Эксперты: профилактика утечек персональных данных клиентов банков должна осуществляться путем совершенствования технических решений и управления персоналом
everythingposs / Depositphotos.com |
В современном обществе достаточно остро стоит вопрос обеспечения информационной безопасности. Речь идет в том числе и о проблеме защиты персональных данных. Персональные данные, напомним, – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физлицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"). Персональными данными могут являться имя, фамилия, отчество гражданина, информация о поле, возрасте, месте рождения и проживания, изображение человека, биометрические данные, номер телефона, адрес электронной почты, паспортные данные, сведения о финансовом положении и т. д. Крупными операторами данных о клиентах являются банки. При этом граждане, как правило, чувствительно относятся к нарушениям порядка обработки персональных данных в этом секторе.
К сожалению, на что обратил внимание руководитель комитета Ассоциации российских банков по информационным и интернет-технологиям, член совета директоров банка "Юнистрим" Олег Скворцов, если в поисковой строке браузера задать запрос по типу "купить персональные данные", то система выдаст множество соответствующих ссылок. Теневой рынок торговли персональными данными достаточно обширен. При этом эксперт отметил, что банковская система на самом деле является более защищенной от утечек персональных данных, по сравнению, например, с рынками страхования и микрофинансирования. Но соответствующие проблемы в банковском секторе, как правило, "громче" освещаются.
"Проблема защиты персональных данных будет развиваться по нарастающей. Чем интенсивнее развивается электронное взаимодействие, тем больше рисков", – считает президент Ассоциации российских банков Гарегин Тосунян. Причины утечек персональных данных, как заметил представитель банковского сообщества, могут быть различными, в том числе связанными с ошибками при разработке или настройке программного обеспечения либо целенаправленными действиями злоумышленников. Комментируя ситуацию недавней утечки данных о клиентах трех разных банков (как сообщается в СМИ, в свободном доступе оказались суммарно данные примерно о 900 тыс. физлиц) эксперт указал на то, что утечки были в прошлом и еще будут, но банковская система ищет способы эффективной борьбы с такими явлениями. Гарегин Тосунян подчеркнул, что в современных условиях люди должны осознавать риски возникновения подобного рода ситуаций, так как невозможно достичь стопроцентного уровня гарантированности защиты персональных данных. Кроме того, большим количеством информации, которая может использоваться в мошеннических целях, люди делятся добровольно, например в соцсетях.
Утечки могут быть связаны с внешним проникновением в банковские системы или действиями сотрудников банков. Олег Скворцов, ссылаясь на статистику "Смарт Лайн Инк", указал, что большая часть утечек (76%) происходит при задействовании съемных носителей, 10% инсайдерских утечек данных реализуется посредством фотографирования экрана монитора рабочего компьютера сотрудника с выведенной на него информацией из базы данных, 5% утечек осуществляется посредством воспроизведения данных на бумажных носителях, 4% – с помощью электронной почты, 3% – через мессенджеры, соцсети, и еще 2% – через облачные файловые хранилища. Эксперт считает, что для предотвращения утечек необходимо совершенствовать технические решения и проводить профилактическую, дисциплинирующую работу с сотрудниками. В качестве примера технического решения, препятствующего копированию данных, Олег Скворцов привел невозможность в некоторых CRM-системах увидеть номер телефона клиента. Вызов при этом может осуществляться только с помощью соответствующей кнопки в самой системе. Но ключевым направлением профилактики утечек персональных данных эксперт считает именно обучение сотрудников, разъяснение им правил обработки данных и последствий их нарушения.
При несанкционированном копировании персональных данных преследуется, как правило, цель их коммерциализации (в таких случаях незаконной). Данные чаще всего используются для предложения товаров и услуг либо в мошеннических схемах. Олег Скворцов предупредил, что распространенным, например, является так называемое телефонное мошенничество, когда лицу поступает звонок от якобы службы безопасности банка. Мошенники в таких случаях, как правило, сообщают о подозрительных транзакциях по карте и просят назвать CVV-код.
Во взаимодействии человека с информационной системой "слабым звеном" является, как полагает заместитель руководителя службы информационной безопасности банка "Возрождение" Василий Окулесский, в первую очередь человек. Эксперт согласен с Олегом Скворцовым в том, что обеспечение информационной безопасности, в том числе в отношении персональных данных, должно развиваться в двух направлениях: совершенствования технических решений, средств, а также систем управления бизнес-процессами и персоналом. Банковские HR-департаменты и службы безопасности, например, должны, как заметил эксперт, внимательно относиться к сотрудникам, находящимся в поисках новой работы.
Гарегин Тосунян обратил внимание на то, что в рамках обеспечения информационной безопасности в банковском секторе принимаются и институциональные меры регулятором. Так, с 1 июля 2018 года начал действовать Стандарт Банка России СТО БР ИББС-1.4-2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге". Василий Окулесский подчеркнул, что в целом уровень защищенности информации в российской банковской системе высокий. Так, по словам эксперта, с 2015 года в России прекращен выпуск так называемых исключительно "полосатых" банковских карт [информация на таких картах записывается на магнитной полосе. – ГАРАНТ.РУ]. С тех пор эмитируются чипированные карты либо карты и с магнитной полосой, и с чипом. Карты с чипом являются, как пояснил Василий Окулесский, более надежными, так как их сложнее "копировать".
Эксперты полагают, что действующего правового регулирования в целом достаточно для обеспечения информационной безопасности в банковском секторе и, в частности, защиты персональных данных. В ситуациях утечки данных о клиентах банков могут применяться в рамках привлечения кредитных организаций и должностных лиц к ответственности, например, ст. 13.11 КоАП (нарушение законодательства Российской Федерации в области персональных данных), ст. 13.14 КоАП РФ (разглашение информации с ограниченным доступом). Кроме того, причастные к утечке данных и их неправомерному использованию физлица могут быть привлечены к уголовной ответственности. Василий Окулесский подчеркнул, что речь может идти о различных статьях Уголовного кодекса – все зависит от квалификации деяний. Применимыми могут оказаться ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), ст. 159 УК РФ (мошенничество), ст. 159.1 УК РФ (мошенничество в сфере кредитования) и другие. Эксперт при этом обратил внимание на высокий уровень латентности правонарушений, связанных с утечкой персональных данных, то есть на большое количество не выявленных и не отраженных в официальной статистике нарушений. Этот уровень, по его словам, достигает 90-99%. Олег Скворцов связывает такой высокий уровень латентности с локальными утечками, то есть такими, которые касаются копирования небольших объемов данных сотрудниками банков даже с помощью простого переписывания их в блокнот, в том числе для какого-либо личного использования.