.gif)
За утечки данных из банков чаще всего наказывают сотрудников
Утечки конфиденциальной информации из банков обернулись для них крупными штрафами только в 20% случаев, а в большинстве инцидентов наказание, в том числе в виде увольнения, понесли сотрудники. В 10% утечек не был наказан ни сам банк, ни его сотрудники. В России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим клиентам об утечках, поэтому доказать их факт затруднительно, поясняют эксперты.“Ъ” ознакомился с исследованием «Ростелекома» об особенностях защиты конфиденциальной информации в финансовом секторе. Из него следует, что чаще всего за утечку корпоративной информации из банков наказывают сотрудников.
Более чем в 70% случаев утечка приводит к применению дисциплинарных взысканий к виновным сотрудникам, в том числе и к увольнению. Только в 20% случаев масштабные утечки в банках обернулись для них крупными штрафами со стороны регуляторов.
В 10% утечек не был наказан ни сам банк, ни его сотрудники, говорится в исследовании. Исследование проводилось путем опроса специалистов по информационной безопасности финансовых организаций с марта по июнь 2021 года.
Чаще всего утечки в финансовой сфере происходят через личную почту и облачные хранилища, на них приходится около 35% от всех инцидентов. Еще 28% утечек было совершено через мессенджеры, и 24% — через корпоративную почту.
Только 15% утечек не были связаны с интернетом: они могли производиться через печать документов (5%), кражу данных с помощью съемных носителей (5%). На внутренние системы банка пришлось всего 5% утечек. Всего в 2020 году, по данным InfoWatch, число утечек из российских финансовых организаций выросло на 36,5%, тогда как во всем мире снизилось на 7,3%
В 60% случаев, по данным «Ростелекома», были скомпрометированы персональные данные клиентов и сотрудников финансовых организаций, еще в 30% — злоумышленники крадут данные платежных карт. Менее чем в 10% инцидентов достоянием мошенников становится коммерческая информация банка. В Сбербанке “Ъ” заверили, что за последние два года «ни одного такого инцидента не было»: «У нас принципиально новая архитектура процессов по противодействию утечкам».
Но в октябре 2019 года Сбербанк сообщал, что в результате расследования стало известно об утечке 5 тыс. учетных записей кредитных карт клиентов. В ЦБ не стали комментировать данные «Ростелекома».
Во многом рост утечек из банков связан с трансформацией в представлении финансовых услуг под влиянием пандемии, говорит руководитель направления аналитики InfoWatch Андрей Арсентьев:
«Произошел крен в сторону дистанционного представления услуг, и системы защиты банков трудно было оперативно адаптировать под новые реалии».
По его словам, чаще всего в утечках из банков виноваты внутренние нарушители — более 80% инцидентов в прошлом году произошли по их вине, тогда как в мире этот показатель составил немногим более 50%.
В России базы данных клиентов часто утекают в результате действий сотрудников банка, которые незаконно подрабатывают на сервисы «пробива», говорит операционный директор Group-IB Сингапур Сергей Никитин. По его словам, в первую очередь речь идет об администраторах баз данных, операционистах, менеджерах по продажам.
