24 июня в ТАСС прошла пресс-конференция в формате круглого стола, посвященная вопросам сохранности персональных данных клиентов банковской системы и способам их защиты.

О мерах защиты персональных данных, предпринимаемых банковским сообществом и новых вызовах в области информационной безопасности рассказали президент Ассоциации российских банков Гарегин Тосунян, заместитель руководителя службы информационной безопасности банка «Возрождение» Василий Окулесский и руководитель комитета АРБ по информационным и интернет-технологиям, член совета директоров банка «Юнистрим» Олег Скворцов.

Информационным поводом для встречи с журналистами стала недавняя история с утечкой данных почти 900 тысяч клиентов трех банков — ОТП-Банк, Альфа-банк и ХКФ. Попавшие в открытый доступ файлы содержали имена, адреса и телефоны клиентов, а в некоторых случаях паспортные данные.

Утечки персональных данных и в России, и в других странах давно перестали быть редкостью, отметили все выступающие, им подвержены и крупнейшие транснациональные корпорации, и кредитные организации, и небольшие предприятия, и рядовые граждане разных государств. Полностью исключить риск подобных атак невозможно – злоумышленники все время придумывают новые способы обхода систем защиты, но их главным оружием остается человеческий фактор.

Участники круглого стола уже в начале разговора подчеркнули, что не стоит говорить про утечку персональных данных как о специфической банковской проблеме, это общая большая проблема общества и не только в нашей стране.

Банк России уже несколько лет ведет активную борьбу с киберпреступниками —разрабатывает и обновляет стандарты информационной безопасности для кредитных организаций, выпускает рекомендации по хранению персональных данных клиентов. Кроме того, Банк России решил объединить участников финансового рынка в едином информационном пространстве, где их будут оперативно информировать об актуальных киберугрозах. Эта система получила название FinCERT. Участники системы также получили в свое распоряжение набор программных средств и рекомендаций, применение которых минимизирует ущерб и потери этих структур и их клиентов, рассказал президент АРБ Гарегин Тосунян.

Раньше участие в информационном обмене было добровольным, а с 1 июля 2018 года стало обязательным для всех кредитных организаций. Тогда же была введена в эксплуатацию первая очередь автоматизированной системы обработки инцидентов, к которой подключились все российские банки. На основе этой структуры вскоре будет запущена база данных о случаях и попытках осуществления переводов денег без согласия клиента. В Банке России уверены, что это существенно повысит эффективность работы по предотвращению хищений денежных средств со счетов клиентов.

В кредитных организациях защита персональных данных является одним из главных приоритетов обеспечение информационной безопасности. Однако неприятные ситуации все-таки случаются.

Ответ на вопрос, кто может выступать организаторами «утечки» персональных данных из банка, очевиден. Это либо конкурирующие организации со схожими видами деятельности, либо криминальные структуры, в задачу которых входит незаконное завладение информации с целью дальнейшего ее несанкционированного использования, либо персонал самого финансового учреждения, который из корыстных, либо других мотивов нарушает правила хранения персональных данных. Во многих случаях именно некоторые сотрудники банка являются виновниками получения доступа к персональным данным финансовой организации.

«Утечки персональных данных являются не только бизнес-риском для банков, но и наносят репутационный урон не только отдельным банкам, но и всей системе в целом», - отметил Олег Скворцов. Он подчеркнул, что необходимо разделить внешние проникновения в банковские системы и утечки «изнутри», когда сотрудники банка идут на серьезные нарушения. Он привел данные компании DeviceLock, свидетельствующие о том, что среди инсайдерских утечек 10% занимают обычные съемки баз данных с экрана. И сегодня уже несколько банков ввели запрет на фотографирование экранов компьютеров.

Подробно о том, как работают службы безопасности в кредитных организациях, рассказал Василий Окулесский. Причем он подчеркнул, что в целом банковский сектор наиболее защищен в российской экономике в плане информационной безопасности.

Отвечая на один из поставленных вопросов, Гарегин Тосунян подчеркнул, что мы живем в открытом обществе, это надо понимать. Наши паспортные данные есть не только в кредитных организациях, но и в гостиницах и турагенствах, страховых компаниях и поликлиниках, авиакомпаниях и режимных учреждениях… Другое дело, что нечистоплотные владельцы данных в нарушение закона используют их в корыстных целях, перепродавая, как правило, криминальным структурам.

Выступающие также напомнили о том, что за разглашение персональных данных предусмотрены меры ответственности в КоАП РФ и УК РФ. Статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом» (разглашение информации с ограниченным доступом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей) предусматривает штраф для граждан от 500 до 1 тыс. рублей, для должностных лиц – от 4 тыс. до 5 тыс. рублей. Очевидно, что такие штрафы ничтожно малы.