Утечку данных с сайта столичного МТБанка можно назвать самым громким событием прошедшей неделе в сфере ИТ в Беларуси. Насколько она опасна для клиентов банков, кто в ней виновен и что делать, чтобы она не повторилась? На вопросы "Компьютерных вестей" отвечает Александр Барановский, директор ООО "НПТ", компании-интегратора ПО, специализирующейся на комплексных решениях защиты от утечек данных.

- Насколько опасна утечка для клиентов банка?

- К сожалению, заявления руководства банка о том, что утечка данных не несет никаких негативных последствий для его клиентов, не соответствуют действительности. Посудите сами: анализ архива, проведенный нашими специалистами, показал, что в нем можно найти как анкеты на получение кредитов, так и анкеты на предоставление доступа к системе ДБО (дистанционного банковского обслуживания, проще говоря, интернет-банкинга). Очевидно, что анкеты на подключение к интернет-банкингу заполняли уже действующие клиенты банка. Также будет логично предположить, что определенный процент заявок на получение кредита также был удовлетворен, и эти люди также стали клиентами банка.

Что же касается опасности утечки, то данных, которые находятся в скомпрометированных анкетах, более чем достаточно для того, чтобы получить доступ к средствам, находящимся на счете клиента, не говоря уже о восстановлении с их помощью паролей к электронной почте и другим информационным ресурсам. Судите сами: из анкет можно узнать ФИО, дату рождения, серию и номер паспорта, личный номер, мобильный и рабочий телефоны, адрес почты, девичью фамилию матери, образование, семейный статус, данные родственников, судимость, непогашенные кредиты, алименты, место работы и занимаемую должность. При этом архив с анкетами скачали с различных файлообменных ресурсов тысячи человек, и среди них наверняка найдутся те, кто захочет извлечь незаконным путем выгоду из полученных данных.

Данных, которые находятся в скомпрометированных анкетах, более чем достаточно для того, чтобы получить доступ к средствам, находящимся на счете клиента.

- Что делать клиенту, оказавшемуся в такой ситуации?

- Нужно предпринять стандартные меры предосторожности и не паниковать, потому что при грамотном подходе можно избежать негативных последствий обнародования конфиденциальных данных. К примеру, тем клиентам, которые пострадали из-за утечки данных о доступе к интернет-банку, стоит, в первую очередь, изменить логины и пароли системы ДБО. А всем остальным можно порекомендовать заменить пластиковые карточки, попросить банк изменить кодовое слово с девичьей фамилии матери на что-то другое. Поменять пароли и способы их восстановления на почтовые ящики. Самое главное, пожалуй, быть готовым к возможному мошенническому использованию данных и не поддаваться на звонки якобы из банка, которые просят продиктовать номер карточки или какие-то еще данные якобы для сверки. Ну и тем, кто брал кредит, можно ожидать звонков из конкурирующих банков с предложениями взять новый кредит - но здесь уже ничего сделать нельзя, к сожалению.

Тем клиентам, которые пострадали из-за утечки данных о доступе к интернет-банку, стоит, в первую очередь, изменить логины и пароли системы ДБО.

- Эта утечка - нечто из ряда вон выходящее, или каждый может оказаться в такой ситуации?

- К сожалению, в такой ситуации действительно может оказаться каждый, потому что после того, как клиент передал свои данные какой-либо организации, он бессилен что-либо сделать с ними. Ответственность за дальнейшую сохранность данных в дальнейшем несет уже организация, которая с ними работает - оператор персональных данных. К сожалению, в Беларуси ситуация с безопасностью и сохранностью персональных данных, в частности, в банках, обстоит сегодня не лучшим образом. В сложной экономической ситуации экономить стараются, в первую очередь, на том, что не приносит денег, и безопасность тоже падает жертвой экономии.

В сложной экономической ситуации экономить стараются, в первую очередь, на том, что не приносит денег, и безопасность тоже падает жертвой экономии.

- Могут ли те, кто пострадал в результате утечки, рассчитывать на какую-либо компенсацию в соответствии с законодательством?

- Насколько мне известно, представители МТБанка уже сообщили о том, что уже рассматривают вопрос выплаты компенсации тем, кто пострадал в результате утечек. К сожалению, белорусское законодательство в сфере защиты конфиденциальных данных еще достаточно далеко от совершенства, и компенсации при подобных инцидентах в нем предусмотрены при обращению в суд, но при отсутствии прямых потерь, трудно сформировать реальную сумму компенсации.

- Насколько хорошо, в целом, белорусская банковская система защищена от утечек данных клиентов?

- Знаете, наверное, правильнее было бы говорить о каждом из банков в отдельности, потому что иначе получается "средняя температура по больнице". Но говорить в отдельности нельзя, потому что это может негативно отразиться на защищенности отдельных банков. В целом же, как я уже говорил, ситуация не очень радужная: далеко не во всех банках используются специальные системы защиты от утечек данных (DLP - от английского Data Leak Prevention), а в тех, где используются, часто встречается ситуация, когда банки приобретают неэффективные программные продукты, когда лоббируются чьи то интересы. Тогда ни о какой защите информации речи не идёт, а продукт стоит «для галочки» и возлагаемый функционал не реализуется, т.к. приобретение идёт не по рекомендациям технических специалистов, а по решению некомпетентного руководителя. Возможно, в "Компьютерных вестях" мы будем освещать подобные события. Надеюсь, произошедший инцидент заставит руководителей банков задуматься о том, как не допустить подобного в своих учреждениях. Кстати, если бы подобная система стояла в банке, данного инцидента, я более чем уверен, не произошло бы.

Далеко не во всех банках используются специальные системы защиты от утечек данных, а в тех, где используются, зачастую установлены неэффективные продукты.

- Кто должен отвечать за последствия этой утечки?

- Думаю, что ответ очевиден: те, кто должен был защитить персональные данные клиентов банка от посторонних глаз, то есть, сам МТБанк. К сожалению, судя по заявлениям его руководства, оно не до конца осознает, какие последствия может иметь случившееся для клиентов банка.

- Какие меры должны принять банки для предотвращения таких утечек в дальнейшем?

- Главное - не экономить на безопасности, потому что каждый доллар, вложенный в защиту информации, окупится десятками долларов, сэкономленными на испорченной репутации, на недополученных процентах по кредитам, на компенсациях... Нужно, чтобы в каждом банке был собственный профильный отдел информационной безопасности, работала DLP-система, контролировались действия всех сотрудников. Нужно также тщательно контролировать подрядчиков, разрабатывающих сайты банков, системы интернет-банкинга и выполняющих другие работы, связанные прямо или косвенно с безопасностью клиентских данных. Только при выполнении всего комплекса условий можно обеспечить достаточный уровень безопасности клиентских данных.

Каждый доллар, вложенный в защиту информации, окупится десятками долларов, сэкономленными на испорченной репутации, на недополученных процентах по кредитам, на компенсациях...

Беседовал Вадим СТАНКЕВИЧ