Банковское дело в том виде, в котором мы его знаем сегодня, существует уже давно. Изменился лишь формат обслуживания клиентов, но принципы работы остались прежними. Люди привыкли доверять банкам — они не сомневаются, что их деньги и личные данные находятся под надежной защитой. Точно так же финансовые учреждения делают все возможное, чтобы оправдать ожидания клиентов. В частности, они используют эффективные инструменты для обеспечения безопасности экологической информации. Объясните, как строится защита персональных данных в банках.
Какую информацию обрабатывает банк?
Банки имеют право запрашивать у клиентов следующие персональные данные
Таким образом, банк собирает информацию, которая может быть использована для идентификации личности и создания объективного портрета клиента. Точный перечень запрашиваемой информации зависит от цели визита в финансовое учреждение. Клиентам, желающим подать заявку на кредит, требуется максимальный объем информации. Потенциальный заемщик должен заполнить подробную анкету, приложить документы, подтверждающие его доход, и дать разрешение на фотографирование. В некоторых случаях требуется предоставить информацию о лицах, выступающих в качестве поручителей, а также контактные данные третьих лиц, по которым банк будет искать клиента, если личные контактные данные недоступны.
Финансовые учреждения обязаны предоставлять клиентам возможность подписать согласие на обработку их персональных данных. Этот документ дает клиенту право распоряжаться полученной информацией в соответствии с законом и служит гарантией того, что его данные будут защищены. В нем перечислены все разрешенные действия с персональными данными. Также есть пункт о том, что финансовые учреждения обязаны соблюдать конфиденциальность информации.
Банки также должны соблюдать конфиденциальность персональных данных своих сотрудников. Это положение является обязательным условием Трудового кодекса.
Банки осуществляют действия с персональными данными
Финансовые учреждения имеют право собирать информацию, использовать ее для идентификации своих клиентов, контроля платежеспособности, информирования, хранения и удаления.
Закон не регулирует максимальный срок хранения персональных данных. Банки обычно удаляют данные в течение пяти лет после того, как обязательства человека перед финансовым учреждением выполнены.
Клиенты могут попросить удалить их данные, когда традиционные отношения заканчиваются. Например, при закрытии счета. Банки обязаны это сделать, если клиент не имеет задолженности перед учреждением.
Законы о защите персональных данных.
Все данные, подпадающие под категорию персональных данных, подпадают под действие Федерального закона № 152 от 27 июля 2006 года, который содержит положения о конфиденциальности, хранении данных, принципах обработки и мерах безопасности.
Федеральный закон также содержит положения об ответственности за неисполнение требований законодательства. Примерами нарушений, за которые банковские организации могут быть привлечены к ответственности, являются
Закон не предусматривает запроса перечня нормативных документов конкретного финансового учреждения. В принципе, банк сам разработал и внедрил политику обработки данных, в которой перечислены положения о защите персональных данных сотрудников и клиентов.
Система защиты данных в банке основывается на двух аспектах: организационном и методологическом. Организационные меры защиты включают
Второй этап обеспечения безопасности — внедрение технических средств защиты. Они должны выполнять следующие функции
Перечисленные задачи можно решить с помощью DLP-решения (Data Leakage Prevention). Решения этой категории предоставляют инструменты для предотвращения утечки конфиденциальной информации, обнаружения признаков корпоративного мошенничества и расследования инцидентов безопасности.
DLP для защиты банковских данных
DLP-решения защищают конфиденциальную информацию независимо от местонахождения устройства или способа его подключения к сети. Они работают, даже если устройство не подключено к Интернету. Постоянный контроль за соблюдением установленных политик безопасности позволяет предотвратить кражу данных и использование их в своих интересах внутренними злоумышленниками.
Решения для предотвращения утечки данных используются для постоянного мониторинга коммуникаций и перемещения конфиденциальных данных по каналам связи, а также для выявления фактов их хранения в ненадлежащих местах (файловые хранилища). Такой мониторинг позволяет выявить потенциальных внутренних злоумышленников (сотрудников, входящих в группу риска), а также сотрудников, уже нарушивших правила работы с данными.
Преимущества решения для защиты банковских данных:.
Практика использования DLP-систем показывает, что эти решения помогают избежать утечек данных в организациях различных сфер деятельности. Они помогают обнаружить подозрительную активность во всех каналах информационных потоков, своевременно выявить угрозы и принять соответствующие меры.
Для финансовых организаций хорошим выбором является Solar Dozor. Solar Dozor — это программное средство для защиты от незаконной передачи конфиденциальной информации из информационных систем, соответствующее требованиям информационной безопасности уровня доверия 4, указанным в следующем документе.
DLP-системы Solar Dozor могут использоваться в информационных системах, обеспечивающих максимальный уровень 1 безопасности персональных данных, в том числе в финансовых организациях, соответствующих положениям Приказа № 21 ФСТЭК России. 21 ФСТЭК.
Финансовые организации уделяют особое внимание защите персональных данных своих клиентов. Подход к защите персональных данных должен быть комплексным, и одним из компонентов интегрированной системы защиты является DLP-решение. Это инструмент для мониторинга перемещения и хранения конфиденциальной информации, контроля коммуникаций и немедленного реагирования на инциденты.
Больше статей о наших продуктах
Информационная безопасность: как банки борются с хакерскими атаками
Первая волна атак была выдержана системой безопасности банка, но удары продолжаются, и мы ощущаем качественные изменения. Ответная реакция есть, но необходимо проработать несколько аспектов безопасности.
2022 год был противоречивым и напряженным для банковских «профессионалов безопасности».
С одной стороны, ФП в целом являются наиболее технологически независимым сектором национальной экономики, но с другой — они не всегда спасают, например, от DDOS-атак, утечек конфиденциальных данных или преднамеренного и умышленного негативного воздействия на банковскую отрасль. Случайные события пресловутого человеческого фактора, такие как саботаж или социальная инженерия.
Иными словами, с точки зрения конфликта. С одной стороны, перебои в работе были вызваны ураганом кибератак на финансовые учреждения и уходом западных поставщиков.
Кто же оказался по другую сторону баррикад?
В январе 2023 года Совет федеральной безопасности России дал четкий ответ на этот вопрос. ‘Ситуация за последний год характеризуется значительным увеличением масштабов и интенсивности деструктивных информационно-технологических воздействий на информационную инфраструктуру страны со стороны иностранного и международного преступного сообщества’. ‘
Об отраслевой специфике
Зачем удешевлять рост, ведь использовать решения с открытым исходным кодом в категориях NGFW, DLP и облачной безопасности так дорого и невозможно?
Иван Чернов, директор по развитию USERGATE, объяснил в интервью B.O. Это происходит потому, что это тупик. Многие разработчики в начале разработки берут за основу решения систему с открытым исходным кодом. Такой подход был оправдан на ранних этапах, и мы начинали так много лет назад, но вскоре мы поняли, что продукты, созданные с использованием такого подхода, могут иметь серьезные ограничения, которые неприемлемы для зрелого решения. К таким ограничениям относятся ограничения производительности, проблемы, связанные со стабильностью, и непредсказуемая производительность по мере роста системы или развития инфраструктуры. Однако главная проблема заключается в наличии уязвимостей в открытом коде. Проектам очень сложно проводить проверки безопасности».
Следует добавить, что автономные и технически независимые NGFW не так уж полезны.
Каждому банку нужна экосистема продуктов кибербезопасности, включающая инструменты, необходимые для комплексной защиты современной финансовой инфраструктуры.
Такой подход поможет выполнить требования нового ГОСТ Р 57580. 1-2017 и существующих правил PCI DSS. То же самое касается сбора и передачи информации от FinCert в NCSCI.
Кроме того, технически возможно применение Указа Президента РФ 250 о мониторинге кредитных систем кредитных организаций в части удаленного доступа к СКОС.
Таким образом, создание недостающих 10 % функций из отечественных инструментов может стать дорогостоящей и сложной задачей для всего финансового сектора.
Какие кейсы можно выделить
Все вышесказанное определило структуру кейса, которая сведена в таблицу «БО. 2022 в 202 году». Из них можно выделить следующие
Что будет дальше? Банковские атаки будут продолжаться.
Это означает, что технические и научные исследования в области PY будут проводиться с новыми импульсами. Для этого нужны специализированные кадры и уникальный «материал».
А Банк России и другие регуляторы наверняка готовят новое в сфере регулирования, особенно в области цифрового рубля, открытых API, биометрии, борьбы с мошенничеством и защиты критической информационной инфраструктуры.
Самые распространенные компьютерные угрозы в банковской сфере
Судя по названиям зарубежных изданий, наибольшую угрозу для клиентов банков с точки зрения вычислительных систем представляет утечка информации о пластиковых картах.
Однако это не то, о чем стоит беспокоиться. Вот что пишет Verizon в своем подробном отчете
Наибольшие угрозы для банковской безопасности сосредоточены в хакерских атаках на веб-сайты и серверы, а также в распространении блокировки оборудования.
В исследовании учитывались данные об инцидентах в 95 странах мира.
Более четверти (27 %) всех компьютерных атак на банки в прошлом году были направлены на онлайн-приложения. Киберпреступники используют различные тактики.
Одной из самых популярных является рассылка фишинговых писем — поддельных писем, отправляемых клиентам от имени банка с целью получения клиентских соединений и паролей, а также перехода по ссылкам, которые ведут к установке вредоносного программного обеспечения на компьютер пользователя.
Также нередко используются такие виды атак, как SQL-инъекции, которые записывают вредоносный код в базы данных.
DDOS-атаки стали наиболее распространенным способом нападения на банковские серверы.
Интернет-атаки — это бич всего Интернета», — говорит Антон Чувакин, вице-президент по исследованиям, безопасности и управлению рисками компании Gartner, в интервью American Banker. — По мере развития Интернета в процесс разработки и установки все чаще вовлекаются менее специализированные разработчики».
Целью таких атак на банковские онлайн-приложения является, прежде всего, кража данных клиентов.
До сих пор многие организации использовали единый фактор аутентификации для защиты своих онлайн-приложений», — объясняет Крис Новак, старший эксперт Verizon Enterprise Solutions. — А преступникам это дает возможность легко проникать в информационные системы».
Некоторые банки, такие как US Bancorp, Wells Fargo и Westpac, в настоящее время тестируют биометрические методы защиты.
Это позволит повысить безопасность информации и снизить уязвимость к хакерским атакам.
Согласно отчету Verizon, в прошлом году на долю DDOS-атак различных типов пришлось около 26 % всех банковских инцидентов.
В ходе таких атак преступники, как правило, не пытаются украсть данные. Их главная цель — помешать нормальному функционированию банков.
‘Они считали, что DDOS-атаки не причинят серьезного ущерба и быстро исчезнут. В результате многие организации поднимали их во второй раз», — говорит Крис Новак. По его словам, прошлый год был самым интенсивным по количеству DDOS-атак за всю историю.
Хотя во многих прошлогодних DDOS-атаках не упоминались новостные организации, это не значит, что их не было.
Исполнителей этих атак трудно найти из-за большого количества распределенных серверов. В то же время Новак отмечает, что в подавляющем большинстве DDOS-атак присутствуют политические мотивы.
Однако остается немало мошенников, которые действуют из простой жажды наживы. В таких случаях DDOS-атаки — это всего лишь отвлекающий маневр для кражи данных.
Они происходят в то время, когда сотрудники службы безопасности сосредоточены на других задачах.
Хотя многие DDOS-атаки не упоминались в прессе в прошлом году, это не значит, что их не было. Фото с сайта www. wikimedia. org/
3D-принтеры способствовали развитию скимминга
В прошлом году на международные распятия пришлось 22 % всех атак на системы безопасности банков.
Скимминг продолжает процветать как относительно простой способ получения доступа к финансовой информации. Им пользуются как организованные группы, так и отдельные мошенники с низкой квалификацией», — поясняют авторы отчета.
Одной из причин, по которой мошенничество со скиммингом практически не сократилось, является развитие дешевых 3D-принтеров, позволяющих преступникам печатать элементы оборудования.
Такие трехмерные принтеры стоят около 1 000 долларов США в США и могут полностью координировать работу обманных устройств ATM.
Потенциал преступников превышает наши возможности по борьбе с ними», — признает Крис Новак. — Большинство финансовых учреждений не обнаруживают атаки, даже если они осуществляются неспециалистами». Это происходит не потому, что хакеры умны, а потому, что защитники перегружены работой и имеют ограниченные ресурсы».
DDOS-атаки на банки в России
В 2013 году ущерб, нанесенный российским банкам и финансовым системам кибератаками, составил 700 млрд рублей. Об этом говорится в докладе Национального альянса инновационного развития и технологий (НАИРИТ).
В прошлом году количество атак увеличилось на 112 %. На DDOS-атаки приходится 19,9%, на вредоносное ПО — 16,9%, на фишинговые атаки — 11,9%», — говорит президент НАИРИТ Ольга Ускова.
По данным НАИРИТ, ИСА (Института системного анализа) и Института социально-экономической модернизации РАН, DDOS-атаки нанесли российскому финансовому сектору ущерб в 120 млрд рублей.
Исследователи подсчитали, что репутационные потери организаций финансового сектора составили еще 1 500 млрд рублей.
По предварительным данным Group-IB, в 2013 году оборот российской киберпреступности вырос примерно на 30 %, составив 1,98 млрд долларов США по сравнению с аналогичным показателем 2012 года, что позволяет говорить о сумме около 2,5 млрд долларов США.