В Сеть просочился «черный список» ЦБ: кто виноват и что делать?
17.04.2019

На прошлой неделе СМИ активно обсуждали «первую в истории» утечку персональных данных 120 тыс. клиентов из черного списка Центробанка. Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев размышляет, какие уроки можно вынести из инцидента.

Что произошло?

В Интернете всплыла база данных с информацией о 120 тыс. клиентов из «черного списка» Центробанка – физических лиц, индивидуальных предпринимателей и компаний. Кредитно-финансовые организации отказались их обслуживать из-за подозрения в отмывании денег и финансировании терроризма.

База содержит ФИО, даты рождения, серии и номера паспортов граждан, ФИО и ИНН индивидуальных предпринимателей, наименования, ИНН и ОГРН юрлиц.

Критичной утечку делает не количество строк в базе – в российской истории были утечки гораздо глобальнее, – а полнота и качество информации, а также причины, по которым она произошла.

Причины утечки

Так как доступ к данным строго авторизированный, а сами данные передавались по защищенным, зашифрованным каналам, нужно предполагать инсайдерскую утечку. Но кто ее допустил, сказать невозможно. Доступ к базе был у сотрудников многих российских банков, Центробанка и Росфинмониторинга – у всех участников обмена данными.

Практика криптозащиты данных спасает от физической кражи, но не защищает от хищения изнутри. Злоумышленник извне не смог бы перехватить информацию через сетевые каналы. Но когда доступ к таким данным имеют сотни сотрудников, то шифрование бесполезно.

В России действуют постановления, распоряжения и национальные стандарты по информационной безопасности для финансовой сферы. Основные – ГОСТ Р 57580.1-2017 и СТО БР ИББС 1.3-2016.

Документы предписывают банкам обязательно использовать программные средства защиты от утечек информации с конкретными функциональными возможностями.

В частности, ГОСТ предписывает обеспечивать автоматизированный контентный анализ передаваемой информации по сетевым каналам, вести архив коммуникаций, ограничивать хранение отдельных типов данных, предотвращать передачу данных на устройства хранения и т.д.

Если бы все участники процесса выполняли требования этого ГОСТа, скорее всего, утечка вообще бы не произошла. А в случае инцидента, виновника нашли бы быстро. То есть какое-то звено цепочки пренебрегло предписаниями либо выполнило их не в полной мере.

Подпишитесь на Telegram-канал «СёрчИнформ», чтобы получать еще больше новостей и мнений!

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.