у вас карты быстротухнущие.
                                                                                                                        Перевыпущенные в в прошлом году альфовские — пять лет срок годности.
                                                                                                                        Перевыпущенная в этом году ВТБшная — тож.
                                                                                                                          0

                                                                                                                          Сберовские смотрел

                                                                                                                    0
                                                                                                                    Греф и Сбер это такие Гевин Бэлсон и Hooly из «Кремниевой долины».
                                                                                                                      +1

                                                                                                                      А вынос информации распространяется на электромагнитное излучение? Идеально непрозрачные стены — это, наверно, дорого.


                                                                                                                      Или банк полностью откажется от отделений? Но тогда надо бы отказаться и от удалённого обслуживания…

                                                                                                                        0
                                                                                                                        Так вот почему от сотрудников Сбера ответа никогда не добиться в случае проблем — информацию стерегут.
                                                                                                                          0
                                                                                                                          Я правильно понял что безопасники в Сбере остались без премий в этом году?
                                                                                                                            +1

                                                                                                                            Может, со штрафом? Премий и так могло не быть, их же дают за хорошую работу, когда есть лишние деньги, а лишних денег не бвает. Сова- эффективный менеджер подтвердит.

                                                                                                                              0

                                                                                                                              Возможно что наоборот, но вот геморроя у прочих сотрудников точно прибавилось.

                                                                                                                              0
                                                                                                                              Зато если ты решил придти к ним в отделение, то несотрудники могут там совершенно свободно стоять у тебя за спиной, пока ты общаешься с тёткой, слушать ваш разговор, подсматривать в твои документы, наблюдать как ты вводишь пинкод (который зачем-то просят вводить на каждый чих) и т.п.
                                                                                                                                +8
                                                                                                                                Учреждение может быть любое, хоть самое-самое защищенное, там может быть охрана, датчики движения-тепла, лазеры и прочее, прочее, прочее.
                                                                                                                                Но когда заходит Солнце появляется она: повелительница всех кабинетов и владелица всех ключей от всех дверей — уборщица.
                                                                                                                                  0

                                                                                                                                  Ну ситуации могут разные быть, самые умные злоумышленники могут не воровать доступные им данные, а тащить данные у коллег (из документов оставленных на столе или из информационных систем на незаблокированном компе например). Поэтому есть политики чистого стола, которые обязывают всех прятать все под ключ перед уходом и блокировать комп. И безопасники гоняют за это.

                                                                                                                                    0
                                                                                                                                    Классика же!
                                                                                                                                    Сразу вспоминаются Жеглов и Шарапов.
                                                                                                                                    0
                                                                                                                                    О да, классика!
                                                                                                                                    0

                                                                                                                                    Такие заявления вызывают лишь улыбку, а не уверенность в безопасности сбербанка.

                                                                                                                                      +2
                                                                                                                                      Ну хоть что-то у них в безопасности!
                                                                                                                                        +6
                                                                                                                                        «Осел, нагруженный золотом, откроет ворота любой крепости.»

                                                                                                                                        Если при официальной зарплате в регионе например в 25-30 тыс есть возможность заработать перепродажей данных за пару дней например 300 тыс то хочет того Греф или не хочет — данные будут проданы

                                                                                                                                          +6
                                                                                                                                          Квантовый Сбербанк: «У нас выносят информацию не битами, а кубитами!»
                                                                                                                                            +2
                                                                                                                                            А это не тот ли Греф, который говорил что «Век айтишников закончился. Сейчас век очень энергичных людей». Ага, видимо эти не в меру энергичные люди как раз и выносят инфу )
                                                                                                                                              +1
                                                                                                                                              нельзя будет вынести ни один бит информации


                                                                                                                                              Эта фраза — уже бит информации. Разглашённый самим Грефом.

                                                                                                                                              Если бы действительно нельзя было вынести ни один бит информации, тогда никто бы не знал, можно ли вынести хотя бы бит информации.
                                                                                                                                                0

                                                                                                                                                "Если бы хамелионы лучше делали бы свою работу, мы бы не узнали о существовании хамелионов"

                                                                                                                                                  0
                                                                                                                                                  Если бы действительно нельзя было вынести ни один бит информации, тогда никто бы не знал

                                                                                                                                                  есть ли она там вообще.
                                                                                                                                                  0
                                                                                                                                                  Для сравнения.

                                                                                                                                                  jobs.netflix.com/culture

                                                                                                                                                  We share documents internally broadly and systematically. Nearly every document is fully open for anyone to read and comment on, and everything is cross-linked. Memos on each title’s performance, on every strategy decision, on every competitor, and on every product feature test are open for all employees to read. There are some leaks, but the value of highly-informed employees is well worth it.
                                                                                                                                                    +2
                                                                                                                                                    Тут ничего не написано про клиентские данные.
                                                                                                                                                      +1
                                                                                                                                                      Клиентские данные — это частный случай. Смысла превентивно закручивать гайки я не вижу.

                                                                                                                                                      Приведу другой пример. У каждого человека есть теоретическая возможность наброситься и убить другого человека. Но в современном обществе никто не ходит по улице с принудительно связанными руками «как бы чего не вышло». Ограничителем выступает здравый смысл, а также УК РФ и неотвратимость наказания.

                                                                                                                                                      Точно так же, если работнику предлагают триллион долларов за вынос данных, которые выносить нельзя, он должен четко понимать, что будет неизбежно привлечен к ответственности согласно УК и останется у разбитого корыта без альтернатив.
                                                                                                                                                        –2

                                                                                                                                                        Ограничителем в РФ является доступность орудий убийства, и это играет немаловажную роль.
                                                                                                                                                        Что не мешает довольно большому количеству убийств.
                                                                                                                                                        И безальтернативность тоже сомнительна.

                                                                                                                                                          +3
                                                                                                                                                          Вы знаете, что большая часть убийств совершается кухонными ножами?
                                                                                                                                                            0
                                                                                                                                                            … а также в состоянии алкогольного опьянения. Так запретим же алкоголь и кухонные ножи.

                                                                                                                                                            Это иррационально. Безопасность, законность и правопорядок — это персональная ответственность граждан (соблюдать и не нарушать), с одной стороны, и многочисленных правоохранительных структур (обеспечивать и бороться с нарушителями), с другой стороны. А взять и запретить — дело нехитрое.
                                                                                                                                                              0

                                                                                                                                                              Нет, не знал, есть пруф?

                                                                                                                                                        +3

                                                                                                                                                        И что, нетфликс шарит платежные или персональные данные своих клиентов между всеми сотрудниками?
                                                                                                                                                        Как они ещё не закрылись в таком случае?
                                                                                                                                                        Или таки речь идёт о внутренней документации, базах знаний и прочих чисто их собственных данных?

                                                                                                                                                          0

                                                                                                                                                          Не оспариваю дух цитируемого замечу:
                                                                                                                                                          1) Не стоит слепо верить маркетинговым заявлениям на сайте призванным заманить на работу. Реальность может сильно отличаться. Знаете, как в анекдоте "Так и вы говорите"
                                                                                                                                                          2) Политика по отношению к служебным данным и персональных данных (клиентов, контр-агентов и сотрудников) должны отличаться.

                                                                                                                                                            0
                                                                                                                                                            Я работал в большой компании, где «share internally broadly and systematically». Пока зачем-то не понадобилось сравнить две копии документа — и оказалось, что компания активно использует footprinting для всего Office, PDF и так далее.
                                                                                                                                                            0
                                                                                                                                                            Греф: из «Сбербанка» нельзя будет вынести ни один бит информации
                                                                                                                                                            #мочить_в_сортире
                                                                                                                                                              +2
                                                                                                                                                              «Нам нужно радикальным образом пересмотреть наше отношение к киберзащите наших внутренних ресурсов»
                                                                                                                                                              … меры информационной безопасности ужесточились настолько, что сотрудники жалуются на «замедление рабочих процессов»

                                                                                                                                                              По ходу, сбербанк решил вернуться к бумажному документообороту.
                                                                                                                                                                0

                                                                                                                                                                Пора бы уже всем банкам понять, что невозможно технически исключить вынос данных из любого учреждения. Даже без тренировки можно каждый жрёт запоминать данные одной карты и выписывать себе дома на бумажку. Необходимо работать с прошивкой этих самых носителей, то есть людей. Могу предположить, что именно так действуют спецслужбы.

                                                                                                                                                                  0
                                                                                                                                                                  Абсолютная техническая защита — это утопия, а вот продвинутый аудит — да, выглядит подъемно. Работать нужно с головами — чтобы в мыслях ни у кого не было идеи, что можно что-то выносить. И не только потому, что быстро найдут и строго накажут, а потому что негоже.
                                                                                                                                                                    0
                                                                                                                                                                    Возможность наказания тоже отметать нельзя — это очень важный фактор в профилактике правонарушений.
                                                                                                                                                                  0
                                                                                                                                                                  Мне одному кажется, что за утечки подобного рода никто почему-то не несёт ответственность? Особенно, собственно, банк?
                                                                                                                                                                    0

                                                                                                                                                                    Стрелочники несут, не сомневайтесь.

                                                                                                                                                                    +1

                                                                                                                                                                    Довольно глупое высказывание. Хотя за стремление обеспечить безопасность надо похвалить.


                                                                                                                                                                    Герману Оскаровичу можно посоветовать начать с прочтения небольшого эссе Брюса Шнайера Психология Безопасности (в двух частях. англ.).
                                                                                                                                                                    https://www.schneier.com/essays/archives/2008/01/the_psychology_of_se.html
                                                                                                                                                                    https://www.schneier.com/essays/archives/2008/01/the_psychology_of_se2.html


                                                                                                                                                                    Помогает отделить важное от неважного.

                                                                                                                                                                      +1
                                                                                                                                                                      А коллекторов они в штат возьмут? утекла как раз база смежников сбербанка, которую они добровольно передали.

                                                                                                                                                                      P.s. задрали они, после этой «утечки» шквал звонков каждый день и не прекращается.
                                                                                                                                                                        –2
                                                                                                                                                                        Вопрос к знатокам — можно ли провести операцию, зная только информацию, которая есть на карте, кроме CVV? Имеется в виду онлайн покупка.
                                                                                                                                                                          0
                                                                                                                                                                          амазон не спрашивает CVV.
                                                                                                                                                                            0
                                                                                                                                                                            стим помоему тоже
                                                                                                                                                                              0
                                                                                                                                                                              нет, стим запрашивает
                                                                                                                                                                          0
                                                                                                                                                                          Ни бита из сбербанка! Прокатит только если Сер — монолитная структура, но серваками занимаются в сторонних конторах, если там текло, то это и не сбер вовсе.
                                                                                                                                                                            0

                                                                                                                                                                            И если сотрудники там живут и их никуда не пускают, у них нет средств связи с внешним миром… тогда да!

                                                                                                                                                                            0

                                                                                                                                                                            Пафосно. Круче черной дыры.

                                                                                                                                                                              0

                                                                                                                                                                              Тут в первую очередь косяк отдела кадров раз приняли людей на ответственные должности способных на преступления. Если сейчас начнут сильно затягивать гайки то вполне возможно что люди оттуда просто побегут, тут нужно больше заботиться о материальном стимулировании работников.

                                                                                                                                                                                +2
                                                                                                                                                                                Это не так работает, просто деньгами это не залить.
                                                                                                                                                                                В банке нет космических зарплат (и не будет), просто оклад обычно белый и на 10% выше средней по рынку. Именно это позволяет при найме (и последующей работе) отбирать ответственных людей, которые умеют осознавать последствия своих действий (например возмещение ущерба от незаконных действий и нарушения NDA) и поэтому таких действий в 99.999% не случается.
                                                                                                                                                                                Ну а при величине Сбера и даже того самого 0.001% хватает чтоб мы обсуждали здесь подобные темы регулярно :)
                                                                                                                                                                                Люди побегут только если изменится оплата труда (например придется работать больше времени за те же деньги или уменьшится оклад), но это вряд ли произойдет, тк трудовой кодекс не даст перерабатывать. Скорее всего в сбере переработают какие-то процессы, да дополнительных контролеров наймут
                                                                                                                                                                                0
                                                                                                                                                                                невероятно конечно, но если вдруг таки вынесут 1 бит информации — подаст ли Греф в отставку за вранье?
                                                                                                                                                                                  0
                                                                                                                                                                                  «Фантастика в другом отделе» )
                                                                                                                                                                                  0
                                                                                                                                                                                  как бы — население Росии 140 млн. чел, последняя утечка данных — 60 млн. чел. Грубо говоря — каждый 2-ой житель страны. Соответственно уже слита ВСЯ база, соответственно воровать больше нечего — все и так в сети)
                                                                                                                                                                                    0
                                                                                                                                                                                    Борьба по защите перс.данных примерно этим и закончится, но люди и законодатели этого ещё не поняли.

                                                                                                                                                                                    Защита информации вообще дело небогоугодное. Ещё классики поняли: мы все движемся к ноосфере, когда все про всех будут всё знать.

                                                                                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                                                  Самое читаемое