+7 (812) 325 84 00

+7 (499) 322 07 96

Блог системного интегратора

  • Архив

    «   Декабрь 2019   »
    Пн Вт Ср Чт Пт Сб Вс
                1
    2 3 4 5 6 7 8
    9 10 11 12 13 14 15
    16 17 18 19 20 21 22
    23 24 25 26 27 28 29
    30 31          

Кто сливает наши данные

В свое время, когда не было тотального сбора информации о пользователях, я редко где оставлял свои данные (почта, телефон или еще что-то), соответственно спама на электронную почту приходило мало, так же колл-центры не так сильно докучали. Но после того, как я взял свой первый кредит, примерно через полгода меня поглотила волна спама предложений от других банков, при том, что в то время не было объеденных систем мониторинга статуса кредитора. Возникла мысль, что база «дала утечку».

На дворе 2019 год и методы обмана становятся все хитрее и хитрее. Теперь, зная о человеке почти все, злоумышленник может прикинуться работником банка, работником сервиса, администратором спортзала и любым сотрудником организации, с которой у вас заключены договорные отношения.

В эру Uber свободного обмена информации, не составляет труда прикупить базу паролей пользователей любого ресурса, клиентскую базу почти любой крупной организации. Достаточно ввести запрос в поисковике «база такая-то», и выплывают целый список торговых площадок данной информации.

Используя диссидентский телеграмм, нашел продавца, у него было все, от баз банков «Сбербанк», ВТБ, «Тинькофф Банк» до данных автовладельцев и иммигрантов.

И это не тысячи, а сотни тысяч записей. Естественно, покупать ничего не стал, но процедура проста, и продавцу было все равно для чего мне это.

Тут возникает вопрос- кто же именно сливает все эти данные в таких объемах?

Интерес взял свое, и я спросил продавца, а откуда информация и на сколько она достоверная? На что было сказано, что свои люди из банков шлют ему чуть ли не онлайн.

На сколько я осведомлен, и даже уверен, просто так не переслать документ Excel из системы банка. Банковская сфера революционер в сфере информационной безопасности, и уж если у банка есть лицензия, то он точно исполняет требования ЦБ РФ по информационной безопасности, а они стремятся чуть ли не к гостайне.

Думаю, это могут только высокопоставленные сотрудники или айтишники, или рядовые менеджеры в сговоре с первыми двумя.

В этих базах содержатся следующие данные (я говорю о банках): если ипотечная, то там будут ФИО, семейное положение и наличие детей, а также долг и процентная ставка, паспортные данные, номер телефона.

Все эти данные злоумышленник может использовать, притворившись легитимным сотрудником банка, ведь остаток чаще всего знает только владелец и банк, а значит 3 стороны быть не может (наивный…).

А в некоторых банковских базах фигурирует даже кодовое слово.

А для чего это все? Скорее всего данные базы сливаются и продаются в другие схожие организации для увеличения притока клиентов, и личного обогащения того, кто слил, а покупает такой же сотрудник для того, чтобы увеличить свои продажи и повысить значимость перед руководством, а дальнейший слив происходит чисто по доброте душевной для сотоварищей.

Одна запись клиента крупной организации стоит 80р., менее крупной 40р., но это больше зависит от жадности продавца. Есть дисконтная политика, к примеру, за 400 тысяч записей продавец может попросить всего 35 т.р., что значит одна запись стоит дешевле 10 копеек.

Так же есть сайты, на которых можно произвести расчет базы, там же стоимость была в два раза дороже, видимо нужно доплачивать за сервис. Так же были и критерии увеличения цены по целевой аудитории (бизнесмены, гос. служащие). Но что самое интересное, старые базы можно приобрести за каких-нибудь 50-100 рублей. Как давно вы меняли свой номер телефона?

Впрочем, можно найти совсем дешевые (и вроде бы не старые) базы. В группах в соцсетях один контакт продается буквально за копейки. Такие цены доступны только для оптовой продажи, один-два контакта не купишь. Но зато, при желании с продавцами можно поторговаться.

На темной стороне интернета базы данных так тоже продаются, причем на любой вкус. За контакты богатых людей цена варьируется около 20 000 рублей. К примеру, такова цена на «вип-клиента «Сбербанка», у которого на счете лежит не меньше полутора миллионов рублей. За такую же сумму можно купить две банковские выписки юридического лица. Покупатель получит информацию по вкладам, номера счетов, а также паспортные и контактные данные.

Согласно закону «О персональных данных», те организации, которые обрабатывают информацию граждан РФ, не имеют права распространять и передавать третьим лицам, без их согласия (но кто спрашивает?).

Роскомнадзор пытается блокировать подобные каналы поставки конфиденциальной информации, но на данном этапе это как дуршлагом вычерпывать воду из дырявой лодки.

Как же все-таки защитить данные?

Здесь должны быть вовлечены две стороны, оператор обработки данных и лицо, предоставляющее данные (субъект).

Со стороны субъекта, знать свои права, и обязанности оператора. Знать процедуру того, что организация должна запрашивать согласие на обработку, так же по требованию субъекта в виде заявления удалять всю информацию которые он запросил, за исключением тех, которые требуется для обработки по законодательству.

Со стороны оператора должны быть предприняты организационные меры для реагирования и устранения подобных утечек с последующим наказанием причастных.

С технической стороны должны быть внедрены SIEM и DLP, и другие подобные системы контроля действий сотрудников, потоков информации и событий системы.

UPD:

Если организация своевременно предпринимала организационные меры по регулированию обработки информации и обосновывалась на нормативной и законодательной базе РФ, то сотрудников, уличенных в распространении информации, можно привлечь по нарушению следующих федеральных законов:

·        Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ

·        Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ

·        Федеральный закон "О коммерческой тайне" от 29.07.2004 № 98-ФЗ

·        Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 № 187-ФЗ (Если организация относится к КИИ)