Не секрет, что на специализированных форумах в продаже можно найти практически любые приватные данные о любом человеке (см. статью «Наши с вами персональные данные ничего не стоят»). Вот примеры самых популярных «пробивов»:
- ФИО, паспортные данные, адрес по номеру телефона;
- отслеживание местоположения человека по вышкам сотовой связи, история местоположений, детализация звонков, детализация SMS;
- пробив автомобиля по базе ГИБДД;
- балансы по счетам, картам физического лица, выписка по карте, кодовое слово.
Банковская категория с пробивом физ- и юрлиц — одна из самых популярных на форумах. Судя по всему, информацию «сливают» сотрудники самих банков, которые легко могут открыть информацию по любому счёту. Так вот, банки нашли способ, как с этим бороться.
Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов, пишет РБК.
Специалисты уверены, что новые правила вводятся для борьбы с утечками данных о клиентах. Злоумышленники размещают объявление в даркнете с заказами на «пробив», говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. В зависимости от услуги и банка цены могут варьироваться от 800 до 8000 руб. У мошенников есть сообщники — инсайдеры в разных банках.
Запреты на фото- и видеосъёмку экрана подтвердили представители Сбербанка, «ЮниКредита», «ФК Открытие» и ВТБ. Как правило, эти запреты фиксируются в нормативных документах или договорах. О новой практике рассказал заместитель председателя Сбербанка Станислав Кузнецов на международном конгрессе по кибербезопасности.
Эксперты считают, что это довольно логичная и правильная мера. Дело в том, что остальные каналы надёжно фиксируются и отслеживаются внутренними системами DLP (Data Leak Prevention). Они отслеживают любые внешние и внутренние коммуникации сотрудников: почта, мессенджеры, мобильная связь и т д. А вот фотосъёмку без передачи информации наружу DLP-система не в силах отследить. Сделав снимок, сотрудник потом спокойно выносит приватную информацию за пределы периметра прямо на своём телефоне. Кроме того, факт фотографирования потом непросто доказать.
Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлёв рассказал РБК, что банк запрещает сотрудникам делать фото- и видеосъёмку экранов мониторов, служебных документов, презентаций и клиентских данных, а также вести аудиозапись служебных переговоров на личные мобильные устройства (смартфоны, телефоны, планшеты и т. п.) и другую аппаратуру.
Санкции за фотографирование клиентских данных «самые жёсткие». Заместитель председателя Сбербанка Станислав Кузнецов на пресс-конференции рассказывал, что сотрудников, уличённых в этом, немедленно увольняют. «Если им удалось по какой-то причине передать это преступникам, мошенникам либо третьим лицам, мы передаём материалы в правоохранительные органы», — отметил Кузнецов.
Возможно, следующим шагом в повышении безопасности банков станет полный запрет проносить личные мобильные телефоны на рабочее место. Такие правила действуют на режимных объектах. Судя по всему, работодатель имеет право сделать это. Согласно статье 190 Трудового Кодекса РФ, «правила внутреннего трудового распорядка утверждаются работодателем с учётом мнения представительного органа работников в порядке, установленном статьей 372 настоящего Кодекса для принятия локальных нормативных актов». Правила внутреннего трудового распорядка обычно являются приложением к коллективному договору, так что если сотрудник подпишется под такими правилами, то юридических вопросов не возникнет. Или запрет на использование мобильных телефонов можно оформить в виде приказа.
С другой стороны, такие действия работодателя можно попытаться оспорить согласно статье 23 Конституции РФ, которая в числе неотчуждаемых и принадлежащих каждому человеку от рождения прав и свобод называет право на неприкосновенность частной жизни.
Комментарии (66)
Gurturok
24.06.2019 15:01-1Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов, пишет РБК.
Угу, а давайте еще запретим убийцам — убивать и насильникам — насиловать, а так уже запретили в УК, но чего-то убивают и насилуют…
что сотрудников, уличённых в этом, немедленно увольняют
неважно, данные уже ушли кому надо
полный запрет проносить личные мобильные телефоны на рабочее место
полумеры, пускай вкладываются в технологии удаления воспоминаний
Нет, ну серьезно. Сначала для открытия счета начали требовать как можно больше личных данных, потом стали нанимать на работу студентов за копейки и давать им доступ к пользовательской базе, а теперь заплакали.
А страдают в итоге конечные вкладчики, кто-то по своей воле (ССЗБ) открывшие счет, а кто-то по принуждению (зарплатные карты) работодателя.Garbus
24.06.2019 15:23Альтернатива — разрешить убийцам убивать и насильникам насиловать? А кто не отбился сам дурак, ведь по закону «не запрещено»? Да и в Apple (к примеру) нанимают исключительно студентов, что так и норовят сфотографировать новинки? И совсем никаких происков конкурентов или мошенников?
Пока человек ходит на работу «за деньги», исключить возможность продажи информации можно только под угрозой затрат, больших чем вероятная прибыль.Gurturok
24.06.2019 15:34Альтернатива (в контексте банков) — не спрашивать личные данные при открытие счета. Но я прекрасно понимаю, что такого никогда не случится (привет силовым структурам, налоговой и пр.). Так что не использовать банковские карты, что тоже с каждым годом делать все сложнее (привет зарплатные проекты).
Garbus
24.06.2019 16:07Всего лишь старательно подтягиваются до уровня «развитого капитализма», когда на крупную сумму наличности начинают косо смотреть в любом приличном магазине.
Имея деньги, легко потратить часть на грамотного бухгалтера/юриста и провести их выгодным маршрутом, а простому работнику лишь выбирать дизайношейникакредитной карты.
tamapw
25.06.2019 07:51Альтернатива (в контексте банков) — не спрашивать личные данные при открытие счета. Но я прекрасно понимаю, что такого никогда не случится (привет силовым структурам, налоговой и пр.).
А причём тут силовые структуры, налоговые и пр.?
Как в вашей картине мира без личных данных при открытии счёта и любых банковских операций сами банки будут производить идентификацию клиента?
Вот пришел человек в банк, никак себя не идентифицировал, личные данные не записывались — открыли счёт 123.
Пришёл завтра другой человек, сказал, что хочет снять деньги с счёта 123 и как вы убедитесь, что это именно тот же человек(или его доверенное лицо), который вчера открыл счёт?balsoft
25.06.2019 08:28С помощью криптографической подписи, например. Всё, что нужно знать обо мне — мой pubkey, который и так лежит в открытом виде в куче мест. Тогда, кстати, и с доверенными лицами очень просто — для каждого счета создаем новый keypair, приватный ключ оставляем себе и доверенным лицам, pubkey — банку.
tamapw
25.06.2019 09:31Неплохой вариант, на самом деле.
Однако, сразу ряд проблем с использованием исключительно подобной подписи.
- Во-первых, подобная подпись электронная. Иными словами, если у человека нет доступа к технологиям(не важно по какой причине) — он не сможет её получить и соответственно лишится возможности открывать счета и пользоваться банковскими услугами
- Во-вторых, заполучив секретную часть ключа — можно сказать, что мы украли личность и имеем беспрепятственный доступ к любым банковским услугам от лица другого человека. Могу ошибаться, но в текущем формате ЭЦП хранится в флешках и соотвественно достаточно украть эту самую флешку и все документы, подписанные этой подписью скомпроментированы. Это так же относится к утере носителя с ЭЦП.
Как-то не особо безопасненько и доступно. В будущем этот вариант может сработать, согласен — можно много что придумать для устранения как минимум этих минусов. Но в текущей ситуации — одной ЭЦП мало для подобных операций. Как минимум, связка эцп + фотография и второй вариант для работы без ЭЦП.balsoft
25.06.2019 11:19Совсем не обязательно на флешке хранить такую подпись. Её можно хранить, например, на достаточно доверенном телефоне (и подписывание осуществлять с помощью, скажем, NFC). При этом сам приватный ключ должен быть зашифрован с помощью passphrase. Тогда даже если кто-то украдет телефон, ему придется вскрыть защиту (телефона) и подобрать passphrase. Это уже гораздо дольше и сложнее.
tamapw
25.06.2019 11:40Согласен, можно защитить конкретно ключ. Ещё можно ЭЦП хранить в импланте на руке с тем же NFC, к примеру. Но это для будущего, а не настоящего.
А в настоящем эта защита секретного ключа ложится на плечи клиента, для которого это лишние заморочки и большинство не будет этим запариваться. В итоге у большинства ключи будут защищены… никак. И из-за этого делать ЭЦП единственной точкой идентификации будет некорректно. Удобно, спору нет, но невозможно в текущих реалиях.
DMGarikk
25.06.2019 11:52огда даже если кто-то украдет телефон, ему придется вскрыть защиту (телефона) и подобрать passphrase
это ерунда по сравнению с тем как вы будете возвращать себе доступ к своим деньгам
p.s. только не надо про копии ключей, тут не все админы бекапы делают, куда уж про простых людей говорить
numark
24.06.2019 17:21А страдают в итоге конечные вкладчики, кто-то по своей воле (ССЗБ) открывшие счет
Странный комментарий. А где вы предлагаете хранить деньги?
Дома в банке? В крипте? Инвестировать?
maxzh83
24.06.2019 21:26+1неважно, данные уже ушли кому надо
Еще как важно, коллеги сотрудника пять раз подумают, прежде чем будут делать тоже самое
A114n
24.06.2019 15:08+2Эксперты считают, что это довольно логичная и правильная мера.
С такими «экспертами» становится понятно, почему вся кибербезопасность в жопе.
AlxDr
24.06.2019 16:01Ну, эксперты здесь вполне правы, кстати.
Других мер ИБ эта мера не отменяет, а лишь дополняет, причём ничего нового в ней нет — я и сам работал в организации, где был запрет на пронос любой фото/видеотехники в определённых зонах. Обыскивать, конечно, не обыскивали, но если кто-то попадался, то масса неприятных последствий была гарантирована. Лично у меня был телефон без камеры :)A114n
24.06.2019 20:50+2Эта мера — т.н. «театр безопасности».
В ней ровно столько же смысла, сколько в «ежемесячной смене пароля». Только по поводу второго у людей уже в голове что-то начинает проясняться (и то, ДЕСЯТКИ ЛЕТ для этого понадобились), а по поводу первой всё ещё глухо, как в танке.AlxDr
25.06.2019 10:47Спорно.
Как по мне, это одна из мер трудовой дисциплины в области ИБ. «Данные компании не должны покидать устройств компании». Она напоминает о правильном отношении и ответственности за утечки.
И в отличие от требований менять пароль раз в месяц, она неудобств сотрудникам не доставляет.
Но не панацея, да.
pyrk2142
24.06.2019 21:53«Эксперты» вообще шикарны. Очень похожий список банков отличался тем, что сливал (или все ещё сливает, кто знает) данные о балансах и операциях клиентов через IVR меню и Call-центры, а сейчас они говорят, что пытаются бороться с утечками.
s37
24.06.2019 15:30Сразу вспоминаю как ипотеку оформляли. Нужно скинуть пакет документов (скан), но у них корпоративная почта не принимает «такой объем информации» (из 6 банков 1 принял), остальным менеджерам тупо кидали на личные почты/вайберы и т.п. чтобы не ездить в банк не отдавать то же самое. Не говорю, что так правильно, просто так было :(
AlxDr
24.06.2019 16:03К сожалению, это пока часто встречается.
Я вот клиент одного крупного банка. Несколько лет назад мне потребовалась выписка, но у них что-то в системе повисло. Милая девушка-оператор спросила, может ли она отправить мне выписку на почту после того как проблему решат? Я согласился.
Через час получил выписку со своего счёта в PDF. С её личной (на мейл.ру) почты :)
Rober
24.06.2019 15:36+2Такие меры умиляют на фоне существования отделений банков, где мониторы с рабочих мест смотрят в сторону окон (пример Сбербанка, просматриваемые окна в левой части здания, на фото видны частично прикрытые плакатами справа). О да, усилили безопасность, конечно.
Gurturok
24.06.2019 15:49Косательно утечки данных из банка не забывайте, что ряд банков при открытии вкладов стал требовать биометрические данные (пока на законодательном уровне это добровольно, но кто знает что будет дальше).
sergeyns
24.06.2019 16:04>>DLP (Data Leak Prevention). Они отслеживают любые внешние и внутренние коммуникации сотрудников: почта, мессенджеры, мобильная связь и т д
Тут что, признались в прослушивании мобильных ???denisshabr
24.06.2019 16:28Если телефон по Wi-Fi подключился к корпоративной сети, то да, через DLP.
Некоторые для отслеживания 3G требуют установить специальный модуль на телефон сотрудника, например InfoWatch Device Monitor.
Loggus66
24.06.2019 21:16Модуль на телефон? А как же фемтосоты? habr.com/ru/post/393959
AlxDr
25.06.2019 10:36Это немного другое. Фемтосота позволяет прослушивать открытые коммуникации. Тот же WhatsApp или Телеграм она не поймает.
А модуль поймает, так как по сути является spyware, установленным непосредственно на устройстве :)
Aingis
24.06.2019 16:13С другой стороны, такие действия работодателя можно попытаться оспорить согласно статье 23 Конституции РФ, которая в числе неотчуждаемых и принадлежащих каждому человеку от рождения прав и свобод называет право на неприкосновенность частной жизни.
А причём здесь неприкосновенность частной жизни, когда речь идёт об исполнении служебных обязанностей? Так ничего оспорить не выйдет. Это кто такой перл выдал? Явно с юристами не советовались.
IgorKh
24.06.2019 16:27Крупные банки ввели для сотрудников прямые запреты на фотографирование экранов компьютеров с помощью личных мобильных телефонов
Выдыхаем, пока делать скриншоты не запретят, все норм.
Вообще, забавно конечно, какой следующий логичный шаг? Запретить сотрудникам смотреть в мониторы? Мое ИМХО, такие проблемы невозможно решить «запретами распространять», вопрос тут очень комплексный. А то что делается сейчас — исключительно ради галочки, все равно что профилактическая беседа.denisshabr
24.06.2019 16:31Скриншоты (а также нажатия клавиш в виде келоггера) отслеживаются любой системой контроля сотрудников. StaffCop, InfoWatch, Solar Dozor от Ростелекома, Forcepoint, и ещё десяток других.
vlreshet
24.06.2019 16:44Пробив станет дороже, а все интересующие данные будут просто записывать на листике. Не запретишь же что-то писать на рабочем месте.
K0styan
24.06.2019 17:17Дороже. Дольше. Менее надёжно — на бумажке можно данные из головы написать и это не сложнее, чем с экрана, а достоверно подделать фото с монитора — уже стараться надо.
Запрет в общем случае — так себе защита, но возможность слива данных в пару нажатий в компаниях, где доступ к критичной информации есть в т.ч. у рядовых сотрудников — штука довольно стрёмная. Красивых путей решения проблемы не вижу.
Aquahawk
24.06.2019 16:59+1Мне не понятно почему информационная система позволяет открыть данные кого попало, какой нахер пробив просто по желанию оператора? Система должна давать доступ только после идентификации клиента и обязательно по одноразовым токенам.
Gurturok
24.06.2019 17:12Правильно, раздать все клиентам токены с ключами и пока он токен не приложил — доступ не открывать.
Am0ralist
24.06.2019 17:23Но можно сделать, что после проверки паспорта клиента или сканирования в систему любого документа, по которому человек подтверждал свою личность + фото клиента. Либо если клиента прикрепили к данному менеджеру (при ипотеке).
xl-tech
24.06.2019 18:46В любой нормальной АБС есть аудит по обращениям к счетам/клиентам, если этот аудит нормально настроен банку ничего не стоит узнать кто и когда получал данные по клиенту. Если случился слив, всегда можно узнать кто и когда что-либо смотрел. Службе информационной безопасности банка достаточно заказать данные по клиенту на подобном форуме и поймать оператора с поличным. Но вот что-то мешает безопасникам это сделать.
pyrk2142
24.06.2019 21:56Службе информационной безопасности банка достаточно заказать данные по клиенту на подобном форуме и поймать оператора с поличным.
Довольно интересны юридические последствия этого. А то было бы забавно посмотреть, как безопасник отправляется в камеру через коридор от того, кого так поймали, мало ли как это можно повернуть.xl-tech
24.06.2019 22:54ИБ может работать с органами и все юридические действия проводить через них. Но для банка это плохо, банки очень редко «выносят сор», обычно все решается внутри и сотрудника тихо увольняют.
vanxant
24.06.2019 22:31Call-центр представляете? Или вот тётеньку-операционистку, к которой клиент якобы «сам пришёл», ногами. Как за ними всеми следить?
Хотя конечно ограничивать доступ кому попало — нужно. И логировать тотально — тоже.xl-tech
24.06.2019 22:51В call-центрах все звонки записываются, и обычно доступ к банковским данным через некую оболочку, технически можно реализовать доступ к данным только во время звонка, сравнивать номер входящего телефона с телефоном клиента в базе (при несовпадении вешать флаг для дополнительной проверки). При приходе ногами клиент тоже «авторизуется» показывая паспорт, можно поставить сканеры паспортов (как в аэропортах) и давать доступ к данным клиентам только после скана паспорта. Можно много всего придумать, но банкам проще и дешевле придумать идиотские запреты для работников, которые легко обойти.
vanxant
25.06.2019 00:03Ну ок, есть вторая-третья линия, которая контролирует первую. Сколько в Сбере старших смен и эникеев на местах?
Я не защищаю банки, у них всё так. Тупо запрещать и не пущать, по крайней мере без бумажки. Если они к клиентам так относятся, то было бы странно видеть иное отношение к сотрудникам.
DMGarikk
25.06.2019 11:05но банкам проще и дешевле придумать идиотские запреты для работников, которые легко обойти.
а вы не забывайте что в банке есть очень много офисных сотрудников которые не обслуживают клиентов но имеют доступ к базе
Например сотрудники ИТ отдела, админы, dba и т.п.(а если вспомнить что есть тестовые базы данных для разработчиков, которые по регламенту должны быть обезличены… но вопрос… всегда ли это так?.. лучше не буду отвечать на этот вопрос сам...) Потом сотрудники всяких отделов статистики, претензионщики, бухгалтерии (банковской),… можно много перечислять, скажем так что операторы лишь небольшая часть которая имеет туда доступ
Am0ralist
25.06.2019 09:40Call-центр представляете?
Доступ к данным после кодовой фразы, которая недоступна оператору (а так же по распознаванию голоса). Звонок записывается и анализируется по возможности на ключевые слова?
Am0ralist
24.06.2019 17:18С другой стороны, такие действия работодателя можно попытаться оспорить согласно статье 23 Конституции РФ, которая в числе неотчуждаемых и принадлежащих каждому человеку от рождения прав и свобод называет право на неприкосновенность частной жизни.
И каким образом это связано с запретом на смартфоны? Вы смартфон оставляете в шкафчике, ваша частная жизнь в ваших руках.
Либо разрешат трубки без фотоаппаратов — вообще никак не ограничат вашу частную жизнь.
Ибо возможность делать селфи на рабочем месте по конституции никак не защищается
REPISOT
24.06.2019 17:24сотрудникам запретили фотографировать экраны
Ну, как бы, езда по встречке тоже запрещена. Как и убийство человеков. Что-то это мало какого злоумышленника останавливает.Am0ralist
24.06.2019 17:28Но если в правилах данные вещи прописаны не будут, то и наказывать за это нельзя будет. Или вы считаете, что можно штрафовать за выезд на встречку, не прописав это в законах?
vanxant
24.06.2019 22:34Ну скажу так, что введение лишения за двойную сплошную резко уменьшило количество езды по встречке на больших дорогах.
androidovshchik
24.06.2019 19:04У меня есть лучше идея, выдавать сотрудникам специальные телефоны во время работы без камер (и возможно без микрофонов, правда это будет мешать разговаривать). И никакой проблемы не будет, никаких ущемлений прав. Да, придется раскошелиться, но мы говорим же о банках…
Ndochp
24.06.2019 19:40А как запрет на личную болтологию в рабочее время влияет на неприкосновенность частной жизни?
androidovshchik
24.06.2019 20:28а также вести аудиозапись служебных переговоров на личные мобильные устройства
Без микрофона нельзя записывать звук, а также разговаривать
swarggg
24.06.2019 20:56+1А еще можно показательно наказать банки, сливших данные клиентов (приостановка лицензии, отзыв лицензии), и другие банки сами быстро придумают необходимые меры для защиты от слива. Было бы желание у власть имущих…
iHateCpp
24.06.2019 22:52Например, в корейском Samsung камеры на телефоне заклеиваются спец-наклейками, целостность которых на выходе проверяют. Если _очень_ надо, то можно считерить, но все равно риск спалиться будет. Не самая плохая мера.
DerRotBaron
24.06.2019 20:40Выглядит как дешевый костыль.
Адекватным решением был бы запрет доступа на уровне систем хранения данных, с этим пробив резко бы потерял ценность, а массовый слив обрабатываемых в текущий момент коррумпированным оператором — малоценным в силу объема и легко обнаружимым по даже нескольким записям.
Конечно, из-за багов в софте качество обслуживания может упасть, зато безопасность и условия работы честных сотрудников станут нормальным в этой части
1c80
24.06.2019 21:06выписка по карте, кодовое слово
Сотрудник колл центра не имеет доступа к кодовому слову.
Опять не там копают похоже.
BalinTomsk
24.06.2019 21:57надо иметь на экране поляризационный фильтр, где изображение видно только в специальных активных поляризационный очках, действие которых прекращается при сьеме с головы.
IvanBogoslovskiy
24.06.2019 22:09Есть же специальные решения для таких случаев, Printer Guard тот же или DRM-сервисы.
red_perez
ИМХО лояльность сотрудника это лучшая защита в таких случаях.
Другой вопрос как ее добиться, но я на своем опыте знаю что так вполне можно выстраивать отношения.
vlreshet
Мне кажется на лояльность можно надеяться в маленьких фирмах. Там действительно возможно всё, вплоть до индивидуального подхода к сотруднику. В огромных же конторах на тысячи сотрудников всех лояльными не сделать, никак.
red_perez
Очень верный комментарий.
Возможно для огромных компаний имеет смысл более глубокая фрагментация чтобы получить требуемый эффект.
DMGarikk
тогда компания превратится в неуправляемую кашу
Color
В таких компаниях как СБ, дешевле сотрудников еб*ть за любую мелочь, и выкидывать на мороз за малый проступок, чем выстраивать с ними лояльные отношения. Ну и рынок в целом подтверждает, что это рабочая стратегия.
red_perez
Поэтому я все больше стараюсь по маленьким компаниям и стартапам работать.
Предпочитаю фирмы «семейного» типа
Имел в свое время опыт работы в компаниях >100К сотрудников.
pyrk2142
Лояльность звучит хорошо, но имхо, в банках ей вообще пахнуть не может. Лояльность требует того, чтобы работодатель что-то предлагал в ответ. Имхо, опять же, банкам наплевать на сотрудников настолько, что как только он перестаёт быть нужным, от него пытаются максимально дёшево избавиться. Когда банки из-за разных причин вышвыривают сотрудников на улицу (иногда со словами «У нас в банке нет сокращения, просто увольняйтесь»), адекватный человек не будет верить в сказки про командный дух, ответственность и лояльность. Он просто будет пытаться получить максимум в рамках своих возможностей и моральных границ.