2024/02/15 12:19:31

Утечки данных из банков России

.

Содержание

Основные статьи:

Утечки данных в Сбербанке

Основная статья: Утечки данных в Сбербанке

2024

Произошла утечка данных 6 млн клиентов ВТБ

31 октября 2024 года стало известно о том, что в свободный доступ на одном из теневых форумов в интернете выложена база данных, содержащая сведения о миллионах клиентов ВТБ. Утекшая информация может использоваться злоумышленниками для организации всевозможных мошеннических схем. Подробнее здесь

Произошла утечка данных десятков тысяч клиентов банка «Зенит»

5 сентября 2024 года стало известно об утечке персональных данных десятков тысяч клиентов банка «Зенит». Похищенные сведения могут использоваться для организации персонализированных фишинговых атак и других мошеннических схем, нацеленных на кражу денег. Подробнее здесь

Сотрудник Озон-банка получил срок за продажу персональных данных за биткоины

В конце августа 2024 года Сосновский районный суд Челябинской области вынес приговор в отношении 22-летнего жителя Челябинска, бывшего сотрудника «Озон Банка». Он получил срок за продажу персональных данных клиентов организации. Подробнее здесь

2023

Объем слитых из финансовых организаций данных в России вырос втрое до 170,3 млн записей

В 2023 году из финансовых организаций в России утекло 170,3 млн записей персональных данных клиентов, что в 3,2 раза превосходит показатель предыдущего года. А в сравнении с 2021-м объем утечек информации увеличился в 57 раз. Об этом свидетельствуют данные компании InfoWatch, обнародованные в середине февраля 2024 года.

Как пишет РБК со ссылкой на материалы InfoWatch, всего в 2023 году было допущено 64 случая потери персональных данных клиентов в финансовых организациях, что на 12,3% больше, чем годом ранее. Показатели 2023 года превышают объемы утечек в 2021-м почти вдвое, отмечает издание. В публикации также говорится, что 46,9% утечек приходится на банки. Проблема также фиксируется в микрофинансовых организациях, платежных сервисах, на криптобиржах, традиционных биржах и др.

В 2023 году из финансовых организаций в России утекло 170,3 млн записей персональных данных клиентов

По словам авторов исследования, существенный рост количества утечек банковских данных в России связан с активизацией организованных групп хакеров, прежде всего — политически мотивированных хактивистов, на фоне проведения специальной военной операции РФ на Украине. Их главными задачами стали подрыв устойчивости, психологическое давление на финансовые организации и запугивание клиентов, указывают в InfoWatch.Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций 3.4 т

В качестве других причин существенного роста количества утечек в отрасли аналитики InfoWatch называют быстрые темпы цифровизации финансового сектора, а также открытие новых уязвимостей, наличие которых приводит к росту количества взломов компаний и расширению объемов скомпрометированной информации. При этом на фоне данной динамики большинство компаний не торопятся раскрывать сведения об инцидентах. Так, согласно опросу InfoWatch, 42% представителей финансовой отрасли считают, что произошедшие утечки данных признают всего от 4% до 10% компаний.[1]

В открытый доступ попали данные клиентов Альфа-банка

Хакеры выложили в открытый доступ данные клиентов Альфа-банка. Об этом 20 октября 2023 года сообщил Telegram-канал «Утечки информации». По его сведениям, в слитом файле находится 1 млн строк. Подробнее здесь

Роскомнадзор подтвердил утечку данных 1 млн клиентов МТС-банка

Роскомнадзор по итогам собственного расследования подтвердил масштабную утечку данных клиентов МТС-банка. Об этом в надзорном ведомстве рассказали в середине октября 2023 года. Подробнее здесь.

Хакеры предположительно «слили» данные клиентов МТС Банка. В самом банке кибератаку отрицают

Хакеры из группировки NLB заявили о том, что им удалось взломать защиту цифровой инфраструктуры МТС Банка и вывести большой объём личных данных его клиентов. В самом банке это отрицают.

Как указывается в публикации издания News.ru от 7 сентября 2023 года, взломщики выложили в общий доступ сразу три файла якобы с данными клиентов кредитной организации. Подробнее здесь.

В сеть попали данные 47 млн пользователей «СберСпасибо»

9 марта 2023 года стало известно об утечке данных десятков миллионов пользователей программы лояльности «СберСпасибо» от Сбербанка. Об этом сообщил профильный Telegram-канал «Утечки информации». Подробнее здесь.

2022

Число утечек данных в российском финансовом секторе выросло на 71%

Число утечек данных в российском финансовом секторе за 2022 год выросло на 71% в сравнении с 2021-м. Об этом свидетельствуют данные компании InfoWatch, обнародованные 21 февраля 2023 года.

Согласно исследованию, 70% утечек данных из компаний по причине действий их сотрудников. В общей сложности из российского финансового сектора за 2022 год утекло около 44,8 млн записей персональных данных и платежной информации (рост в 32 раза в сравнении с 2021-м), из мирового – более 627 млн записей.

Число утечек данных в российском финансовом секторе за 2022 год выросло на 71% в сравнении с 2021-м

Около половины утечек в российском финансовом секторе в 2022 году пришлась на банки (47,8%), следом за ними идут кредитные и микрокредитные организации, в которых произошло 16,6% инцидентов данного типа. При этом наиболее заметное изменение в распределении утечек состоит в резком снижении доли страховых компаний с 10,7% до 2,1%, что может быть результатом укрепления служб информационной безопасности в данных организациях.

Специалисты InfoWatch проанализировали ситуацию и с точки зрения характера актуальных угроз. Так, доля утечек данных в результате действий внешних злоумышленников (в первую очередь, хакеров) в России выросла с 21,4% до 75%, а в мире этот показатель достиг пика в 95%.

Также исследователи отметили значительный рост доли утечек информации, содержащей коммерческую тайну российских компаний. Доля этого типа информации среди утечек из российских финансовых организаций составила 13,1%. Слив платежной информации происходил в 4,3% случаев, а все остальные инциденты приходились на кражу и случайную компрометацию персональных данных.

По мнению аналитиков, одним из ключевых факторов, повлиявших на кибербезопасность финансового сектора, стало начало специальной военной операции РФ на Украине, после чего резко вырос уровень угроз как в России, так и во всем мире.

Ущерб от утечек данных из банков в России снизился в 10 раз

Ущерб от утечек данных из банков в России за год снизился в 10 раз. Об этом в начале декабря 2022-го сообщили в компании «РТК-Солар», сообщили в компании «РТК-Солар», занимающейся разработками в сфере информационно безопасности.

Согласно исследованию, максимальный ущерб от утечек информации в финансовом секторе к концу 2022 года составил 1 млн рублей, тогда как годом ранее показатель достигал 10 млн рублей.

Ущерб от утечек данных за год снизился в 10 раз

В опросе приняли участие представители более 350 российских компаний из финсектора. Половина респондентов сообщили, что сохранили в бюджете от 10 млн до 100 млн рублей благодаря внедрению DLP-системы (Data Leak Prevention, направлена на предотвращение утечек информации). В 2021 году лишь 36% компаний оценивали потенциальную экономию средств от предотвращенных утечек более чем в 10 млн рублей.

Снижение предельного размера ущерба и одновременный рост экономии от DLP-систем в «РТК-Солар» объясняют тем, что все больше организаций используют надежные средства защиты от утечек, отмечает старший бизнес-аналитик компании Елена Черникова. К декабрю 2022 года такие системы защиты эксплуатирует 75% представителей финансового блока, годом ранее их было 70%, пишут «Ведомости».

Вместе с тем резко изменилось соотношение умышленных и случайных утечек в организациях финансового сектора. Если в 2021 году 20% респондентов предполагали наличие скорее умышленных нежели случайных утечек в своих организациях, то в 2022-м о намеренном сливе данных заявили уже 67% опрошенных. Это в точности коррелирует с озвученным выше трендом высокого проникновения DLP-систем в финансовом секторе, которые автоматически пресекают случайные утечки, а при правильной настройке справляются и со значительной частью умышленных. [2]

Топ-менеджера «МТС-Банка» осудили за продажу данных 5,6 тыс. клиентов

28 июля 2022 года стало известно о том, что Верх-Исетский районный суд Екатеринбурга вынес приговор в отношении трех мужчин по уголовному делу о разглашении персональных сведений о клиентах банков. Об этом сообщила Прокуратура Свердловской области.

Суд приговорил руководителя московского допофиса «МТС-Банка» Андрея Вамича к трем годам и шести месяцам колонии строгого режима и выплате штрафа в размере свыше 5 млн руб. за продажу мошенникам информации о клиентах банка. Подробнее здесь.

2021

Число баз данных банковских клиентов на продажу в российском даркнете упало вдвое

В 2021 году в даркнете зарегистрировано 20 объявлений о продаже новых баз данных банковских клиентов в России, что почти вдвое меньше, чем годом ранее. Об этом свидетельствуют данные сервиса разведки утечек данных и мониторинга даркнета DLBI.

В «Лаборатории Касперского» подтвердили РБК этот тренд: по оценке антивирусной компании, количество объявлений о продаже данных в 2021 году снизилось примерно на 30% и вернулось к уровню 2018 года.

Число баз данных банковских клиентов на продажу в российском даркнете сократилось в 2 раза

В 20 новых объявлениях говорится о базах данных, в которых содержится ранее не встречавшаяся информация. В целом же в даркнете гораздо больше объявлений, но в них предлагаются старые базы данных или компиляции из нескольких баз, пишет РБК со ссылкой на основателя DLBI Ашота Оганесяна.

Три из 20 баз данных содержали более 100 тыс. записей о клиентах: информацию о 150 тыс. желающих взять кредиты в Совкомбанке и примерно о 100 тыс. — в банке «ДОМ.РФ», а также предложение о продаже данных полмиллиона клиентов «Сбербанк Премьер» (специальной программы Сбербанка для обслуживания постоянных клиентов на привилегированных условиях). Эти данные обычно используются злоумышленниками, которые звонят людям из «слитых» баз от имени «службы безопасности банка», «правоохранительных органов», чтобы украсть деньги с банковского счета.

Остальные утечки составляли одну–две тысячи записей и были в основном связаны с деятельностью работников региональных офисов. Они копировали данные перед сменой места работы или для продажи спамерам, пояснили в DLBI.

Массовые кражи данных банковских клиентов, по данным аналитиков, сокращаются. Финорганизации стали использовать технологии предотвращения утечек конфиденциальной информации, которые перехватывают попытки массовых выгрузок клиентских данных.[3]

Цена «пробива» банковских данных россиян за 5 лет выросла в 7 раз

Цена «пробива» (криминальное предоставление информации, нарушающее банковскую тайну и тайну переписки) данных россиян за 5 лет выросла в 7 раз. Об этом в конце ноября 2021 года сообщил сервис разведки утечек данных Data Leakage & Breach Intelligence (DLBI). Подробнее здесь.

Утечка данных 150 тыс. клиентов Совкомбанка

В сентябре 2021 года стало известно об утечке данных 150 тыс. клиентов Совкомбанка. База данных появилась на специализированном теневом сайте. Подробнее здесь.

100 тыс. записей о заявках на кредит в банке «Дом.РФ» продаются в даркнете за 100 тыс. руб.

В даркнет слиты около 100 тысяч записей людей, подавших заявку на кредитование в банке «Дом.РФ», сообщил РБК 5 апреля 2021 года[4]. В самом банке подтвердили факт утечки и признали, что её причиной стала уязвимость в дистанционной подаче первичных заявок на получение кредита наличными. Подробнее здесь.

2020

Самая «дорогая» утечка в банках стоила 100 млн рублей

Самый крупный ущерб финансовой организации от утечки данных в 2020 году превысил 100 млн рублей. Об этом 14 июля 2021-го сообщили в «Ростелекоме» в рамках своего исследования.

По данным телеком-оператора, убыток более чем в 100 млн рублей был зафиксирован в двух региональных российских банках, не использующих системы защиты от утечек. О каких кредитных организациях идёт речь, не уточняется.

Чаще всего утечки происходят через интернет (внешние облачные хранилища, интернет-почта и т.п.), мессенджеры, корпоративную электронную почту, съемные носители информации (USB и т.п.), печать на принтере и специализированные внутренние системы организации.

Самая «дорогая» утечка в банках по итогам 2020 года стоила 100 млн рублей

Около 20% опрошенных финансовых организаций признались, что масштабные утечки обернулись для них крупными штрафами со стороны регуляторов. Менее 10% респондентов отметили случаи, когда утечка в банке не повлияла ни на сам банк, ни на ответственных сотрудников. Более 70% участников опроса рассказали, что утечки чувствительной информации являются основанием для привлечения ответственных сотрудников к дисциплинарным взысканиям, вплоть до увольнения.

В то же время 36% компаний из финсектора, внедривших системы защиты от утечек, оценили потенциальную экономию средств в результате предотвращенных инцидентов в более чем 10 млн рублей за 2020 год.

Утечки в банках в 2020 г. чаще случались по неосторожности, чем по злому умыслу. Об умышленных утечках в чистом виде заявили только 20% респондентов. 30% опрошенных убеждены в том, что утечки носят случайный характер. Примерами таких «случайностей» могут быть необдуманная отправка данных третьим лицам или публикация служебной информации в таких открытых источниках как социальные сети или мессенджеры. Половина респондентов утверждает, что случайные и умышленные утечки происходят в их организациях в равном объеме.

Банки признали утечку данных одним из наиболее существенных рисков от инцидентов ИБ

Компания Qrator Labs 6 мая 2021 года поделилась с TAdviser результатами исследования банковской безопасности за 2020 год, проведенного в 3-4 кварталах 2020 года.

Целью исследования было изучить масштаб киберугроз и, в частности, угрозы DDoS-атак в российском финансовом секторе, а также оценить динамику бюджетов организаций на ИБ. В рамках исследования решались, в частности, следующие задачи:

  • изучение динамики угроз, с которыми сталкиваются российские банки;
  • оценка достаточности бюджетов на ИБ и их динамики в банках;
  • определение уровня проникновения средств защиты от DDoS в финансовом секторе.

При планировании деятельности в области информационной безопасности более трети опрошенных ориентируются в сложившейся кризисной ситуации на шестимесячный период. Более половины придерживаются годового планирования.

Image:Сроки_планирования_деятельности_в_области_информационной_безопасности_в_2020.jpg
«
Несмотря на то что экономическая ситуация меняется очень быстро, все финансовые организации так или иначе планируют деятельность минимум на полгода, а, как правило, на год вперед. В редких случаях бюджетирование идет на больший срок. При категорическом изменении ситуации организации, имеющие слишком долгосрочное планирование, могут столкнуться с новыми проблемами бюджетирования, – комментирует Сергей Пасечник, директор по продажам Qrator Labs.
»

Более половины опрошенных считают, что ранее согласованный бюджет на защиту информации для преодоления кризисной ситуации 2020 года оказался достаточным.

Image:Достаточность_согласованного_бюджета_на_ИБ_в_2020.jpg

40% опрошенных зафиксировали рост уровня угроз применительно к финансовым организациям в 3-4 кв. 2020 года. По мнению почти половины опрошенных, риски растут уже два года подряд. В то же время 58% отмечают, что в сравнении с 2019 периодом, уровень угроз в отрасли значительно не изменился.

Image:Динамика_уровня_угроз_ИБ_для_банков.jpg

Угрозы в этот период росли в основном на фоне повышенной активности злоумышленников, считают 90% опрошенных. Влияние фактора, обусловленного последствиями массового перехода на удаленную работу, в основном пришлось на первое полугодие и стало менее выраженным ко второму.

Image:Факторы_увеличения_уровня_угроз.jpg

Вопросы невнимательности пользователей и переходов по фишинговым ссылкам для банков не так важны, как защита новых элементов инфраструктуры – VPN-концентраторов. VPN-шлюзы представляют собой аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования, который используется для подключения к удаленной сети. С помощью DDoS-атак на VPN-шлюз можно парализовать работу многих ИТ-систем организации, к которым сотрудники, работающие из дома, получают удаленный доступ. Поэтому при организации удаленной работы следует по возможности не располагать шлюз в очевидных местах, например, в известной всем корпоративной сети, и постараться организовать его защиту.

По данным опроса, респонденты наиболее часто сталкивались с фишингом (44%) и DDoS-атаками (36%). 42% отметили, что не фиксировали серьезных инцидентов кибербезопасности, относя основной всплеск киберугроз к первому полугодию.

Image:Наиболее_распространенные_инциденты_ИБ_в_3-4_кв._2020.jpg

Наиболее существенные последствия от инцидента ИБ – в первую очередь финансовые, считают 82% опрошенных. При этом на втором месте находятся последствия от утечек пользовательских данных (71%).

Если в 2019 году практически ни один респондент не отметил утечки данных как один из самых существенных рисков для компании, то в 2020 году банки всерьез начали рассматривать угрозу утечек и задумываться о том, как с ними бороться.

Image:Наиболее_существенные_последствия_от_инцидента_ИБ.jpg
«
В связи с переводом большинства услуг в онлайн люди все чаще совершают покупки в интернет-магазинах, оставляя там свои персональные данные, а значит, и проблема с утечками приобретает все большие масштабы. Интерес злоумышленников к цифровым данным возрастает, и тем сильнее страдает репутация компаний, допустивших утечки. Неудивительно, что в индустрии поднимается обеспокоенность этой проблемой, и компании начинают системно выстраивать специализированную защиту, позволяющую вычислять мошеннические действия, – отмечает Сергей Пасечник.
»

В процессе коронавирусного кризиса или непосредственно после него 2/3 опрошенных планируют использовать текущее решение для защиты от атак, воздерживаясь от замены критически важных решений «на лету». Более 10% планируют переход на гибридное решение.

Image:Планы_обновления_средств_защиты_от_DDoS-атак_в_2021.jpg

Около половины опрошенных рассматривают вариант частичного сохранения схемы дистанционной работы сотрудников и перевода части сервисов на удаленное обслуживание в ближайший год. Более трети планируют вернуться к обычному режиму работы по окончании пандемии коронавируса.

Image:Рассматриваемые_подходы_к_дистанционной_работе_в_2021.jpg

Отдельные компании даже собираются активнее развивать формат удаленной работы. В первую очередь, это банки с серьезной цифровой составляющей, делающие ставку на ИТ. Активное развитие ИТ в банковской инфраструктуре позволяет не только предоставить более качественный уровень сервиса для пользователей, но и решить ряд кадровых вопросов – сократить аренду офиса, упростить процесс привлечения новых сотрудников и т.д.

«
Мы наблюдаем позитивный тренд: в индустрии уже есть банки, которые не боятся работать с удаленкой и даже после снятия ограничений по коронавирусу не спешат выводить всех своих сотрудников в офис, – добавляет Сергей Пасечник.
»

Около половины опрошенных ожидают увеличения бюджета на ИБ в 2021 году. 40% считают, что он не изменится – в том числе, ввиду уже сделанных, часто незапланированных, инвестиций в начале 2020 года.

Image:Изменение_бюджета_на_ИБ_в_2021.jpg

Несмотря на кризис, около половины опрошенных ожидают увеличения бюджета на ИБ в 2021 году, что позволяет сделать определенные выводы о характере кризиса. Если в ситуации 2008-2009 годов расходы на безопасность сокращались, то теперь они, как минимум, сохраняют свои позиции, а в большинстве случаев – растут. Это связано с тем, что многие финансовые организации уже рассматривают защиту информации как неотъемлемый элемент ИТ-инфраструктуры и поддержки сложных высокотехнологичных систем.

Работы в рамках настоящего исследования включали полевой опрос. Респондентам из финансового сектора предлагалось ответить на вопросы анкеты. Всего было опрошено 45 представителей крупных банков и финансовых организаций СМБ.

Число утечек из финансового сектора в России выросло на треть

По данным экспертно-аналитического центра ГК InfoWatch, за 2020 год в мире обнаружено 202 утечки конфиденциальной информации из банков, финансовых и страховых компаний, что повлекло компрометацию 486 млн записей персональных данных и платежной информации.

В России число утечек в финансовом сегменте выросло на 36,5% - с 52 до 71 и привело к утечкам 13,4 млн записей пользовательских данных, сообщили в InfoWatch 29 января 2021 года.

По сравнению с 2019 годом количество утечек, появившихся в открытом доступе, снизилось на 7,3% в глобальном масштабе. В исследовании отмечается, что такое снижение, вероятнее всего связано с влиянием пандемии, поэтому публичные сообщения об утечках «ушли» в серую зону и остались незамеченными.

«
«Наш аналитический центр год от года фиксировал увеличивающееся количество инцидентов, связанных с утечками в финансовой отрасли, но пандемия внесла свои коррективы и в новостную повестку во всем мире. Маловероятно, что ситуация с утечками данных вдруг улучшилась. Скорее, мы наблюдаем снижение интереса к теме в связи к КОВИД-ом», - отметила президент ГК InfoWatch Наталья Касперская.
»

По данным отчета, процент утечек данных, произошедших по вине сотрудников пострадавших предприятий, в России сильно выше, чем по миру в целом – 82% в России против 51% в мире. Думается, что этот показатель не говорит об отличиях России в сфере защиты данных, а лишь о толковании утечки. Дело в том, что во многих западных странах (США, Великобритания, Канаде и др.) закон предусматривает обязательную публикацию факта утечки данных со стороны самой компании, допустившей утечку. Естественно, компании хотели бы представить это так, что в утечке виновны не они, а некие «сторонние хакеры». Тогда как в России такого требования нет.

«
«Наш опыт установки систем защиты данных показывает, что большинство краж данных происходит с использованием инсайдера, то есть внутреннего сотрудника, имеющего представление о том, как на предприятии организована безопасность. Случаи, когда всю информацию вытащили исключительно внешние злоумышленники, относительно редки», - отметила Касперская.
»

Тем не менее, такие случаи встречаются. Например, летом 2020 года бюро кредитных историй Experian стало жертвой фишинговой атаки. Мошеннику, который выдавал себя за клиента компании, удалось обманным путем получить доступ к базе южно-африканского подразделения. Проникнув в хранилище компании, мужчина смог узнать персональные данные до 24 млн граждан ЮАР и сведения более 793 тыс. предприятий. Мошенник планировал использовать украденные данные в маркетинговых целях, но к счастью, был вовремя остановлен.

В подавляющем большинстве случаев каналом компрометации конфиденциальной информации по-прежнему остается Сеть (почти 80%, в том числе, облачные хранилища -23%). Это говорит о том, что доверять конфиденциальную информацию «облакам» не стоит. А уж если это необходимо, то информацию надо обязательно шифровать.

В России вторым по числу утечек каналом оказались мессенджеры. В мире этот канал только третий по частоте, а на втором остаётся электронная почта. Вероятно, это говорит о более частом использовании мессенджеров для делового общения и передаче информации в России по сравнению с общемировой практикой.

Глава «Фридом Финанса» признал утечку данных и раскрыл детали

Глава «Фридом Финанс» Тимур Турлов на своей странице в Instagram подтвердил утечку данных клиентов инвестиционной компании. Он пояснил, что неизвестные атаковали сегмент внутренней сети и похитили часть данных с локальных машин нескольких сотрудников в России. Машины относятся к сотрудникам российского брокера, оказывающего доступ на российский фондовый рынок, а почти весь пакет украденных данных датирован 2018 годом. Подробнее здесь.

12 Гбайт данных 16 тыс. клиентов и сотрудников «Фридом Финанс» выставлены на продажу

24 декабря 2020 года стало известно об утечке данных клиентов и сотрудников инвестиционной компании «Фридом Финанс». Первым на «слитую» базу обратил внимание основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Подробнее здесь.

Банки в России предлагают за кражу данных клиентов сажать в тюрьму на 20 лет

Российские банки предлагают ввести 20-летний тюремный срок за кражу данных клиентов. Об этом представители кредитных организаций сообщили на встрече в Ассоциации банков России (АБР), которая состоялась 3 декабря 2020 года.

Как сообщил РБК вице-президент АБР Алексей Войлуков, банки предложили лишать свободы за неправомерный доступ к банковской тайне на срок до 10–20 лет, но предельный срок наказания еще обсуждается. Действующее к началу декабря 2020 года наказание несоразмерно с ущербом, который влечет разглашение, отметил он.

Статья 183 Уголовного кодекса РФ определяет наказание за «незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Ассоциация банков России считает, что понятие «банковская тайна» следует отделить от других секретов.

Российские банки предлагают за кражу данных клиентов сажать в тюрьму на 20 лет
«
Получение именно этой информации носит массовый характер: сейчас в русскоязычной части даркнета зарегистрированы почти два миллиона покупателей, которые хотят получить доступ к банковской тайне, — сказал Алексей Войлуков.
»

Идею АБР поддержал также Банк России. Однако представитель регулятора отметил, что данная инициатива требует «глубокой юридической проработки».

По приведенным АБР данным компании InfoWatch, которая специализируется на информационной безопасности в корпоративном секторе, большая часть — 79,1% — утечек в России происходит из-за внутренних нарушений сотрудников организации. Еще 20,9% — из-за злоумышленников извне. При этом в целом по миру эти доли распределены на 47,4% и 52,6% соответственно.

Основатель сервиса разведки утечек данных DLBI Ашот Оганесян считает, что риск длительного тюремного заключения за банковские сведения лишь поднимет цены на услуги по их предоставлению. Предложения банков он считает попыткой переложить ответственность за кражу данных на собственный персонал.[5]

Утечка данных 31 тыс. карт ВТБ

В конце августа 2020 года стало известно об утечке данных клиентов ВТБ. В банке признали этот факт, но заверили, что случившееся на несёт угрозы для пользователей. Подробнее здесь.

Суд приговорил экс-сотрудника Россельхозбанка к исправительным работам за разглашение данных клиентов

27 июля 2020 года суд в Кемерове приговорил бывшего сотрудника Россельхозбанка к исправительным работам за незаконную передачу данных клиентов. Мужчина был признан виновным по ч. 1 ст. 183 УК (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Подробнее здесь.

Продажа конфиденциальных данных клиентов Альфа-банка в даркнете

24 июля 2020 года стало известно о продаже подробных данных клиентов Альфа-банка в даркнете. В кредитной организации подтвердили утечку информации, но заверили, что она оказалась небольшой, и часть сведений уже неактуальны. Подробнее здесь.

На продажу выставлены данные 12 млн клиентов российских МФО

29 апреля 2020 года стало известно, что на киберпреступном форуме были выставлены на продажу данные россиян, оформлявших кредиты в микрофинансовых организациях в 2017-2019 годах. Как уверяет продавец, база данных содержит сведения о 12 млн человек. Он также предлагает бесплатный «пробник» - ФИО, паспортные данные, даты рождения, номера телефонов, электронные адреса, регионы проживания, номера электронных кошельков и суммы займа 1,8 тыс. граждан.

В каждом наборе данных также содержится ссылка на сайт, через который заемщик узнал о микрофинансовой организации. В большинстве случае это финансовый маркет «Юником24» для поиска и оформления кредитов, микрокредитов, ипотек и пр. Представители маркета проверили «пробник» и подтвердили, что указанный в продаваемой базе идентификационный код клиентов принадлежит одному из их партнеров, но не уточнили, кому именно. По их словам, «Юником24» уже обратился к данной компании с требованием разъяснить ситуацию и уведомлением о прекращении сотрудничества.

Как считают в «Юником24», вероятнее всего, источником утечки стала сама микрофинансовая организация (МФО). При оформлении заявки на кредит система запрашивает только ФИО и действительный номер телефона, пояснили представители маркета. Паспортные данные, электронные адреса, суммы займов и другие сведения известны лишь МФО, у которой заемщик просит кредит. Тем не менее, когда источник информации оставил заявку на кредит через «Юником24», помимо ФИО и номера телефона система запросила также паспортные данные и дату рождения[6].

Данные 1,2 млн российских пользователей микрозаймов оказались в продаже

6 февраля 2020 года стало известно о появлении в продаже базы данных клиентов микрофинансовых организаций (МФО) в России, среди которых — «Быстроденьги», «Займер» «еКапусту», «Лайм» и «Микроклад». Подробнее здесь.

2019

Объем утечек в финансовых компаниях в России подскочил на 58%

Объем утечек в финансовых компаниях в России по итогам 2019 года подскочил на 57,6% и составил 13,2% от общего числа таких инцидентов в стране. Об этом свидетельствуют данные Infowatch.

В мире количество утечек конфиденциальной информации в финансовом секторе выросло на 7,9%. Такую разницу с РФ ведущий аналитик ГК Infowatch Сергей Хайрук связал со «сравнительно низкой базой» — утечки из банков и страховых компаний в России до недавнего времени фиксировались и публиковались нечасто.

«
С другой стороны, Россия показывает более интенсивный рост по сравнению с миром во многом за счет повышенного внимания к утечкам в финансовом секторе со стороны общественности, — отметил он.
»

В финансовом секторе традиционно высока доля утекших платежных данных, то есть сведений банковских карт, необходимых для совершения транзакций. В мире среди всех скомпрометированных записей из финансового сектора она составила 26,1% по итогам 2019 года. В России эта доля почти вдвое ниже и достигла 13,5%. Утечки информации, содержащей персональные данные, для финансовых и страховых компаний в глобальном масштабе составили 64,5%, а в России этот показатель оказался выше на 12 процентных пунктов. В отчете отмечается, что менее чем в 10% случаев утечек в мировой сфере финансов были скомпрометированы сведения, составляющие коммерческую тайну.

По словам аналитиков Infowatch, основная часть утечек в финансовом сегменте происходит в результате умышленных действий или неосторожности внутреннего нарушителя. Такое положение характерно как для мира в целом, так и для России. Среди зарегистрированных случаев доля утечек данных по вине внешнего злоумышленника (хакерские атаки и другие действия неизвестных лиц) в российском финансовом сегменте более чем в 4 раз меньше, чем в мире.

Данные нескольких тысяч вкладчиков ВТБ попали в продажу

В ноябре 2019 года стало известно о том, что данные 5 тысяч вкладчиков ВТБ появились в продаже на специализированном форуме. Подробнее здесь.

Данные тысяч клиентов «Альфа-банка» и «АльфаСтрахования» выставлены на продажу

5 ноября 2019 года стало известно о том, что данные около 3,5 тыс. клиентов «Альфа-банка» и около 3 тыс. клиентов «АльфаСтрахования» выставлены на продажу. Соответствующее объявление было обнаружено на одном из специализированных форумов. Подробнее здесь.

В России появился новый способ хищения данных банковских клиентов

В начале ноября 2019 года стало известно о новом способе краже данных банковских клиентов в России. Злоумышленники разработали схему корпоративного фишинга, которая связана с имитацией тестирования сотрудников кредитных организаций.

Как пишут «Известия» со ссылкой на «Лабораторию Касперского», банковским работникам отправляют на электронную почту сообщение с «приглашением» пройти аттестацию. После прохождения по ссылке им предлагают ввести логин и пароль от рабочей почты, в результате чего киберпреступники могут получить доступ к переписке, в которой могут содержаться файлы с персональными данными клиентов банков.

Стало известно о новом способе краже данных банковских клиентов в России.

Старший контент-аналитик «Лаборатории Касперского» Татьяна Щербакова говорит, что масштаб атак по такой схеме зависит от содержимого взломанной электронной почты. Первое, к чему могут получить доступ мошенники, — это корпоративная переписка. А если логины и пароли от баз данных с персональной информацией о клиентах или сами базы пересылаются в открытом виде, то злоумышленники получат в распоряжение и их тоже.

Щербакова добавила, что «Лаборатория Касперского» узнала о новом способе фишинга от своих клиентов.

В подразделении ЦБ по кибербезопасности отмечают, что фишинг — первый среди основных факторов, способствовавших успешным атакам на банки с целью завладеть персональными данными жителей страны. Часто мошенники пользуются именно человеческим фактором при рассылке писем сотрудникам банков.

В кредитных организациях газете пояснили, что банки довольно часто проводят обучение и аттестации, поэтому такие письма не вызывают у сотрудников подозрений. К тому же банки — это, как правило, довольно формализованные системы, поэтому для работников привычно общение через электронную почту.[7]

Утечка кредитных историй миллиона россиян

18 октября 2019 года стало известно о том, что кредитные истории больше миллиона россиян оказались в открытом доступе. Подробнее здесь.

ФинЦЕРТ назвал главный источник утечек банковских данных россиян

11 октября 2019 года стало известно, что в первом полугодии 2019 года специалисты обнаружили на черном рынке порядка 13 тыс. предложений купли/продажи данных россиян. Подробнее здесь.

Сбербанк, ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны ПК

24 июня 2019 года стало известно о том, что крупные банки в России запретили своим сотрудникам фотографировать экраны компьютеров с помощью личных мобильных телефонов.

Как пишет РБК, ограничения введены в Сбербанке, «ЮниКредите», банке «Открытие» и ВТБ. Так, банк «Открытие» запрещает сотрудникам делать фото- и видеосъемку экранов мониторов, служебных документов, презентаций и клиентских данных, а также вести аудиозапись служебных переговоров. В ВТБ фотографирование на объектах банка разрешается только по согласованию с ответственными подразделениями.

Сбербанк, ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны ПК

Запрет объясняют тем, что сотрудники нередко фотографируют личные данные клиентов, чтобы затем продать их на чёрном рынке, где на них есть спрос со стороны мошенников. По информации издания, цена на персональные данные может варьироваться от 800 до 8000 рублей.

Заместитель главы лаборатории компьютерной криминалистики Group-IB Сергей Никитин пояснил, что мошенники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое.

По словам эксперта, распространенность фотографирования экранов можно объяснить тем, что компании стали вводить системы защиты от внутренних угроз и утечек, поэтому сотрудники просто фотографируют экран. Факт фотографирования доказать очень тяжело.

Заместитель председателя Сбербанка Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки, в противном случае дело передают полиции.

Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев говорит, что банковские данные можно использовать в мошеннических схемах с применением методов социальной инженерии. За нарушение запрета предусмотрены жесткие санкции вплоть до увольнения, сообщил он.[8]

Данные 900 тыс. клиентов российских банков оказались в открытом доступе

9 июня 2019 года стало известно об утечке данных 900 тыс. клиентов российских банков. В открытом доступе оказались паспортные данные, номера телефонов, места проживания и работы граждан РФ.

Как пишет «Коммерсантъ» со ссылкой на службу DeviceLock, пострадали клиенты Альфа-банка, ОТП-банка и ХКФ-банка, а также около 500 сотрудников МВД и 40 человек из ФСБ.

Данные порядка 900 тыс. россиян, являющихся клиентами банков ОТП-банка, Альфа-Банка и ХКФ-банка, оказались в открытом доступе

Эксперты обнаружили две базы данных клиентов Альфа-банка: в одной содержатся данные о более чем 55 тыс. клиентов от 2014–2015 годов, во второй — 504 записи от 2018–2019 годов. Во второй базе также есть данные об остатке на счете, ограниченном диапазоном 130–160 тыс. руб. Газета ознакомилась с первой базой данных и установила, что клиенты из нее в основном являются жителями Северо-Западного федерального округа, а их телефоны по большей части действующие.

По данным DeviceLock, информация о клиентах Альфа-Банка могла появиться в сети из-за массового увольнения регионального IT-отдела в 2014 году. Данные долгое время распространялись на черном рынке.

Как отмечают специалисты, люди, чьи данные оказались в открытом доступе, могут подвергнуться спаму или столкнуться с мошенничеством.

По всей видимости, человек, целенаправленно собравший эти базы, был или инсайдером, или же находил тех, кто их может украсть, полагает гендиректор Zecurion Алексей Раевский.

«
Судя по тому, что базы являются устаревшими, скорее всего, они использовались в узком круге, а когда перестали быть нужными, стали достоянием общественности. Теперь же люди, фигурирующие в этих базах, могут стать жертвами широкого круга банковских мошенников, — считает эксперт.
»

В Альфа-банке и ХКФ-банке сообщили «Коммерсанту», что изучат информацию об утечке. ОТП-банк не зафиксировал пропажи данных.[9]

Данные клиентов-физлиц Бинбанка оказались в открытом доступе

После объединения с «Открытием», принадлежащим ЦБ РФ, персональные данные клиентов Бинбанка оказались в открытом доступе. Об этом 15 апреля 2019 года сообщили в компании DeviceLock. Подробнее здесь.

Данные 120 тыс. банковских клиентов-отказников утекли в интернет

12 апреля 2019 года стало известно, что база данных отказников банков появилась в интернете на специализированных форумах. Речь идет об информации о примерно 120 тыс. клиентов (такая цифра заявлена в описании базы), которым отказали в обслуживании финансовые организации по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).

Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН. В одном из банков неофициально подтвердили, что в списке реальные клиенты-отказники. Опрошенные эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ.

Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года. Именно с первой даты Банк России начал рассылать черный список клиентов в соответствии с положением 550-П. Механизм рассылки выглядит примерно так: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь,— Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде — банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора. Утекшая база начала распространяться несколько месяцев назад, но об утечке не знали ни в ЦБ, ни в Росфинмониторинге.

В Росфинмониторинге заявили, что исключают возможность утечки информации от них. В пресс-службе Банка России заявили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации.

«
Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила,— считают в ЦБ.
»

В ЦБ не уточнили, планирует ли регулятор предпринять действия, исключающие подобные утечки в будущем.

Утечка могла произойти множеством способов, указывают эксперты.

«
Из ЦБ, Росфинмониторинга, любого банка. База должна была быть только у ЦБ, а банки — направлять ему запросы для проверки клиентов. В таком варианте, по крайней мере, было бы проще локализовать утечку, понять, где она произошла. Теперь это, вероятно, невозможно сделать.
Алексей Раевский, гендиректор разработчика систем защиты информации Zecurion
»

Таким образом, по мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.

Для клиентов утечка опасна не только из-за раскрытия данных, но самим фактом присутствия в базе. Попасть в черный список банков клиенты могут случайно, отмечают юристы.

«
Часто банки вносят добросовестных клиентов в черные списки по халатности или в связи с технической ошибкой. Распространение этих сведений для лиц из списка помимо сложностей с банковским обслуживанием может обернуться проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и иными рисками.
Амина Аппаева, юрист FMG Group
»

«
Подобные утечки могут приводить к самым неожиданным негативным последствиям вплоть до разоблачения гостайн. В качестве примера, случай с «Петровым и Бошировым», настоящие имена которых были скомпрометированы с помощью утекших баз, в том числе ГИБДД.
Алексей Раевский, гендиректор разработчика систем защиты информации Zecurion
»

«
Распространение подобных баз данных в первую очередь посягает на неприкосновенность личной жизни. Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Такие действия также могут быть квалифицированы как неправомерный доступ к компьютерной информации (лишение свободы до семи лет).
Алексей Гавришев, партнер BMS Law Firm
»

Амина Аппаева считает, что преступление также подпадает под статью о незаконном получении и разглашении сведений, составляющих банковскую тайну (до пяти лет лишения свободы, а если деяние повлечет тяжкие последствия — до семи лет). По ее словам, оно носит публичный характер, поэтому правоохранительные органы должны в обязательном порядке начать проверку. Распространение подобных баз данных относится к подследственности Следственного комитета России[10].

2010: Утечка данных клиентов заставила Альфа-банк заменить тысячи пластиковых карт

В 2010 г в России среди утечек можно отметить крупную утечку персональных данных из Альфа-банка, после которой банк принял решение об оперативной замене более 7 тысяч банковских пластиковых карт.

Были в 2010 году и позитивные события: так, ФСБ и Генпрокуратура закрыли несколько сайтов, дававших любому желающему доступ к обширным базам персональных данных россиян. Также весьма показательны примеры судебных исков, предъявленными в нескольких российских регионах гражданами, пострадавшими от утечек их персональных данных.

Примечания