Новые каналы утечек личных данных – системные администраторы

Все чаще персональные сведения (личные данные) россиян утекают через IT-специалистов. Число преступлений и инцидентов, вольно или невольно инициируемых системными администраторами, пока относительно и составляет 2-3%. Но объем информации, “сливаемой” сотрудниками IT-служб и подразделений, 25−30%, почти треть DarkNet рынка.


Сегодня утечка личных данных из российских банков и финансовых учреждений – действительно суровая реальность и больная проблема. Банковские услуги и сервисы могут корректно работать только в случае, если у системных администраторов есть полный доступ к данным клиентов. По мнению эксперта сервиса Веб Экстерн, ограничить утечку личных данных через IT-специалистов можно, только кардинально повысив их лояльность. Других путей нет.

Угроза в IT

Признаком того, что похитителями стали именно сисадмины, оказалась выгрузка из систем управления доступом, присутствие в слитых таблицах служебных полей, а также наличие полной резервной копии с большим количеством строк. Это новый вид инсайдеров, на него пришлось 2% сливов. 98% остальных утечек происходят из-за сотрудников других подразделений банков и компаний. Например, бэк-офиса или клиентской поддержки.

Технологические решения по предотвращению утечек защищают от мошеннических действий сотрудников бизнес-подразделений, но не IT-специалистов, например, имеющих полномочия администратора. Кроме того, доказать вину айтишника, имеющего базовые понятия об информбезопасности, на порядок сложнее, чем менеджера, который продает данные через Telegram, привязанный к SIM-карте под его именем.

Нынче профессия IT-специалиста превращается из элитной в массовую, где вероятно снижение уровня получаемых доходов и требований к нанимаемым работникам. При средней ежемесячной зарплате администратора баз данных в Москве в 150 тыс. рублей, на продаже, например, 100 тыс. сведений о банковских клиентах, можно заработать от 0,5 до 2 млн. рублей.

Практически все крупные банковские утечки объёмом свыше 50 тыс. записей, произошли не без участия IT-специалистов. При этом банки сами создают предпосылки, занимаясь цифровизацией и развитием финтеха. Хоть это и новый способ сливов, на него приходится уже 25-30% всех утечек по объему.

В прошлом году СМИ сообщали о выставленных на продажу в DarkNet баз данных клиентов Сбербанка объемом 60 млн. записей, ОТП Банка (800 тыс. записей), санируемого «Открытием» Бинбанка (70 тыс.) и других крупных кредитных организаций. Используя слитые в сеть данные, мошенники втираются в доверие и методами социальной инженерии выманивают деньги у банковских клиентов.

В российских банках у айтишников действительно есть полный доступ к персональным данным клиентов. Без поддержки со стороны IT-специалистов такие системы в принципе функционировать не могут. Речь идет о корректной работе банковских карт, предоставлении потребительских кредитов, переводе денег онлайн, обмене валют и так далее. Впрочем, права доступа предоставляются по принципу минимально необходимых полномочий для выполнения рабочих обязанностей.

Все клиенты кредитной организации подписывают согласие на обработку персональных данных, которое подразумевает передачу их третьим лицам – компаниям-партнерам. Хотя по партнерскому договору они обязаны следить за неразглашением личной информации, банк не может отвечать за сохранность сведений в других компаниях.

Технологии не помогут

Из самих банков уходит лишь 13% всей личной информации, которая в итоге продается в сети. В частности, в утечке сведений о кредитных клиентах Сбербанка был обвинен работник коллекторского бюро, с которым сотрудничала кредитная организация.

Банки реализуют целый комплекс мер, направленных на защиту клиентских данных: от повышения осведомленности работников по вопросам сохранности личной информации и мер ответственности за их разглашение до сугубо технических процедур – мониторинга атак и реагирования на них. Кредитные организации также используют DLP-системы, которые в первую очередь направлены на рядовых сотрудников, кроме того, ведется учет работников с открытым доступом к защищаемой информации.

Сфера защиты персональных данных как от рядовых специалистов, так и от IT-сотрудников, жестко зарегулирована стандартами и рекомендациями ЦБ, а также международными требованиями. Но сисадмины в отличие от обычных сотрудников компании имеют доступ ко всему массиву сведений из информационной системы. Они могут стать источниками данных из любой компании. Поскольку сейчас на черном рынке особым спросом пользуются сведения о банковских клиентах, появились утечки персональных данных финорганизаций и через IT-специалистов.

Защита от IT-специалистов требует кропотливой работы по разграничению обязанностей, при этом принимаемые меры очень бюрократизируют и затрудняют их работу. На практике организации чаще всего понимают риск утечки через системных администраторов и делают упор на повышение их лояльности.