Согласно информации агенства «ТАСС», на ежегодной встрече с клиентами премиального сегмента «Сбербанк первый» глава Сбербанка Герман Греф заявил, что считает личной виной утечку данных клиентов Сбербанка.
В октябре 2019 года были официально подтверждены два факта утечки персональных данных клиентов в Сбербанке. Первая утечка произошла из-за целенаправленных умышленных действий сотрудника самой кредитной организации, а вторая утечка произошла из коллекторского агентства «Национальная служба взысканий», с которым сотрудничал Сбербанк, где также сотрудник агенства смог скопировать данные клиентов из общей базы.
По факту первой утечки данных в Сбербанке сообщили, что сотрудник, по вине которого произошел инцидент, готовил это преступление три месяца, был обнаружен после его совершения и задержан, скомпрометированные карты перевыпущены, сделаны серьезные выводы и кардинально усилен контроль доступа к работе банковских систем сотрудников банка, чтобы минимизировать влияние человеческого фактора.
«На мой взгляд, когда такого рода вещи происходят, нужно искать вину в себе, всегда виновато первое лицо во всем. Я считаю, что это моя личная вина по одной простой причине, что я пользовался неправильной парадигмой. Мы строили защиту внешнюю, и мы ее построили, на мой взгляд, настолько эффективно, насколько ее можно построить», — сказал Герман Греф.
Президент Сбербанка также пояснил, что использовал неправильную парадигму, полагая, что в данном вопросе важнее выстраивать надежную корпоративную культуру, чем «громоздкие системы» внутреннего контроля.
«В чем ошибочность моей парадигмы была? Считается, что защититься от внутреннего врага, от внутреннего предательства невозможно. Я исходил из этого же, говорил, нужно работать, у нас должна быть корпоративная культура таковой, что мы не должны допустить этого. Но строить громоздкие системы внутреннего контроля просто не реально. Если захотят — все равно украдут, и это произошло. Я пересмотрел полностью свою точку зрения. Я не хочу быть во власти достаточно значительной части сотрудников, которые имеют допуск к нашим внутренним системам», — уточнил Герман Греф.
Также впервые были получены официальные комментарии от председателя правления Сбербанка по поводу действий и ситуации с виновный в утечке данных клиентов сотрудником организации.
«По иронии судьбы предателем оказался талантливый парень, который получил образование в области кибер-защиты, и который профессионально этим занимался. Он готовил три месяца преступление. Он испробовал все варианты, нащупал один, и его использовал. После того, как это произошло, нас, конечно, потрясло все это, и я сказал: „Ребята, концепцию меняем радикально. У нас внутри должны быть такие же системы защиты по надежности, как снаружи“», — подытожил глава банка.
Согласно дополнительным комментариям Грефа, в Сбербанке пока еще нет полностью защищенной технологии, которая бы гарантировала абсолютную защиту сбережений, особенно при использовании биометрических технологий.
«Проблема в том, что мы, наверное, одни из самых старых игроков на российском рынке, которые занимаются биометрией. И даже у нас пока еще нет 100% защищенной технологии, которая бы вам гарантировала сохранение всех ваших сбережений или 100% подтверждения вашей идентификации всех ваших действий. Мы используем нейронные сети — мошенники используют нейронные сети. Мы придумываем всевозможные меры противодействия разным вещам, которые они придумывают — они придумают новые вещи», — сообщил Греф.
Комментарии (45)
sinc_func
27.11.2019 13:16+1Это не Грефу ли принадлежит идея, что надо прикрыть школы с математическим уклоном?
И после этого он распространяется о правильной корпоративной культуре…
Kriger91
27.11.2019 13:45+1Так логично же — если не воспитывать и не брать умных на работу, то они не смогут ничего украсть. Есть у человека компетенция улыбаться и кнопки нажимать по инструкции — этого хватит, а остальное большой риск
x67
27.11.2019 15:43Из контекста же вырвано. Греф больше говорил про то, что помимо математики не нужно забывать и о других предметах. И для России, особенно для областной России это более актуально, имхо.
Kriger91
27.11.2019 16:24+1Действительно — зачем образовывать морлоков, если можно потратить эти деньги на йогина и наркоту?
x67
27.11.2019 17:09Зачем вы перевираете и гиперболизируете посыл?
Речь о том, что морлок, побеждающий в олимпиадах исключительно по математике не так полезен и успешен, как морлок, развивающийся во всех направлениях.
Это не говоря о том, что сбербанк вообще то банк и тратить деньги на обучение — не его сфера компетенции, а вы зачем то уже потратили эти деньги на наркоту
sinc_func
27.11.2019 16:46+1Забота о провинциальной России… Как это мило…
tvr
27.11.2019 16:52+1Забота о провинциальной России…Иногда, глядя с крыльца на двор и на пруд, говорил он о том, как бы хорошо было, если бы вдруг от дома провести подземный ход или через пруд выстроить каменный мост, на котором бы были по обеим сторонам лавки, и чтобы в них сидели купцы и продавали разные товары, нужные для крестьян. При этом глаза его делались чрезвычайно сладкими и лицо принимало самое довольное выражение; впрочем, все эти прожекты так и оканчивались только одними словами.
ArsMak
27.11.2019 13:33+1Проблема в том, что мы, наверное, одни из самых старых игроков на российском рынке, которые занимаются биометрией.
Поэтому биометрию необходимо внедрить принудительно для всех жителей страны!
Вне зависимости от того, являются ли они нашими клиентами!
</sarcasm off>singerfox
27.11.2019 17:39Ну, пока-что, биометрию принудительно внедряют для всех банков, хотят они того или нет.
kranid
27.11.2019 14:06Легко быть виновным без последствий, как насчет наказания?..
Andrey_Rogovsky
27.11.2019 14:45Обратитесь в ближайшее отделение полиции и там вас накажут.
kranid
27.11.2019 15:42Зачем наказывать меня? Я себя в утечках виновным не
назвал.MrBinWin
27.11.2019 15:56Виновность не является необходимым условием наказания.
PS: а вообще, мне кажется, не надо никого наказывать, нужно быть добрее к людям, особенно к таким талантливым, как Греф. А то затаит обиду и уйдет в какой-нибудь JPMorgan или Deutsche Bank. Зачем нам это? Не надо так...
DrunkBear
27.11.2019 15:19В сбере сейчас и так несколько сетей (внутренние, внешние с инетом, служебные), и если нужно зайти человеку со стороны и поработать, или того хуже — получить доступ из одной сети в другую — тебя отправят к совету директоров на согласование, ибо безопасность.
Если ещё и гайки закрутят — видимо, сотрудники будут ходить под прицелом и писать объяснительные об экономической необходимости пересылки каждого пакета из сети в сеть.
namikiri
27.11.2019 16:46+1Но при этом данные из way4 всё равно будет слить проще пареной репы.
DrunkBear
27.11.2019 17:05+2Значит, запретят флешки, телефоны, фотоаппараты и всё остальное, на чём можно утащить данные.
Помнится, когда ходили на ОНПЗ в 2000х, нас жёстко обыскивали на предмет фотоаппаратов, флопов и Cd-rom, поэтому приходилось все нужные данные скидывать на мини-жёсткий диск в N91ME:
— Что это тут у вас?
— Читалка книжек.
— А, ну проходите.
Clasen01
27.11.2019 17:03+3Сначала: «программистов слишком много, их столько не нужно, закрыть математические школы» и т.д, а потом «мы не можем защититься от злодеев». А вы еще больше школ закройте и вас уже и впрямь с калькулятора будут взламывать.
serbod
27.11.2019 18:03То есть, это Греф лично сделал на сайте сбербанка форму для входа в «личный кабинет» по номеру паспорта и коду SMS, чтобы зэки могли имитировать «колл-центр банка»?
gregor58
27.11.2019 18:41Ну раз красавец признался, то дело за малым — начать потихонечку предъявлять иски..)
halted
Странно, что объяснения самого задержанного нигде не публикуют, а то ведь запросто может оказаться, что безопасник в провинциальном городке был обложен кредитами при мизерной зарплате. При таких условиях, ни системы, ни культуры не помогут, если любого сотрудника можно купить мелкой суммой равной его зарплате.
Igor_Shumilov
Вопрос может быть не в сумме, а в «безопасности» деяния. Вряд ли этот сотрудник намеревался похитить данные, получить чемодан денег и податься в бега. Вероятно он видел возможность украсть и не попасться. В таком случае любая сумма будет интерпретироваться как «изи мани».
halted
Есть разница между «щас срублю N рублей» и «всего-то N рублей?».
Это прекрасно видно на маленьких зарплатах, где лишняя 1000 рублей выглядит как солидная прибавка к карману.
Специалисту, который получает допустим 100к проще отказаться от легких 10 000, чем работнику с зарплатой 40 000, ибо приоритеты сильно различаются от «а что делать, надо как-то выживать» до «я и так норм получаю, нафига мне рисковать».
Serge78rus
Точно так же нам когда-то говорили, что если у чиновников, ментов и т.д. будет достойная зарплата, то они не будут брать взятки.
halted
Нужно понимать, что это «системное» решение, некий процент особо жадных всегда будет присутствовать, но в массе такой подход и правда работает т.к. система перестает вынуждать на воровство и взяточничество.
В остальном же, чиновники, это не только пассажиры иномарок с номерами амр, чиновником является также налоговый инспектор со своей смешной зарплатой (можете проверить на hh.ru, там действительно предлагают зарплаты в Москве, которые даже студентам стыдно платить), и любая тетенька в окне мфц тоже является чиновником. Вот и получается, что низкая зарплата является мотиватором для нечестных методов обогащения.
И наоборот, повышение зарплаты часто повышает цену кражи информации, это не значит, что уборщице нужно платить миллион за сохранность мусорной корзины Грефа, но и гроши платить тоже опасно т.к. доступ к инфе сильно дешевеет.
А вот специалист по безопасности, который на работе постоянно думает, как бы ему вылезти из долгов и где можно сэкономить, чтобы до зарплаты дожить, весьма опасен своим финансовым положением. Уверен, если всплывут подробности его личной жизни, то появятся вполне житейские объяснения его поступкам.
Igor_Shumilov
Vilgelm
Это вполне себе работает, например в Грузии. В России у тех чиновников, которые берут взятки официальная зарплата как раз обычно низкая.
Igor_Shumilov
Специалисту, который получает 100 000, будут предлагать не 10 000, а 200 000. Если данные действительно ценные. Устоит? А за 300?
Да и «лёгкость» 10 000 определяется не зарплатой, а системой. Если мне для их получения надо просто воткнуть флешку, скопировать файл, а потом в реестре удалить упоминание о моей флешке — это лёгкие деньги за одну минуту. При любой зарплате в структуре Сбера (кроме топ-менеджмента, наверное), заработок 10 000 за минуту это очень неплохо.
halted
Если данные стоят меньше этой суммы, то предлагать большие деньги будут только идиоты. И отношение к 10 000 сильно разнится в зависимости от зарплаты, об этом выше написал.
tmin10
Так нужно учитывать не только разовый заработок, а риски. Да, легко получить 10% от за за минуту, но потом этой зп можно и лишиться, а получить дело.