Потерей 300 тыс. ПДН можно пренебречь
Хакерам удалось получить доступ к именам, фамилиям, ИНН и другим персональным данным 300 тыс. клиентов банка «Санкт-Петербург». Злоумышленники требовали от финансовой организации 29 млн рублей в обмен на неразглашение информации, пишет «Коммерсант» со ссылкой на «Интерфакс». Но банк, судя по всему, платить отказался.
«Никаких потерь банк и его клиенты не понесли. Воспользоваться карточным счетом (информация о котором украдена - ИФ) в интернете либо иным способом невозможно, никакой угрозы для клиентов нет», - сообщил «Интерфаксу» представитель банка, уточнив, что взломщикам не удалось похитить «полную базу реквизитов - информацию о CVC-кодах и сроках действия карт».
В соответствии со стандартом PCI DSS (требование 3.2), банк имеет право хранить подобную информацию (CVC), если на то есть коммерческое обоснование и данные хранятся защищенным образом. Интересно другое - утечку ПДн в банке называют «контролируемой». То есть 300 тыс. записей о клиентах банка ушли к злоумышленникам с ведома службы безопасности.
Банк пообещал бесплатно перевыпустить карты всем «сомневающимся» клиентам, а также заверил, что правоохранительные органы уже идут по следу преступников. Себестоимость карты с чипом (технология EMV) - 50 рублей. Если предположить, что все 300 тыс. клиентов обратятся в банк за новой картой, расходы кредитной организации составят 15 млн рублей. Это уже существенные потери, плюс репутация, которую в деньгах измерить сложнее.
В общем, неудивительна позиция банка, который, по российской традиции, делает вид, что ничего страшного не произошло. Мы уже привыкли, что утечка массива в сотни тысяч записей ПДн из российской организации не влечет никаких последствий для банка. Логика железная: нет видимого ущерба - нет повода для беспокойства. О защите интересов субъектов ПДн (в соответствии с буквой 152-ФЗ) привычно забывают.
Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ - это инвестиции в репутацию компании.
В том же материале г-н Скородумов говорит о повышении уровня ИБ в банках под влиянием стандартов и законов: «Самые наглядные примеры здесь - закон №152 (О персональных данных) и требования стандарта PCI DSS». Из профиля г-на Скородумова в LinkedIn следует, что банк сертифицирован на соответствие требованиям 152-ФЗ. Отсюда вопрос - что-то не так с банком, с законом, или с сертификацией, если утечка 300 тыс. персональных данных происходит из сертифицированного банка с ведома ИБ-службы? Причем считается, что ни банк, ни клиенты ничего не потеряли.
«Никаких потерь банк и его клиенты не понесли. Воспользоваться карточным счетом (информация о котором украдена - ИФ) в интернете либо иным способом невозможно, никакой угрозы для клиентов нет», - сообщил «Интерфаксу» представитель банка, уточнив, что взломщикам не удалось похитить «полную базу реквизитов - информацию о CVC-кодах и сроках действия карт».
В соответствии со стандартом PCI DSS (требование 3.2), банк имеет право хранить подобную информацию (CVC), если на то есть коммерческое обоснование и данные хранятся защищенным образом. Интересно другое - утечку ПДн в банке называют «контролируемой». То есть 300 тыс. записей о клиентах банка ушли к злоумышленникам с ведома службы безопасности.
Банк пообещал бесплатно перевыпустить карты всем «сомневающимся» клиентам, а также заверил, что правоохранительные органы уже идут по следу преступников. Себестоимость карты с чипом (технология EMV) - 50 рублей. Если предположить, что все 300 тыс. клиентов обратятся в банк за новой картой, расходы кредитной организации составят 15 млн рублей. Это уже существенные потери, плюс репутация, которую в деньгах измерить сложнее.
В общем, неудивительна позиция банка, который, по российской традиции, делает вид, что ничего страшного не произошло. Мы уже привыкли, что утечка массива в сотни тысяч записей ПДн из российской организации не влечет никаких последствий для банка. Логика железная: нет видимого ущерба - нет повода для беспокойства. О защите интересов субъектов ПДн (в соответствии с буквой 152-ФЗ) привычно забывают.
Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ - это инвестиции в репутацию компании.
В том же материале г-н Скородумов говорит о повышении уровня ИБ в банках под влиянием стандартов и законов: «Самые наглядные примеры здесь - закон №152 (О персональных данных) и требования стандарта PCI DSS». Из профиля г-на Скородумова в LinkedIn следует, что банк сертифицирован на соответствие требованиям 152-ФЗ. Отсюда вопрос - что-то не так с банком, с законом, или с сертификацией, если утечка 300 тыс. персональных данных происходит из сертифицированного банка с ведома ИБ-службы? Причем считается, что ни банк, ни клиенты ничего не потеряли.