"Алло, служба безопасности беспокоит": Наши данные сливают за гроши ( 1 фото )

Фото: Olga Zinovskaya/Shutterstock

Алла Баранова

Менеджер Альфа-Банка в Екатеринбурге попалась на продаже контактов клиентов. Покупатель признался, что приобретал данные и в других финансовых учреждениях.

19 марта в Екатеринбурге задержали главного менеджера местного отделения Альфа-Банка. За несколько дней до этого к ней обратился мужчина с предложением, от которого было непросто отказаться. Исполнительный директор ООО с уставным капиталом в 15 тысяч рублей предложил банковской служащей 145 тысяч рублей. Взамен от неё требовался файл-табличка с данными клиентов этого отделения. Вместо богатого улова её ждёт уголовное дело: оперативники задержали и её, и нетайного покупателя.

За "незаконное разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну" даме с табличкой грозит до трёх лет, а пока она находится под подпиской о невыезде. Не имеет счастья пользоваться банковскими продуктами и покупатель баз данных. За "коммерческий подкуп" суд может дать ему до семи лет. Мужчина рассказал во время допроса, что в октябре прошлого года он приобрёл клиентскую базу другого банка за 10 тысяч рублей.

Чужие телефоны ему были нужны для дела. Точнее, для развития собственного дела: его фирма специализируется на банкротствах. И клиентов он искал среди тех, кто брал кредиты. После поимки он уже стал моральным банкротом, а в будущем не исключено, что станет несчастливым обладателем нескольких квадратных метров в колонии.

Однако он явно не последний, кто интересуется данными клиентов. Разберёмся, как они утекают из банков?

Кто следит за информацией в банках

Наверное, в России почти не осталось владельцев мобильников, которым не позвонили бы коллеги Михаила Ефремова по несчастью и не представлялись сотрудниками служб безопасности. Достаточно сказать: "А у меня и карты-то нет", чтобы на том конце перестали ломать комедию и повесили трубку. Лжесотрудники банков зачастую звонят по телефонам, не привязанным к счетам. Они не знают паспортных данных и даты рождения человека, которого пытаются обмануть.

Это – лучшее доказательство того, что данные взяты откуда угодно, но только не из банка. За компьютерами, на которых работают банковские служащие, следит Федеральная служба по экспортному и техническому контролю (ФСТЭК). Она предъявляет особые требования и к серверам, и к другому оборудованию. Плюс за всем жёстко следит Центробанк. Поэтому сэкономить на безопасности банк с хорошей репутации просто не может,

– рассказал на условиях анонимности сотрудник IT-компании на Урале, продающей компьютерные комплектующие для банковского сектора. По его версии, нечистую на руку сотрудницу, скорее всего, сдала силовикам служба безопасности.

В Уральском главном управлении Банка России Царьграду рассказали, что, по их данным, чаще всего персональные данные попадают к злоумышленникам через фишинговые сайты и интернет-магазины, где люди оставляют свои данные, совершая покупки.

"Утечки персональных данных из банков бывают редко. Но если и происходят, то проводится расследование по каждому конкретному случаю. Практически по всем таким историям есть реализованные уголовные дела и судебные решения. Роста утечек в финансовом секторе в прошлом году не было", – заверили в пресс-службе Уральского ГУ Банка России. 

Собрать свою базу клиентов

Как рассказала Царьграду управляющая одного из филиалов федерального банка в Свердловской области, доступ к базе данных клиентов, как правило, имеет ограниченный круг лиц:

Даже если это сотрудник службы безопасности, за ним всегда есть контроль. Есть и другие ограничения. Например, если требуется найти клиента-физлицо, то тот, кто делает запрос, не может посмотреть перечень клиентов-юрлиц.

Кроме того, просто выгрузить базу на флешку и слить её практически невозможно. Чтобы найти в базе конкретного клиента, кроме ФИО нужно указать ещё несколько параметров – год рождения, место рождения и другие паспортные данные.

В нашем банке, например, чтобы получить доступ к данным, нужно написать официальное письмо, оставить заявку, которую согласует служба безопасности, получить визу управляющего,

– добавила банкир.

По её словам, выгрузить базу клиентов одним списком можно в небольших региональных банках, которые находятся в режиме ожидания перед слиянием или поглощением и не стремятся вкладываться в безопасность и в технологии.

"Наиболее вероятный вариант с недавним случаем в Екатеринбурге: сотрудница могла сама формировать базу клиентов, сохраняя для себя контакты. Банковские работники сегодня ценятся не столько знаниями, сколько наработанной клиентской базой", – говорит эксперт.

"Сотрудники банков мечтают что-нибудь замутить"

Противоположное мнение у специалистов по кибербезопасности. Они уверены, что сливы персональных банковских данных происходят гораздо чаще, чем мы узнаем об этом из новостей.

Многие сотрудники банков, укравшие персональные данные клиентов, просто не знают, как реализовать "товар". В итоге слитые базы остаются трофеем на самой пыльной флешке. Есть разные причины для слива. Банки считаются "местом больших денег", а потому в эту сферу тянутся те, кто этих больших денег желает. Какой бы ни была зарплата у таких сотрудников, они мечтают что-нибудь замутить и больше не работать.

"Другой вариант: сотрудник крадёт базу, чтобы отомстить руководству за что-либо. В этом случае база чаще всего оказывается в бесплатном доступе, поскольку цель – нагадить, а не обогатиться. Потом они оказываются на рынках данных уже за деньги. И само собой, базы часто воруют профессионалы", – рассказал эксперт Уральского информационного аналитического центра, специалист по информационной безопасности Михаил Фрибен.

"Профессионалы" не делают этого самостоятельно. База далеко не всегда крадётся целиком, часто она добывается по кусочкам, так как разные части доступны разным отделам, а потом сводится.

Профессионал, когда "заводится" в банке, подговаривает других сотрудников утащить свой кусочек клиентской базы. Отделы продаж добывают контакты, а юристы дают паспортные данные. Рано или поздно об этом становится известно службе безопасности банка. Когда ситуация начинает пахнуть керосином, профессионал либо сваливает из банка, либо сам закладывает безопасникам своих подчинённых. После чего он выходит из воды сухим, а то ещё и с грамотой и хорошей характеристикой. По завершении мероприятия тем или иным способом профессионал "откочёвывает" в другой банк,

– рассуждает Фрибен.

Подобные схемы занимают в среднем год-полтора. Выручить за такую базу профи может от четырёх миллионов рублей, а делиться уже ни с кем не надо – подельников накрыла служба безопасности.

"Разумеется, на рынках данных он не сам продаёт эту базу, этим будут заниматься специалисты, которые выкупят у него продукт его преступной деятельности. Тут стоит отметить, что иногда базы добываются на заказ, то есть потребность в данных конкретного банка известна профессионалу раньше, чем он устроился в банк и начал собирать базу. Цены на персональные данные зависят от качества и возраста базы. Даркнет (темный сегмент интернета. – Ред.) – место продаж массового товара, как правило, уже бывшего в употреблении. Если требуется свежий и качественный товар, то работает только сарафанное радио, прямые знакомства с профессионалами или их перекупами. Стоимость баз, как правило, определяется за строку – от 10 до 1000 рублей. Всё зависит от того, сколько в этой строке данных", – рассказал эксперт.

Что касается защиты компьютеров в банках, специальные программы действительно существуют, но в таких случаях сотрудники-мошенники могут попросту сфотографировать экран монитора.