Как избежать утечки персональных данных из банковской системы

По данным Роскомнадзора, за первые шесть месяцев 2023 года зафиксировано четырехкратное увеличение количества утечек персональных данных, по сравнению с прошлым годом. За этот же период, более чем у 197 млн интернет-пользователей были опубликованы персональные данные, что на 50 млн больше, чем количество человек, проживающих в России. Десятки миллионов россиян сегодня выражают свое недовольство в отношении сохранности личных данных, в особенности после уже известных прецедентов по раскрытию клиентской информации в крупных корпорациях. 

Неправомерное раскрытие данных чаще всего происходит в компаниях, связанных с банковским сектором, IT и ритейлом. К наиболее крупным инцидентам можно отнести утечку персональных данных около 50 млн пользователей программы лояльности самого крупного банка России в мае 2023 г., а в сентябре такая же ситуация произошла у другого финансового учреждения. Примечательно, что в последнем случае злоумышленники объявили о том, что количество раскрытых ими персональных данных (ПДн) превышает общее число пользователей организации. Это говорит о том, что, скорее всего, успешная атака затронула прочие продукты экосистемы предприятия, что подвергло опасности большее количество людей, не являющиеся пользователями услуг банка.

В связи с регулярными событиями, связанными с утечками персональных данных, Минцифры анонсировало законопроект, ужесточающий ответственность компаний-обработчиков ПДн за утечку конфиденциальной информации. Министерство предложило ввести оборотный штраф в размере 1% от годового оборота компании, а попытка сокрытия свершившегося инцидента увеличит ставку до 3%, что в свою очередь должно повлиять на компании более тщательно относиться к внутренней информационной безопасности и не допускать утечки персональных данных потребителей.

Сейчас за утечку персональных данных клиентов компаниям грозит фиксированный штраф: от 2 до 6 тысяч рублей для граждан РФ, от 10 до 20 тысяч рублей для должностных лиц, и от 60 до 100 тысяч рублей для юридических лиц  (ч. 1 ст. 13.11 КоАП). В связи с частыми хакерскими атаками, мы видим рост спроса на отечественные продукты информационной безопасности (ИБ) со стороны представителей российского бизнеса. В особенности набирают популярность DLP-системы и современные межсетевые экраны, как один из элементов обезопасивания внутренних данных. Но к сожалению, спрос был бы выше, если бы штрафы за утечку данных не были бы такими низкими. Многие предприниматели не готовы вкладываться во внутреннюю систему ИБ, им проще заплатить штраф, который в 4 раза дешевле, чем введение в эксплуатацию ПО по сохранению корпоративных данных. Российские бизнесмены не задумываются, что такими методами наоборот теряют доверия потребителей и выставляют себя и свою организацию не клиентоориентированной.

Утечка персональных данных негативно сказывается и на субъекте ПДн — возрастает риск финансового мошенничества, страдает конфиденциальность личной жизни гражданина.

Почему и, как ваши данные утекают в Сеть

Чаще всего причиной утечки персональных данных клиентов или сотрудников компании являются действия третьих лиц в результате их неправомерного доступа (атаки) или недобросовестное соблюдение своих должностных полномочий работниками компании и нарушение политик безопасности, принятых в организации. По данным исследования, более 37% россиян уверены, что из-за развития цифровых технологий увеличивается и возможность раскрытия ПДн атаками хакеров, что приведет к неприятным последствиям, как для частных лиц, так и для компаний и банков.

Для простого обывателя утечка его данных из банковских систем несет много рисков. Прежде всего, злоумышленники могут использовать номера кредитных карт, банковские учетные записи клиентов для совершения нелегальных финансовых операций, открытия поддельных счетов или получения кредитов, приносящих значительный ущерб потребителю. Также вероятен рост числа нежелательных звонков или спама, а также к риску кражи личности.

Кроме того, повышается риск сетевого мошенничества — полученная информация может быть использована для проведения успешных фишинговых и других форм компьютерных атак, что может привести к потере учетных записей, паролей или чувствительных данных, а также к угрозам кибербезопасности.

Компания «Мир Plat.form» провела исследование, в котором раскрыла, что только 28% респондентов используют уникальный пароль для каждого интернет ресурса, в то время как только 17% опрашиваемых ставят везде однотипную комбинацию символов. Подобные данные показывают, что только на основе одинаковых паролей почти одна пятая часть россиян может в большей степени подвергнуться утечки собственных данных в сети. Опять же никто не защищен полностью от хакерских атак, поэтому следуя определенным советам экспертов в сфере IT-безопасности, можно сохранить свою личную информацию и предотвратить возможность взлома и раскрытия данных.

Как пользователям обезопасить себя от утечки персональных данных

Защита персональных данных в современном цифровом мире становится все более актуальной задачей. Утечка личной информации может привести к серьезным последствиям, включая финансовые потери и угрозу личной безопасности. По данным ЦБ, только в первом квартале 2023 года киберпреступниками было украдено около 4,55 млрд рублей. Вот несколько шагов, которые помогут вам обезопасить свои персональные данные:

Совет 1:  Будьте осторожны в вопросе предоставления личной информации

Никогда не делитесь персональными данными, такими как пароли или пин-коды, через незащищенные каналы связи, например, публичные Wi-Fi сети или ненадежные страницы интернета. Будьте внимательны при открывании электронных писем от банка или других организаций и никогда не предоставляйте свои личные данные или информацию о финансовых счетах через электронную почту или через ссылки в электронных письмах.

Совет 2: Включите двухфакторную аутентификацию

Двухфакторная аутентификация (2FA) является мощным инструментом для усиления безопасности ваших банковских аккаунтов. 2FA предполагает использование двух различных форм подтверждения вашей личности перед тем, как предоставить доступ к аккаунту. Помимо стандартного пароля, 2FA требует либо временный код, отправленный на ваш мобильный телефон через SMS или сгенерированный специальным приложением, либо биометрическое подтверждение, такое как отпечаток пальца или распознавание лица. Использование двухфакторной аутентификации значительно уменьшает риск несанкционированного доступа к вашему аккаунту, даже если злоумышленникам удастся узнать ваш пароль. Без второго фактора аутентификации доступ к аккаунту будет заблокирован.

Совет 3: Установите антивирусное ПО

Поддержание актуальности операционной системы и всех установленных на вашем компьютере программ является критически важной задачей в обеспечении безопасности ваших персональных данных. Разработчики регулярно выпускают обновления, которые исправляют ошибки и повышают общую стабильность системы. Уязвимости в устаревшем программном обеспечении могут стать легкой добычей для злоумышленников, которые активно ищут способы эксплуатации таких слабых мест для получения несанкционированного доступа к вашим данным. 

Совет 4: Используйте сложные пароли

Для обеспечения высокого уровня безопасности ваших аккаунтов важно использовать сложные и уникальные пароли для каждого из них. Это означает, что каждый пароль должен быть достаточно длинным (не менее 12 символов) и включать в себя разнообразные символы. Избегайте использования личной информации, которую можно легко узнать или найти в открытых источниках, таких как ваша дата рождения, имя, фамилия или адрес. Такие пароли могут быть легко подобраны злоумышленниками. Создавайте пароли, комбинируя прописные и строчные буквы, цифры и специальные символы. Избегайте использования общих слов и фраз, а также повторения одного и того же пароля на разных сайтах и в разных приложениях. Помните, что сильный пароль — это ваш первый и один из самых важных шагов в обеспечении защиты ваших персональных данных и конфиденциальной информации.

Совет 5: Проверяйте настройки конфиденциальности

Уделяйте пристальное внимание настройкам конфиденциальности на всех ваших устройствах, а также в приложениях и онлайн-сервисах, которыми вы пользуетесь. Это касается смартфонов, планшетов, компьютеров и любых других устройств, подключенных к интернету. Обращайте внимание на разрешения, которые вы предоставляете приложениям, и ограничивайте доступ к вашей личной информации, местоположению, контактам и другим чувствительным данным. Регулярно проверяйте список установленных приложений и удаляйте те, которыми вы не пользуетесь.

Совет 6: Будьте бдительны в отношении фишинговых платформ

Особую осторожность следует проявлять при получении писем с неизвестными отправителями через электронную почту и мессенджеры. Мошенники часто используют такие каналы связи для распространения вредоносного ПО, фишинговых атак и других видов мошенничества. Важно тщательно проверять адрес отправителя и обращать внимание на любые подозрительные признаки в тексте сообщения. Например, наличие грамматических ошибок, странных формулировок или несоответствий в логотипах и дизайне может указывать на попытку мошенничества. Не следует переходить по ссылкам, содержащимся в таких сообщениях, если вы не уверены в их безопасности. Ссылки могут вести на фишинговые сайты, цель которых — украсть ваши личные данные, такие как логины и пароли от банковских счетов или социальных сетей. Также опасность представляют вложения в электронных письмах, которые могут содержать вирусы или другое вредоносное ПО. Открывать такие файлы крайне рискованно, поскольку это может привести к заражению вашего компьютера и утечке конфиденциальной информации. Если вы получили подозрительное сообщение от неизвестного отправителя, лучше всего удалить его и, при необходимости, сообщить о попытке мошенничества вашему почтовому сервису или администратору сети. 

Как банкам защититься от утечки персональных данных: советы от эксперта Ideco

В первую очередь, для предотвращения утечки конфиденциальной информации крайне важно использовать только последние версии программного обеспечения. Организациям необходимо тщательно следить за выпуском обновлений приложений, антивирусных программ, используемых на всех рабочих станциях, серверах и сетевом оборудовании.

Кроме того, мы настоятельно рекомендуем финансовым учреждениям внедрять многоуровневую систему аутентификации, которая может включать в себя не только пароли, но и дополнительные методы подтверждения личности, такие как биометрические данные (например, отпечатки пальцев) или временные коды.

Для обеспечения защиты конфиденциальной информации при ее передаче и хранении, организации должны активно использовать методы шифрования: SSL-сертификаты для защищенной передачи данных через интернет.

Внедрение системы активного мониторинга позволит оперативно выявлять и пресекать любую подозрительную активность, связанную с утечкой данных или несанкционированным доступом. Современные системы межсетевых экранов нового поколения (NGFW) обеспечивают эффективный контроль за трафиком, проверку целостности передаваемых данных, выявление попыток вторжения и применение политик безопасности в режиме реального времени, что способствует предотвращению хакерских атак и других угроз.

Системы обнаружения вторжений (IDS) также играют важную роль в обеспечении безопасности информационных систем банка. IDS анализируют сетевой трафик и выявляют потенциальные угрозы на основе заранее определенных сигнатур или аномальной активности, помогая выявить подозрительные действия, такие как попытки несанкционированного доступа.

Наконец, организациям следует регулярно создавать резервные копии всех критически важных данных и хранить их в надежном и защищенном месте. Это обеспечит возможность быстрого восстановления информации в случае ее утраты или компрометации в результате нарушения безопасности.