Рядовые сотрудники российских банков виноваты в 89% инцидентов утечки данных из кредитных организаций, пишет «Коммерсант», ссылаясь на отчет «СерчИнформа». Согласно ему, в 2019 году 68% банков столкнулись с преднамеренными утечками данных, почти все из них (64% опрошенных) скрыли такие инциденты от широкой публики и не делали о них оповещений, только в 45% компаний сообщили об инциденте регулирующим органам.
Подобные инциденты часто связаны с «вербовкой» рядовых сотрудников банков, которая в даркнете, как правило, оценивается в 50—100 тыс. рублей, отметили в «СерчИнформе». В случае с отдельными банками выписку со счета конкретного человека можно приобрести в даркнете за 5 тыс. рублей, а в 300 тыс. рублей оценивается сбор доступной информации по финансовым операциям гражданина во всех банках. Данные ряда российских банков приобрести невозможно.
По словам экспертов, прямой ущерб банк получает от мошеннических действий с клиентскими счетами, а не от самого факта утечки, такие данные могут годами не быть востребованными и быстро устаревают. Если банки способны в собственной инфраструктуре применять различные методы защиты данных, то клиенты фактически остаются безоружны, поэтому по инициативе ЦБ в 2019 году все финансовые организации начали отслеживать подозрительные операции, которые могли быть совершены без согласия клиента, пояснили эксперты.
Как прокомментировали представители кредитных организаций, банки успешно борются с утечками. Так, реализуются комплексы мер противодействия утечкам, в том числе по идентификации мест хранения конфиденциальных данных и ограничению доступа к ним, аудиту обращений к данным и повышению осведомленности персонала. Также применяется комплексный подход к защите информации, который включает в себя повышение осведомленности сотрудников и клиентов по вопросам защиты данных и использование современных программных решений.
Комментарии
Это на технологическом уровне.
На законодательном необходимо ввести ответственность за сам ФАКТ разглашения (и использования) данных, полученных или разглашенных незаконным путем (в частности, без разрешения субъекта в соответствии с законной процедурой)
Пока по закону о ПД такая ответственость отсутствует ПОЛНОСТЬЮ! Персональные данные разглашать нельзя, но ответствености за это "нельзя" НЕТ НИКАКОЙ.
Тогда наши банки хоть как-то почесались бы.
Естественно, тут же нужно было бы закрыть исходно очевидно дурацкую СБП, к которой без разрешения подключают всех подряд, с идентификацией счета по контактному мобильному номеру
+++
Какие минуты? Банки официально продают данные налево, которые потом вообще без всякого контроля расползаются. Ежедневно "представители банков" звонят из всевозможных колцентров. Если в банке данные еще можно удержать (но только за счет переосмысления подхода к обработке, где человек имел бы минимальный и контролируемый доступ), то после продажи их всевозможным "партнерам", где нет ни контроля за данными и сотрудниками, ни реальной ответственности за утечку, говорить не о чем.