О произошедшем глава сингапурского Standard Chartered Рэй Фергюсон узнал непосредственно от полиции: файлы с данными 647 клиентов банка были обнаружены на ноутбуке Джеймса Раджа Арокиасами, 35-летнего сингапурца, арестованного в ноябре по обвинению в совершении кибератак на правительственные сайты. Арокиасами, известного в сети под ником «Мессия», причисляют к членам группы хактивистов «Анонимус», совершивших серию атак на веб-сайты правительства Сингапура в ответ на изменения законодательства о СМИ.

В ходе расследования было установлено, что данные были похищены с сервера компании Fuji Xerox, которая предоставляла банку услуги по распечатке выписок по клиентским счетам.

В настоящее время только три банка в Сингапуре занимаются распечаткой выписок по счетам своих клиентов самостоятельно: Bank of Singapore, UBS и Credit Swiss. Остальные пользуются услугами сторонних сервис-провайдеров для этих целей. Стоит отметить, что привлечение сторонних фирм для предоставления определенных услуг (отправка корреспонденции, взыскание долгов, эмбоссирование пластиковых карт, хостинг) является широко распространенной практикой среди банков по всему миру.

Как это понимать?

В течение последних пяти лет данные о клиентах нескольких швейцарских банков были похищены, чтобы затем попасть в руки правительств других государств, включая Германию. Поэтому на первый взгляд может показаться, что на прогнозы о том, что вскоре Сингапур обгонит Швейцарию по объему частного капитала под управлением финансовых организаций страны, обратили внимание не только инвесторы и хайнеты, но и хакеры, решившие подзаработать на продаже информации. Однако, если присмотреться к деталям инцидента, становится ясно, что, скорее всего, дело в другом.

По счетам клиентов банка, данные которых были похищены, не проводились несанкционированные операции, т.е. данные были украдены не с целью хищения средств. Инцидент прошел незамеченным в сфере информационной безопасности: это может означать, что кража данных не была следствием применения какой-то новомодной и хитроумной атаки, а лишь результатом халатного отношения банка и его сервис-провайдера к вопросу безопасности данных. А принадлежность похитителя к группе “Анонимус” (для непосвященных: группа хакеров, позиционирующая себя как борцов за любую свободу, в том числе за свободу распространения информации) наводит на мысль о том, что данные были похищены скорее из идейных, чем из корыстных соображений.

Последствия

Вне зависимости от мотивов Арокиасами, утечка данных повлекла определенные последствия. Повредил ли инцидент имиджу Standard Chartered? Безусловно: после того, как стало известно об утечке, акции банка просели в цене на биржах Лондона и Гонконга (не говоря уж о его репутации). Но повредила ли утечка имиджу банковского сектора Сингапура? Вряд ли.

Денежно-кредитное управление Сингапура (Monetary Authority of Singapore – MAS) проводит расследование инцидента при содействии Standard Chartered и Fuji Xerox. Банку предстоит направить на рассмотрение MAS отчет по результатам внутреннего расследования, после чего регулятор примет решение о санкциях, которые необходимо применить к банку.

MAS напомнило всем финансовым организациям страны о необходимости обеспечивать безопасность компьютерных систем и клиентских данных с помощью регулярной оценки уязвимости и проведения тестов на проникновение вне зависимости от того, обрабатывается ли информация о клиентах самими банками или с привлечением сторонних компаний.

Эксперты сходятся во мнении, что инцидент с утечкой данных клиентов Standard Chartered повлечет ужесточение требований, предъявляемых MAS к безопасности компьютерных систем банков, их аудиту и охране клиентских данных, хотя требования MAS, предъявляемые к кибербезопасности в финансовом секторе, и без того считаются одними из самых строгих в мире. Вряд ли этот случай негативным образом повлияет на привлекательность банковского сектора Сингапура: он лишь послужит поводом усилить меры по охране банковской информации в городе-государстве.

Источник