|
|
Обзор подготовлен
При поддержке
То, что финансовые институты являются излюбленными мишенями хакеров, инсайдеров и прочих представителей киберкриминала, известно всем. Инциденты происходят регулярно, в том числе и в России. Какие финансовые последствия несут подобные атаки? Можно ли уменьшить количество уязвимостей? Бывают ли вообще абсолютно защищенные банки?
Проблема банковских потерь от утечек и хакеров гораздо шире, чем о них принято думать. Банки, страховые и брокерские компании — инфраструктурный элемент экономики любой страны. Эти организации не работают сами по себе - они как сами обслуживают клиентов, так и обслуживаются у других компаний, либо ведут совместный бизнес, например, обеспечивают работу пластиковых карт в торговых структурах.
В связи с этим риски потери данных и денег в финансовом секторе не стоит связывать только, например, с банками. Потерять свои персональные и финансовые данные можно и в сети супермаркетов, и в аутсорсинговом центре и десятках других мест. Поэтому каждый инцидент необходимо рассматривать индивидуально. Как обычно, происшествия здесь можно рассматривать в двух плоскостях — внутренние происшествия и действия хакеров.
Сумма ущерба от утечек данных редко озвучивается самими банкирами. По понятным причинам: им это не выгодно. Поэтому, чаще всего, ущерб рассчитывается независимыми аналитиками, - отмечает руководитель аналитического центра компании Perimetrix Владимир Ульянов.
Некоторые оценки потерь от утечек данных в финансовой сфере
Инцидент | Экспертная оценка ущерба |
26 марта 2008 года*. Транспортная компания Archive Systems потеряла во время транспортировки резервную ленту банка New York Mellon. Носитель содержал персональные сведения 4,5 млн человек. | 100 млн долл. |
8 мая 2008 года. Из офиса в Гонконге одного из крупнейших банков, HSBC, был украден сервер (по другой версии сервер был потерян) с персональными данными 160 тыс. клиентов. На нем содержались сведения об именах и номерах счетов клиентов, а также другая приватная информация. | 4 млн долл. |
6 мая 2008 года. В Тюменский областной суд направлено уголовное дело группировки мошенников, специализировавшихся на хищении денежных средств по кредитным картам банка "Русский стандарт". По данным прокуратуры, для совершения хищений мошенники внедряли своих людей как в филиалы банка, так и в подразделения почтовой связи в Тюмени, Омске и Кургане. За восемь месяцев жертвами мошенников стало более 450 человек | 1 млн долл. |
12 декабря 2006 года. Сразу 10 российских банков допустили утечки. Среди них "Русский стандарт", "ХКФ-банк", "Росбанк", "Финансбанк", "Импэксбанк" и др. Так, любой желающий мог всего за 2 тыс. рублей приобрести базу "Отказы по кредитам и стоп-листы банков России" с 3 млн записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. В базе содержалась информация об имени заемщика, телефоне, домашнем адресе, месте работы и причине попадания в базу — просрочка по кредиту, отказ в выдаче кредита и другие компрометирующие обстоятельства (например, наличие судимости). Дополнительно указан банк–источник этих сведений. | 500 тыс. долларов для каждого из банков |
6 сентября 2006 года. Российский банк "Первое ОВК", поглощенный Росбанком, допустил утечку базы персональных данных, содержащей информацию о 3 тыс. неблагонадежных заемщиках банка, получавших кредиты в 2002-2003 годах. База содержала номера домашних или мобильных телефонов заемщиков, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем была указана причина и дата занесения в черный список. База продавалась в интернете и рынках Москвы за 900 руб. | 500 тыс. долларов |
6 июля 2006 года инсайдер из индийского call-центра одного из крупнейших банков, HSBC, выкрал персональные данные 20 английских клиентов банка и передал их своим сообщникам в Великобритании, которые перевели деньги клиентов на свои счета. В результате пострадавшие лишились в общей сложности почти 500 тыс. долларов. Банку пришлось понести значительные издержки на международное расследование инцидента, взаимодействие с Интерполом и PR-кампанию на восстановление своей репутации. Кроме того, банк пообещал вернуть все деньги пострадавшим. | 2 млн долларов |
17 января 2006 года. Крупнейший банк в мире Tokyo-Mitsubishi UFJ с активами более 1,6 трлн долларов по ошибке разослал номера счетов 580 своих корпоративных клиентов по неправильным адресам электронной почты. Причина утечки — банальная ошибка оператора, который перепутал электронные адреса, когда рассылал 3,4 тыс. уведомлений. В результате банку пришлось принести официальные извинения, оповестить пострадавших и провести внутреннее расследование. | 500 тыс. долларов |
* Здесь и далее указаны даты, когда об инциденте стало известно общественности, а не сами даты совершения утечки.
Источник: Perimetrix, 2008
Приведенные выше суммы ущерба — итог довольно кропотливой работы исследователей. Все подробности происшествий, как правило, покрыты тайной. За первое полугодие 2008 года аналитическим центром InfoWatch зарегистрировано уже более 200 обнародованных случаев утечки конфиденциальной информации во всем мире. Общее число скомпрометированных персональных данных за этот период составило более 56 млн записей.
Откуда берутся суммы ущерба? Очень часто обо всех тонкостях методик исследователи не распространяются. Но за информацией о том, как перевести количество скомпрометированных записей в сумму материального ущерба, можно обратиться к данным Ponemon Institute "2007 Annual Study: The Cost of data breach". Одним из главных результатов этого исследования является определение средней стоимости утечки всего лишь одной приватной записи. По данным Ponemon, в финансовом секторе она составляет 239 долл.
Стоимость утечки одной приватной записи
Источник: Ponemon Institute, 2008
Каким образом получается эта сумма? Она складывается из целого списка различных факторов, каждый из которых требует материальных затрат. Действительно, при возникновении утечки требуется целая серия действий, и каждое чего-то стоит.
Список действий финансовой компании при обнаружении утечки
Шаг | Описание |
1 | Провести расследование и понять, почему случился инцидент |
2 | Оповестить пострадавших в письменной форме. Организовать для них линию помощи |
3 | Оплатить услуги консультантов по безопасности |
4 | Закупить решения для минимизации риска аналогичных инцидентов |
5 | Оплатить услуги юристов в случае судебных разбирательств |
6 | Провести PR-кампанию, чтобы успокоить общественное мнение |
7 | Возможно, выплатить штрафы регуляторам. |
Источник: Ponemon Institute, 2008
Однако наибольшие материальные потери имеют совершенно другой, косвенный характер. И связаны они с ущербом для репутации компании и дальнейшим оттоком клиентов. На репутационные потери приходится 56% убытков финансовых компаний или 134 долл. на запись в численном выражении.
Таким образом, общий средний ущерб крупных банков от утечек составляет примерно $573 тыс. в год. Конечно, к данной сумме следует относиться с изрядной долей скепсиса, поскольку она была получена в результате косвенных вычислений, основанных на опросе игроков финансового рынка. Вместе с тем, эта оценка дает реальное представление о масштабах потерь, которые испытывают банки в результате всего лишь одной угрозы информационной безопасности.
Как рассказал CNews Николай Федотов, главный аналитик InfoWatch, "Утечки в банковской сфере преимущественно касаются номеров банковских карт клиентов. Эти номера (в совокупности с именем держателя и сроком действия карты) являются высоколиквидным товаром на чёрном рынке. Работники банков и иные сотрудники, причастные к проведению транзакций, знают об этом и находятся под постоянным искушением скопировать эти данные и продать".
Вторым по значимости объектом утечки для банков, отмечает эксперт, являются сведения о счетах и транзакциях клиентов. Использовать эту информацию для мошенничества весьма затруднительно, поэтому случаев намеренных нарушений конфиденциальности в отношении таких данных не бывает. Однако клиенты и правозащитники болезненно воспринимают обнародование финансовой информации. Также за нарушение банковской тайны во всех странах предусмотрена ответственность. "Инциденты, связанные с разглашением коммерческой тайны финансовых учреждений, редки. Однако один такой инцидент может нанести огромный репутационный ущерб финансовому учреждению. Такого рода информация утекает как случайно, так и намеренно, поскольку её можно использовать в биржевой игре или продать конкурентам", считает г-н Федотов.
Для каждого клиента банка достаточно высок риск, что его персональные данные или данные банковской карты попадут в чужие руки и, следовательно, могут быть использованы для хищения денег или мошенничества. Поэтому банки в развитых странах внедрили услугу финансового мониторинга. Когда есть основания опасаться компрометации конфиденциальной информации, все операции со счетами такого клиента внимательно отслеживаются и проверяются. Услуга не дешевая, но снижение риска мошенничества того стоит. К тому же, эту услугу часто оплачивают не сами клиенты, а предприятия, ответственные за произошедшую утечку.
Можно сказать, что в странах Запада борьба с последствиями утечек поставлена наравне с борьбой с самими утечками. Утечка конфиденциальной информации рассматривается как распространённый, регулярно происходящий инцидент, к которому каждый должен быть готов. На снижение числа таких инцидентов в ближайшие годы не рассчитывают. Страховые компании страхуют соответствующие риски.
Крупнейшие утечки персональных данных в банках в 1 полугодии 2008
Инцидент | |
1 | 23 июня 2008 в г. Тампа, шт. Флорида, США произошла брешь в системе банка Bank Atlantic. Брешь затронула держателей дебетовых карт Master Card. Размер утечки выяснить не удалось. Утечка произошла через одного из мелких ритейлеров, подключённых к банковской сети. Расследованием занимается генеральная прокуратура штата Флорида |
2 | 13 июня 2008 Texas Insurance Claim Services, техасская страховая компания, потеряла персональные данные о сотнях клиентов. Файлы с именами, номерами социального страхования и страхового полиса были обнаружены в мусорном контейнере. |
3 | 4 июня американский банк 1st Source Bank начал выпуск новых дебетовых карт для своих пользователей после того, как киберпреступники заполучили неизвестное количество данных о дебетовых картах клиентов банка. |
4 | 14 мая 2008 года сотрудник канадского банка First Calgary Savings потерял ноутбук, содержавший конфиденциальные сведения о сотнях клиентов банка. Данные были защищены паролем, однако не были зашифрованы. Полиция начала расследование дела. |
5 | 7 мая 2008 - более 1 300 акционеров исследовательской и инжиниринговой организации SAIC (Science Applications International Corporation) подверглись риску кражи личности после утери металлической коробки с шестью магнитными лентами в начале 2008 г. в Нью-Джерси. Ленты принадлежали Bank of New York Mellon, который выступает в качестве агента по трансферту акций для SAIC. На лентах были записаны имена, адреса, номера социального страхования, информация о счетах ценных бумаг, статусе транзакций и, возможно, банковские счета 1 376 настоящих и бывших акционеров. |
6 | 4 мая 2008, WESTPAC, третий крупнейший банк Австралии, вынужден перевыпустить около 2 тысяч карт Visa после того, как стало известно о риске кражи личности из-за утечки данных. Неизвестные из-за границы смогли похитить номера кредитных карт клиентов банка. |
7 | 28 апреля 2008 стало известно, что Bank of Ireland, второй по величине банк Ирландии, с июня по октябрь 2007 года потерял четыре ноутбука с именами жителей Ирландии, их адресами, датами рождения, сведениями о банковских счетах, а также медицинской информацией. Жертвами утечки стали клиенты, оставившие заявку, либо заказавшие услугу страхования жизни в одном из восьми отделений банка. Пострадали 30 тысяч человек. Ни в одном из пропавших ноутбуков не использовалось программное обеспечение по шифрованию информации. |
8 | 18 апреля 2008, Кит Финанс, российский инвестиционный банк, допустил утечку конфиденциальной информации о своем клиенте, который заказал оценку собственной инвестиционной привлекательности. Пострадавший клиент — холдинг "Объединенные Медиа", в которые входит и радиостанция Business FM. Журнал "Смарт мани" опубликовал часть цифр, составляющих коммерческую тайну "Объединенных Медиа" - данные о расходных статьях и доходах от рекламы радиостанции Бизнес ФМ. Утечка данных нанесла как минимум репутационный ущерб банку. |
9 | 7 апреля 2008 года, банковская корпорация Гонконга и Шанхая (HSBC) подтвердила утерю компьютерного диска при отправке курьером с 370 тыс. данных о клиентах в английском отделении банка в г. Саутгэмптон. Данные в диске были защищены паролем, однако не были зашифрованы, и включали имена, даты рождения, номера страховых полисов и информацию о том, являются ли клиенты курильщиками. |
10 | 6 апреля 2008 года, данные клиентов банка People's United Bank, включая номера счетов и социального страхования, найдены в мусорных контейнерах на территории банка. Данные присвоил некий человек, который теперь вымогает деньги у банка за возвращение данных. Банк ищет пути получения назад данных своих клиентов, но уже обещал бесплатный годичный кредитный мониторинг тех счетов, которые оказались под угрозой компрометации. |
11 | 26 марта 2008 года, бывший программист банка Compass, базирующегося в штате Алабама, США, был приговорен к 3,5 годам заключения за похищение жесткого диска с данными об 1 млн клиентов банка и мошенничество с использованием этих данных. Злоумышленник также обязан вернуть 32 тыс. долл., которые он и его сообщник обманным путем изъяли со счетов клиентов банка в период между маем и июлем 2007 г. используя фальшивые дебетовые карты. База данных включала имена, номера счетов и ПИН-коды. Экспертная оценка ущерба - 197 млн долларов. |
12 | 17 марта 2008г, Массачусетская банковская ассоциация проинформировала своих клиентов об утечке данных. Треть из 200 банков — членов ассоциации получили предупреждения от компаний Visa и Mastercard. В предупреждениях говорилось, что некоторые кредитные и дебетовые карты этих банков могут быть подвержены риску. По мнению банковской ассоциации, утечка произошла в период между 7 декабря 2007 г. и 10 марта 2008 г. |
13 | 25 февраля 2008 г, инсайдер похитил секретные данные о клиентах банка LGT (Liechtenstein Global Trust) и продал украденную базу данных спецслужбам Германии за 4,2 миллиона евро. Данные касались уклонения от уплаты налогов. По данным банка, утечка коснулась 1400 клиентов, 600 из них из Германии, и 4527 бенефициаров фондов, созданных подразделением LGT Treuhand. В похищенной из банка LGT базе данных содержится информация о клиентах из США, Великобритании, Италии, Испании, Австралии, Новой Зеландии, Швеции, Финляндии, Норвегии, Канады и Германии. Экспертная оценка ущерба — 4,2 млн долларов +… |
14 | 21 февраля 2008 г. Преступники похитили настольный компьютер из офиса Kurt Bischoff Tax & Accounting, аудиторской и бухгалтерской компании, расположенной в штате Висконсин, США. Конфиденциальные данные в компьютере содержали имена, адреса, даты рождения, номера социального страхования и банковских счетов. |
Источник: InfoWatch, 2008
В InfoWatch комментируют, что аналитики компании практически ежедневно фиксируют сообщения о случаях утечки. Если в 2007 году фиксировалось в среднем 6 случаев утечек в неделю, то в 2008 году этот показатель увеличился до 7,6. Это касается только известных случаев, просочившихся в прессу. При этом наиболее часто в СМИ попадает информация об утечках, произошедших в США, поскольку законодательство большинства штатов предписывает уведомлять всех субъектов персональных данных о подобных - произошедших или возможных - инцидентах.
Помимо решения внутренних проблем, финансовым институтам приходится бороться и с хакерами, т.е. с теми, кто пытается проникнуть в компьютерные сети банков и страховых компаний извне или перенаправить пользователей интернет-банкинга на поддельные сайты (фишинг). Сколько бы денег ни тратили на ИБ финансисты, им регулярно приходится списывать по статье "убыток" значительные средства.
Самый последний громкий инцидент такого взлома зафиксировали в Citibank. По данным РБК daily, выходцы из бывшего СССР Юрий Ракушинец, Иван Бильце и Ангелина Китаева были признаны виновными в мошенничестве и незаконном доступе к банкоматам Citibank с помощью технических средств. Не исключено, что помощь преступникам оказывал кто-то из сотрудников банка — на это указывают данные под присягой показания агента ФБР. Как утверждает обвинение, в период с октября 2007 по март 2008 года вышеупомянутые граждане получили в свое распоряжение до 80 тыс. PIN-кодов пластиковых карт клиентов Citibank, пользовавшихся его банкоматами, установленными в сети магазинов 7-Eleven. Со счетов клиентов похищено более 2 млн долл.
17 апреля 2008, сайт Community Bank, дочернего предприятия Bank of America, по данным InfoWatch, был атакован вредоносной компьютерной программой. Из-за атаки банк вынужден перевыпустить 867 карт Visa, принадлежащих клиентам (в основном из Германии). A немного ранее — 8 июля 2008г. - компьютерная система LPL Financial, крупнейшей американской организации независимых финансовых советников, была взломана хакерами. Злоумышленники получили компьютерные пароли 14 советников и 4 ассистентов
19 января 2007г., по данным Securitylab, один из крупнейших банков Швеции, Nordea, стал жертвой хакеров, похитивших более миллиона евро со счетов клиентов. По данным аналитиков McAfee, данная кража может стать крупнейшей в мире кражей такого рода. В банке рассказывают, что на протяжении последних 15 месяцев неизвестные постоянно рассылали клиентам банка электронные письма, содержащие троянскую программу. По данным шведской полиции и экспертов компании McAfee, ограбление было совершено группой российских хакеров.
Инерфакс пишет о том, что раскрыта деятельность преступной группы, занимавшейся в Санкт-Петербурге хищениями с помощью банковских карт. Как сообщили этому изданию в пресс-службе управления МВД по Северо-Западному федеральному округу, злоумышленники устраивались на работу в почтовые отделения, где похищали письма с картами различных банков. Группа включала организатора и четверых его подельников. Как пояснили в правоохранительных органах, "преступники звонили адресатам, на имя которых были направлены пластиковые карты, и под различными предлогами узнавали кодовые слова, необходимые для активации кредитных карт". Далее злоумышленники использовали средства, находившиеся на счетах. Подозреваемые в совершении хищений были задержаны в Москве. По версии следствия, они прибыли в столицу для "продолжения и расширения своей преступной деятельности". При задержании было изъято 15 пластиковых карт, а также наркотики. Возбуждены уголовные дела, ведется следствие.
Больше 100 тыс. новых фишинговых сайтов создавалось в среднем за неделю в 2007 году, говорится в отчете исследовательской компании X-Force. Только с 11-го по 18-ое июня 2007 года было идентифицировано, изучено и классифицировано 114 тыс. новых фишинговых сайтов. 99,8% этих сайтов было создано с помощью средств автоматического фишинга. Гюнтер Ольманн (Gunter Ollmann), глава отдела безопасности IBM ISS, считает, что в последнее время наблюдается колоссальный скачок количества фишинговых сайтов, за созданием которых стоит организованная преступность. Патриция Мартин (Patricia Martin), вице-президент сети банков Regions в США, признает в этой связи, что огромное количество банков стали жертвами фишинговых атак за последние несколько месяцев 2007 года.
Перечислять все примеры из этой сферы просто нет смысла — все они похожи друг на друга и отличаются лишь деталями. При этом самым молодым осужденным хакером можно, наверное, считать новозеландца Оуэна Т. Уокера, руководителя международной сети киберпреступников, на счету которой более 20 млн похищенных долларов.
Обеспечение информационной безопасности в финансовой сфере сравни гонке вооружений у военных. Это процесс, в котором нет постоянных победителей — ситуация меняется очень быстро. И противостоят друг другу здесь равные соперники. Поэтому недооценивать киберкриминал совершенно не стоит. Приведенные выше примеры ущербов от халатности или чувства ложной безопасности убедительно показывают, к чему может привести экономия на безопасности.
Вадим Ференец / CNews Analytics