На прошлой неделе СМИ активно обсуждали «первую в истории» утечку персональных данных 120 тыс. клиентов из черного списка Центробанка. Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев размышляет, какие уроки можно вынести из инцидента.
В Интернете всплыла база данных с информацией о 120 тыс. клиентов из «черного списка» Центробанка – физических лиц, индивидуальных предпринимателей и компаний. Кредитно-финансовые организации отказались их обслуживать из-за подозрения в отмывании денег и финансировании терроризма.
База содержит ФИО, даты рождения, серии и номера паспортов граждан, ФИО и ИНН индивидуальных предпринимателей, наименования, ИНН и ОГРН юрлиц.
Критичной утечку делает не количество строк в базе – в российской истории были утечки гораздо глобальнее, – а полнота и качество информации, а также причины, по которым она произошла.
Так как доступ к данным строго авторизированный, а сами данные передавались по защищенным, зашифрованным каналам, нужно предполагать инсайдерскую утечку. Но кто ее допустил, сказать невозможно. Доступ к базе был у сотрудников многих российских банков, Центробанка и Росфинмониторинга – у всех участников обмена данными.
Практика криптозащиты данных спасает от физической кражи, но не защищает от хищения изнутри. Злоумышленник извне не смог бы перехватить информацию через сетевые каналы. Но когда доступ к таким данным имеют сотни сотрудников, то шифрование бесполезно.
В России действуют постановления, распоряжения и национальные стандарты по информационной безопасности для финансовой сферы. Основные – ГОСТ Р 57580.1-2017 и СТО БР ИББС 1.3-2016.
Документы предписывают банкам обязательно использовать программные средства защиты от утечек информации с конкретными функциональными возможностями.
В частности, ГОСТ предписывает обеспечивать автоматизированный контентный анализ передаваемой информации по сетевым каналам, вести архив коммуникаций, ограничивать хранение отдельных типов данных, предотвращать передачу данных на устройства хранения и т.д.
Если бы все участники процесса выполняли требования этого ГОСТа, скорее всего, утечка вообще бы не произошла. А в случае инцидента, виновника нашли бы быстро. То есть какое-то звено цепочки пренебрегло предписаниями либо выполнило их не в полной мере.
Подпишитесь на Telegram-канал «СёрчИнформ», чтобы получать еще больше новостей и мнений!
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных