Доллар
Евро

«В нашу жизнь приходят технологии, степень опасности которых потребители не представляют»

Как защитить свои личные данные и деньги от мошенников в эпоху цифровизации? Интервью

Эксперт считает, что за безопасностью новых технологий нет должного контроляChen Sihan / Xinhua / Global Look Press

Недавно в российской банковской сфере произошла, возможно, самая крупная утечка персональных данных: на одном из форумов в интернете продавали базу данных клиентов «Сбербанка» с информацией о 60 млн кредитных карт. Большой резонанс вызвала история и с «Тинькофф-банком», когда у клиента с помощью поддельных документов похитили со счета почти 5,5 млн рублей. Как защитить свои личные данные и деньги от мошенников в эпоху повсеместной цифровизации, насколько надежны банковские системы, какими технологиями пользуются мошенники — в интервью Znak.com рассказал директор по методологии и стандартизации IT-компании Positive Technologies Дмитрий Кузнецов.

«Наиболее уязвимы платежные сервисы для физических лиц»

— Давайте определимся, когда мы говорим об утечке персональных данных, то что имеется в виду? 

— На этот вопрос точного ответа не даст никто. Согласно и федеральному закону «О персональных данных», и ратифицированной РФ Европейской конвенции о защите субъектов персональных данных, персональные данные — это «любая информация, относящаяся к определенному или определяемому (поддающемуся определению) физическому лицу». То есть вообще любая информация, относящаяся к конкретному человеку. А дальше начинаются игры толкований и на свет появляются цитаты типа: «А давайте не будем считать серию и номер паспорта персональными данными человека? Они же относятся к паспорту, а не к человеку» или «А давайте не будем считать персональными данными информацию о том, что владелец квартиры по адресу NN не оплачивает коммунальные услуги? Мы же фамилию этого человека не написали, значит это уже не „определенное лицо“». 

Чтобы не заниматься софистикой, мы, говоря об утечке, обычно подразумеваем только те персональные данные, злоупотребление которыми может понятным образом причинить вред тем людям, к которым эти данные относятся. С этой точки зрения утечки логинов, паролей, номеров кредитных карт и соответствующих им ПИН — утечки персональных данных.

Одна из самых крупных утечек в российской банковской сфере — данные о кредитных картах «Сбербанка»Одна из самых крупных утечек в российской банковской сфере — данные о кредитных картах «Сбербанка»Яромир Романов / Znak.com

— Почему становится возможным, что персональные данные клиентов утекают из банковских IT-систем? Несовершенство систем безопасности, недобросовестный персонал или что-то еще?

— Сами по себе данные как цель атакующих — тренд последнего времени. Мы видим, что более половины всех киберпреступлений совершается с целью получения каких-либо данных. 

Персональные данные — основной тип украденной информации в атаках на юридические лица, в общей статистике они составляют 29%.

Это неудивительно, ведь в компаниях могут храниться большие базы как персональных, так и учетных данных клиентов. Кроме того, злоумышленники могут быть заинтересованы в учетных данных сотрудников и клиентов компании-жертвы. Частные лица наиболее часто рискуют учетными записями и данными своих банковских карт, они составляют 44% и 34% от всего объема информации, украденной у частных лиц, соответственно.

Мотивы злоумышленниковМотивы злоумышленниковДанные предоставлены компанией Positive Technologies

Если же посмотреть на типы украденной информации в привязке к отраслям, то вот какие данные получились по итогам второго квартала 2019 года. В государственных учреждениях злоумышленники похищали данные, составляющие коммерческую тайну (47% случаев), персональные данные (40%) и учетные данные (7%). В промышленных компаниях — учетные данные (более 80%) и коммерческую тайну. В медицинской сфере лидировали персональные данные (46%) и медицинская информация (36%). В финансовой отрасли — коммерческая тайна (в 34%), данные платежных карт (17%) и базы данных клиентов (16%). 

Наши собственные исследования показывают, что данные входят в ТОП-4 наиболее часто продающихся и покупающихся в DarkWeb, куда можно проникнуть только специальным способом, доступным далеко не каждому. Приведу категории данных, которые чаще всего продают и покупают на теневом рынке. Во-первых, это логины и пароли от интернет-сервисов (соцсети, онлайн-банки и прочее). Во-вторых, данные банковских карт. В-третьих, персональные данные частных лиц, в том числе скан-копии документов, подтверждающих личность (паспортов, водительских удостоверений). В-четвертых, финансовая отчетность компаний, скан-копии учредительных документов и другая конфиденциальная документация.

При этом большая часть учетных данных продается по цене до 10 долларов.

Отмечу, что украденные аккаунты от социальных сетей и других интернет-сервисов продаются партиями от нескольких тысяч до нескольких миллионов записей. Цены за такие комплекты варьируются от десятков до сотен долларов. Учетные данные для доступа к личным кабинетам в онлайн-банках продаются поштучно. Например, при средней цене доступа в 22 доллара счета имеют баланс от нескольких десятков долларов до десятков тысяч. Стоимость данных одной банковской карты с балансом от нескольких сотен до нескольких тысяч долларов на счету в среднем около 9 долларов, а, например, отсканированную копию паспорта в DarkWeb можно приобрести за два доллара в среднем.

Типы украденных данныхТипы украденных данныхДанные предоставлены компанией Positive Technologies

— Какие банковские услуги сегодня наиболее уязвимы с точки зрения утечки данных? Карточки, онлайн-банкинг, что-то еще?

— Для начала стоит определиться со значением слова «уязвимы». Если под ним подразумевается то, «каким сервисам угрожает наибольшая опасность», то на первом месте, конечно, окажутся платежные сервисы для физических лиц, это онлайн-банкинг, карточный процессинг и тому подобное. На втором месте — услуги потребительского кредитования, так как утечка персональных данных, в первую очередь — скан-копий паспортов, позволяет злоумышленникам оформлять кредиты по подложным документам. Если же речь идет о том, насколько защищены те или иные услуги, то как раз на защиту именно этих услуг и направлены основные усилия банков.

«Атаки на онлайн-банки не требуют высокой квалификации и подготовки»

— Как вы оцениваете защищенность IT-систем российских банков?

— В финансовых организациях система защиты, как правило, хорошо организована, поэтому главным вектором проникновения в инфраструктуру остается социальная инженерия, использующаяся в 49% атак. Фишинг — вот самый эффективный способ доставки вредоносного программного обеспечения. 90% актуальных на сегодня APT-группировок используют его на этапе проникновения. АРТ — advanced persistent threat. Я поясню, что APT-атака — это тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль. За APT-атакой, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности.

Наши исследования показывают, что в среднем три четверти банков уязвимы для атак методами социальной инженерии. 

В 75% банков сотрудники переходят по ссылкам, указанных в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации. Также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение.

Часто сотрудники компаний сами переходят по ссылкам в фишинговых письмахЧасто сотрудники компаний сами переходят по ссылкам в фишинговых письмахЯромир Романов / Znak.com

Защита сетевого периметра в банковской сфере значительно выше, чем в других отраслях. В ходе тестирования на проникновение за 2017–2018 годы сетевой периметр организаций преодолевается в 58% случаев. В кредитно-финансовой сфере этот показатель составляет 22% и возрастает до 75% при использовании социальной инженерии.

Типы продаваемых данныхТипы продаваемых данныхДанные предоставлены компанией Positive Technologies

Во внутренней сети уровень их защищенности мало чем отличается от компаний из других отраслей и достаточно низок. Это позволяет злоумышленникам беспрепятственно перемещаться по сети, получать доступ к критически важным системам, управлению банкоматами и карточному процессингу. Наиболее частые проблемы в конфигурации серверов — несвоевременное обновление ПО (это касается 67% банков) и хранение чувствительных данных в открытом виде (58% банков). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение в 25% случаев удалось получить доступ к управлению банкоматами из внутренней сети банков. 

Главная позитивная тенденция в безопасности финансовых приложений в 2018 году — сокращение доли уязвимостей высокого уровня риска в онлайн-банках. 

Однако в целом их защищенность остается низкой: кража денежных средств в прошлом году была возможна в 54% онлайн-банков, это несколько выше показателя 2017 года, составившего 50%. В отдельных случаях уязвимости позволяли развивать атаку до проникновения в корпоративную инфраструктуру. 

В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей. Мобильные и онлайн-банки — популярные каналы для атаки на клиентов финансовых организаций. Общее повышение уровня защищенности финансовых организаций, а также то, что атаки на онлайн-банки не требуют такой высокой квалификации и подготовки, как атаки на инфраструктуру, может привести к переключению внимания части злоумышленников с финансовых организаций на их клиентов.

Данные банковских карт - одна из популярных целей мошенниковДанные банковских карт — одна из популярных целей мошенниковЯромир Романов / Znak.com

Исследования защищенности банкоматов и платежных терминалов показывают, что используемые механизмы безопасности недостаточно эффективны. Выявленные уязвимости и недостатки механизмов защиты позволяют похитить деньги или перехватить данные банковских карт. В 2018 году были зафиксированы преимущественно атаки типа blackbox.

Преступники в будущем могут наметить себе и новые объекты атак, которые пока не привлекают их внимания.

Например, большое число уязвимостей выявляется в торговых платформах, используемых в финансовых организациях. 

Атаки на них еще не распространены, но имеют шансы превратиться в новый тренд в ближайшее время и потенциально могут вызвать изменение цен на бирже и привести к потере денег.

— Что грозит гражданину, если его персональные данные попали в руки сторонних лиц?

— В самом безболезненном для него случае — звонки с предложением услуг различных компаний. Подобный обзвон можно делать только после того, как субъект разрешил с ним связываться, но многие предприятия розничной торговли, в том числе и некоторые известные бренды, это требование закона игнорируют. То, чего действительно стоит опасаться владельцам карт, — так это всплеска активности мошенников, которые попробуют воспользоваться «слитой» информацией и начнут массово обзванивать клиентов, используя похищенную информацию для придания своим звонкам большей правдоподобности. Если жертва не распознает такого рода звонок и сообщит дополнительные конфиденциальные сведения мошенникам, то последние смогут развить атаку и, к примеру, привязать карты к мобильным воллетам (хранилище данных карт — примечание редакции) Apple Pay, что является популярным типом мошенничества, или даже получить доступ к онлайн-банку и непосредственно к счету атакуемого банковского клиента со всеми вытекающими последствиями.

— Как действовать человеку, если он узнал, что его данные похищены?

— Теоретически, вопросами защиты прав субъектов персональных данных занимается Роскомнадзор, и, узнав при утечке данных (чаще всего — когда данные уже кем-то используются), следует обращаться именно в это ведомство. В некоторых случаях имеет смысл оценивать, как именно используются данные и обращаться в профильные ведомства: незаконная реклама находится в компетенции Федеральной антимонопольной службы, навязывание услуг — Роспотребнадзора, банковские махинации — Центробанка.

Если же мы говорим об утечке данных платежных карт, то скомпрометированную карту стоит сразу же заблокировать и перевыпустить. 

Обратите внимание на то, чтобы номер новой карты отличался от старой, потому что, в случае простого перевыпуска по истечении срока, карта может иметь тот же самый номер, а это, как вы понимаете, тот же набор входных данных, с которого может начаться атака и который уже скомпрометирован. В зависимости от того, что еще оказалось в руках мошенников, стоит опасаться подозрительных звонков или даже оформления кредитов на свое имя.

Доли уязвимых сервисов на сетевом периметре 100 крупнейших банковДоли уязвимых сервисов на сетевом периметре 100 крупнейших банковДанные предоставлены компанией Positive Technologies

В целом я могу дать одну рекомендацию — сохранять повышенную бдительность: не разглашать данные карт, паспортов и прочих документов, даже если кажется, что вам звонят из банка — ни при каких обстоятельствах банковский служащий не будет задавать вам такие вопросы. Иногда стоит перестраховываться, перевыпуская карты.

«В ситуациях кражи личных данных клиент защищен крайне слабо»

— На ваш взгляд, кто больше виноват в сложившейся ситуации? Банковские организации или сами граждане, которые просто еще достаточно наивны по отношению к волне цифровизации?

— Мы все чаще сталкиваемся с ситуациями, когда в нашу жизнь приходят технологии, степень опасности которых потребители не представляют или закрывают на нее глаза. Это наглядно видно на примере беспилотников: на каждой конференции по кибербезопасности демонстрируют, как легко навязать беспилотнику ложные координаты, как можно перехватить управление им или нарушить нормальную работу алгоритмов принятия решений. Но тем не менее общество с восторгом обсуждает ввод в эксплуатацию беспилотных грузовиков и такси. Для того, чтобы осознать потенциальную опасность технологии, нужны специальные знания, которых у потребителя нет, а вот оценить ее удобство он может легко, особенно на фоне массированной рекламы. Это в равной степени относится и к роботизации, и к цифровым финансовым услугам. Так что тут правильнее говорить не о наивности потребителя, а об отсутствии должного контроля за безопасностью новых технологий.

Беспилотникам очень легко навязать ложные координатыБеспилотникам очень легко навязать ложные координатыНаталья Ханина / Znak.com

— Какие наиболее распространенные способы получения данных?

— До недавнего времени уверенно лидировали инсайдеры, выносящие из компаний информацию, к которой имеют санкционированный работодателем доступ. Но в последние годы мы все чаще сталкиваемся с APT-атаками на организации, когда хакеры проникают в инфраструктуру извне, закрепляются в ней, получают доступ информационным системам и могут месяцами, а иногда годами накапливать интересующую их информацию. В практике расследований, проводимых командой нашего экспертного центра безопасности, бывали случаи, когда активность той или иной группировки в инфраструктуре организации исчислялась годами.

Наиболее распространенные уязвимости во внутренней сети (доля банков)Наиболее распространенные уязвимости во внутренней сети (доля банков)Данные предоставлены компанией Positive Technologies

— В последнее время люди часто сталкиваются с тем, что им звонят и пытаются выманить их данные. Но почему-то мы не слышим, что ответственных за этих розыгрыши с мошенническими целями наказывают. Наше законодательство еще слабо в этом вопросе?

— По сравнению с европейским законодательством российское более щадящее, по крайней мере, в карательной его части.

Там, где за незаконное использование или за утечку персональных данных российский регулятор может наказать виновника, скажем, на 50 тыс. рублей максимум, европейское законодательство предусматривает штраф до 4% годового оборота. 

Но это отличие выравнивается общей проблемой: чтобы кого-то наказать, его сперва нужно поймать, а это непросто. Так же непросто определить и источник утечки: чаще всего об утечке данных узнают лишь тогда, когда их уже используют мошенники (или продают соответствующие базы в DarkWeb), а в этот момент определить, а главное — доказать, источник утечки практически невозможно.

— Как вы оцениваете юридическую сторону данной проблемы. Насколько клиент защищен в этом вопросе с точки зрения законодательства?

— В ситуациях кражи личных данных клиент защищен крайне слабо. С одной стороны, вины клиента здесь нет. Он не виноват в распространении данных своей карты, и до момента совершения мошеннической операции, скорее всего, даже не будет знать о том, что конкретно его данные пострадали. Но бремя доказательства своей невиновности будет все же лежать на клиенте: ведь банк никак не застрахован от недобросовестности клиента.

«Сбербанк» после утечки данных усилит защиту от собственных сотрудников

Скажем, клиент заказал пиццу и съел ее, а потом решил сообщить банку о том, что операция по покупке пиццы не была санкционирована им лично. То есть он оплатил товар картой, затем подал претензию, отрицая факт оплаты. Если оплата «безПИНовая», доказать факт продажи товара именно этому человеку торговая точка не может, а значит банк-эмитент вправе не перечислять средства. 

Поэтому вводятся механизмы защиты, которые «привязывают» платеж к определенному человеку. На сегодня фактически стандартом является или использование микропроцессорных карт с подтверждением оплаты вводом ПИНа при сумме свыше 1000 рублей, или подтверждение онлайн-операций однократным паролем по технологии 3D-Secure. В результате мошенники вынужденно перешли на сценарии, в которых у жертвы выманивается тот самый однократный пароль для онлайн-операции. По правилам платежных систем, такие операции не могут быть оспорены клиентом: однократный пароль признается достаточным подтверждением платежа. В этом случае клиенту остается обращаться в суд с иском к банку, а в судебном споре с банком он находится в заведомо проигрышном положении. 

Уровень защищенности онлайн-банков (доля систем)Уровень защищенности онлайн-банков (доля систем)Данные предоставлены компанией Positive Technologies

— В каком состоянии по вопросу безопасности данных в банковских системах находится Россия по сравнению с другими странами?

— По сравнению с другими странами, кибербезопасность российского финансового сектора находится в несколько лучшем состоянии. Все описанные проблемы характерны для всех развитых стран, и недостатки в обеспечении информационной безопасности банков России, Европы, США, Юго-Восточной Азии в целом одинаковы. При этом лишь в некоторых странах на уровне государства ведется целенаправленная работа по защите финансовой системы в целом. Государство реагирует на преступления, проводит профилактику преступлений, но не диктует банкам, как именно они должны защищать свой бизнес. Это позволяет банкам перекладывать многие риски на своих клиентов и нести ответственность только в случае совсем уж явных нарушений. Сейчас, в рамках европейского законодательства по защите персональных данных, регуляторы начали выполнять ту же работу, которую ЦБ РФ начал более десяти лет назад: наконец вводятся технические требования, обязательные для банков как для операторов персональных данных.

Новости России
Россия
Уволен единственный в России врач, который проводил трансплантацию почек грудным детям
Россия
РКН заявил, что не намерен идти на компромисс со СМИ относительно мата по гиперссылкам
Россия
Суд восстановил в званиях экс-полицейских, осужденных за взятки
Россия
В Сирии забросали коктейлями Молотова российский патруль, военные назвали это провокацией
Россия
В Нижнем Тагиле зэки бесплатно строили яхту стоимостью 10 млн рублей, но виновных не нашли
Россия
Под Волгоградом батюшка пытался ладаном изгнать приставов, пришедших к должнику
Россия
СМИ: историк Соколов пытался покончить с собой во время следственного эксперимента
Валерий Максименко
Россия
Замдиректора ФСИН, заявивший, что ему стыдно из-за преступлений коллег, подал в отставку
Россия
Руководители российских СМИ обратились в Роскомнадзор с официальным письмом
Россия
В Астрахани балкон рухнул после драки собутыльников, один человек погиб
Россия
Посол Великобритании сэр Лори Бристоу покидает свой пост. Он рассказал Znak.com о своей работе
Санкт-Петербург
Для четверых обвиняемых по делу о теракте в метро Петербурга запросили пожизненные сроки
Россия
В Москве пропала редактор «Интерфакса». Она ушла в церковь и перестала выходить на связь
Россия
«Одноклассники» объявили номинантов премии «Самый ОК!»
Россия
В Госдуме сообщили об отзыве законопроекта об ограничении доли иностранцев в IT-компаниях
Россия
Фигурант «московского дела» Павел Новиков признал вину
Тбилиси, возле парламента
Россия
В Грузии продолжаются массовые протесты. Блокирован парламент, возле него жгут костры
Россия
РКН приостановил аккредитацию экспертов, сделавших скандальную экспертизу по Егору Криду
Россия
Протесты в Иране. Почему повышение цен на топливо грозит снести режим Исламской революции
Россия
МВД оценило ущерб от коррупции в России в ₽102 млрд
Отправьте нам новость

У вас есть интересная информация? Думаете, мы могли бы об этом написать? Нам интересно все. Поделитесь информацией и обязательно оставьте координаты для связи.

Координаты нужны, чтобы связаться с вами для уточнений и подтверждений.

Ваше сообщение попадет к нам напрямую, мы гарантируем вашу конфиденциальность как источника, если вы не попросите об обратном.

Мы не можем гарантировать, что ваше сообщение обязательно станет поводом для публикации, однако обещаем отнестись к информации серьезно и обязательно проверить её.

Читайте, где удобно