Данные банковских клиентов утекли, что же теперь будет?

— Вечером 2 октября 2019 года стало известно о возможной утечке учётных записей по кредитным картам, которая затрагивает как минимум 200 клиентов банка, — заявили в пресс-службе Сбербанка.

Основная версия инцидента — умышленные преступные действия одного из сотрудников, так как внешнее проникновение в базу данных невозможно в силу её изолированности от внешней сети.

Похищенная информация в любом случае никак не угрожает сохранности средств клиентов.

Данные банковских клиентов утекли, что же теперь будет?

Фото © ТАСС / Коньков Сергей

Впрочем, это заявление не успокоило клиентов. Многие стали вспоминать истории с утечками баз данных и печальными последствиями. В частности, были жалобы, что мошенники оформляли кредиты на чужой паспорт и получали доступ к базам данных.

— Утечка персональных данных очень опасна для граждан, информация о которых оказалась в публичном доступе, — говорит старший управляющий партнёр юридической компании PG Partners Пётр Гусятников.

К сожалению, сейчас, как никогда, очень распространены мошеннические схемы с использованием ворованных паспортных данных.

Это документ, по которому могут: 1) оформить на вас кредит; 2) повесить чужой долг или фирму; 3) совершить незаконные действия с вашей недвижимостью; 4) распорядиться средствами банковских карт; 5) открыть электронный кошелек; 6) использовать вашу личность для совершения мошеннических действий.

Данные банковских клиентов утекли, что же теперь будет?

Фото © ТАСС / Ковалёв Пётр

Самая распространенная история — оформление на ваше имя займов в микрофинансовых организациях. МФО настолько упростили схему выдачи кредита, что для его получения достаточно пересылки паспортных данных по электронной почте.

По словам Петра Гусятникова, подписью в данном случае будет являться код из СМС, пришедший на указанный мошенниками номер телефона.

Таким образом любой гражданин, чьи персональные данные оказались в руках мошенников, может оказаться должником, сам того не зная.

Два года назад юрист Пётр Гусятников сам столкнулся с утечкой данных. В один прекрасный день ему позвонили из МФО и спросили, когда он собирается вернуть долг. Никаких кредитов Пётр там не оформлял. Каково же было его удивление, когда он обнаружил, что должен не одной организации, а многим, их было порядка 15. Звонки от кредиторов тем временем не прекращались.

Данные банковских клиентов утекли, что же теперь будет?

Фото © ТАСС / Кухмарь Кирилл

— Как выяснилось, мошенники заполучили скан моего паспорта, при помощи графических редакторов изменили там фотографию и отправили поддельное фото как документ при оформлении микрозаймов, — вспоминает Пётр Гусятников. — Мне помогло обращение в полицию и в суд, который признал данную схему мошеннической и освободил от ответственности по «чужим» кредитам.

Чтобы снизить риски стать жертвой мошенников, юристы советуют регулярно менять пароли к своим онлайн-банкам и пин-коды к картам.Также рекомендуется завести отдельный номер телефона, чтобы на него приходили смс с кодами, которые необходимо ввести для доступа в онлайн-банк. Тогда вы будете заходить в приложение с одного мобильного, а код будет приходить на другой.

— Если будет установлена вина банка в том, что он не смог обеспечить сохранность персональных данных, что повлекло ущерб для клиента, то можно подать иск в суд, — говорит адвокат юридической компании BMS Law Firm Александр Иноядов. — Клиент имеет право требовать возмещения убытков и денежной компенсации морального вреда. Правда, такой иск имеет смысл подавать, если действительно клиент получил ущерб и он может доказать вину банка.

Ждите звонка: как банки теряют данные клиентов

Данные банковских клиентов утекли, что же теперь будет?

© пресс-служба Госдумы РФ

С пугающей частой появляются сообщения об утечках данных из банков. Осенью 2019 года под удар кибераферистов попали
крупнейшие кредитные организации страны — Сбербанк и 
Альфа-банк. Почему банки «теряют» данные клиентов, зачем они мошенникам и чего стоит опасаться гражданину, чья персональная и финансовая информация продана на черном интернет-рынке? 

В октябре в даркнете появилось
объявление о продаже персональных данных 60 миллионов клиентов Сбербанка.
Впоследствии кредитная организация признала факт утечки данных, но только 5 тысяч клиентов.

Служба безопасности быстро нашла виновника «слива». Им оказался руководитель сектора в одном из бизнес-подразделений, имевший доступ к базам данных.

Глава Сбербанка Герман
Греф назвал ситуацию «внутренним предательством». 

В начале ноября еще одно, похожее объявление. На этот раз «на прилавке» оказались данные
владельцев кредитных карт Альфа-банка. Продавец утверждал, что может
предоставить информацию о 3,5 тысячах держателей карт и еще почти 3 тысячах клиентов «АльфаСтрахования».

ЕЩЕ ПО ТЕМЕ:Биометрия: как банки узнают клиентов?

В выставленных на
продажу документах якобы были ФИО, номера телефонов, паспортные
данные, адреса регистрации, кредитные лимиты клиентов. При этом, как сообщило РБК со ссылкой на неназванные источники, в договорах не
были указаны номера карт и CVV-коды, что исключило прямой доступ мошенников к
деньгам.

В Альфа-банке подтвердили факт утечки данных, но не 3,5
тысячи, а 15 клиентов. При этом в банке
подчеркнули, что нарушения
защиты корпоративной информационной системы банка не было, и сейчас идет внутреннее расследование для выявления
причин утечки.

Ротозеи в банках?

Не всегда за утечкой данных стоят
целенаправленные действия или злой умысел сотрудников. Порой работники могут стать невольными передатчиками информации
о клиентах, прокомментировал «Известиям» старший контент-аналитик «Лаборатории Касперского» Татьяну
Щербакову.

Например, мошенники присылают на почту банковским специалистам письма с
предложением пройти тест на знания и навыки. Когда сотрудник проходит по ссылке на якобы
HR-портал, его просят авторизоваться: ввести логин и пароль от рабочей
почты. 

Дальше все просто: с логином и паролем мошенники получают доступ к переписке. Если документы с
персональными данными клиентов пересылаются в открытом виде, то злоумышленники тут же скачивают их.

В большинстве случаев сохранность данных зависит от ответственности
и здравого смысла сотрудника банка, согласился с Щербаковой специалист в сфере IT-безопасности финансового сектора Виктор Маленков.

«Банковские системы достаточно хорошо защищены от внешнего
воздействия. И при соблюдении сотрудниками всех должностных
инструкций, правил и требований информационной безопасности сложность взлома
увеличивается.

В большинстве банков сотрудникам запрещается передавать любые
сведения, обеспечивающие доступ к базам данных финансового учреждения, и
тем более вводить их на сторонних ресурсах», — прокомментировал Маленков Sibnet.ru.

 Невероятная комбинация: как создать надежный пароль

Директор департамента информационной безопасности банка
«Открытие» Владимир Журавлев также считает, что на 100% обезопаситься от утечки
персональных данных невозможно, всегда будут существовать какие-то риски. Хотя
любая кредитная организация тщательно подходит к подбору персонала и внедряет
дополнительные системы контроля по обращению с персональными данными своих
клиентов.

«Наш банк использует DLP систему, а также применяет принцип
разграниченного доступа к персональным данным, ведение подробного логирования
действий сотрудников при работе с данными клиентов.

Но даже совокупность всех
этих мер, к сожалению, не может предотвратить, например, фотографирование
недобросовестными сотрудниками экранов мониторов с персональными данными или
выписывание персональных данных на лист бумаги», — ответил эксперт на вопрос об уязвимостях систем безопасности.

Кому нужны ворованные данные?

Использовать персональные данные, по словам Маленкова, можно
несколькими способами. И чем больше детализирована информация, тем выше будет
ее ценность на «черном рынке».

«Если там только фамилия, имя и отчество (в украденных данных), то с этим особо ничего и не
сделаешь. Но любая дополнительная информация о человеке дает недобросовестным
людям большие возможности. Если, например, есть номер телефона, номер карты и
счета, это уже дает шанс использовать данные для незаконного
обогащения», — объяснил он.

Например, теоретически возможно продублировать
SIM-карту клиента,
отключив «симку» настоящего владельца, и вывести деньги с банковской карты через
мобильный банк, мобильное приложение. Но этот способ редко используется
киберпреступниками, так как у сотовых операторов тоже есть системы защиты данных.

Как понять, что звонит мошенник >>

«Скорее всего, мошенники используют информацию одним из
самых распространенных способов… Просто позвонят, представятся
сотрудником банка. А когда человеку звонят «из банка» и называют не только его
имя, но и паспортные данные, номер карты и так далее, то вероятность
того, что он поверит мошенникам, увеличивается», — сказал Маленков.

По данным собеседников, сейчас чаще всего похищают деньги у клиентов банков с помощью социальной инженерии (получение нужных данных без использования технических методов).

И количество пострадавших постоянно растет.

С меньшей степенью вероятности данными с «черного рынка»
воспользуются банки-конкуренты.

Во-первых, их деятельность жестко регламентируется законом и контролируется надзорными органами.

«Вряд ли серьезное кредитное учреждение, соблюдающее законы
и заботящееся о своей репутации на рынке, станет рисковать. Во-вторых, как это
будет проходить по бухгалтерии у финансовой организации? Статья расходов какая
будет? Покупка информации о конкурентах на «черном рынке»?», — задался вопросом Маленков.

Кто ответит за утечки?

Утечка данных клиентов несет не только большие репутационные,
но и прямые финансовые потери для банка, добавил директор «Сибирской
юридической компании» Сергей Карпекин.

«Если произошла такая утечка, то банк или аналогичная организация,
которая является оператором данных, несет два вида ответственности. Во-первых,
за сам факт утраты этой информации, если о нем стало известно и если он
подтверждается, регулирующий орган (Роскомнадзор) привлекает финансовую организацию
к ответственности и штрафует», — сказал юрист. 

Читайте также:  Квартира с подарками от бывшего собственника

Второе — это ответственность перед пострадавшим клиентом, если и использование утраченной информации нанесет
ему материальный ущерб или моральный вред.

Однако юрист предупредил — это не означает, что все, чьи данные «утекли» из банков, могут поспешить за компенсацией от кредитного учреждения.

  Как управлять деньгами с помощью мобильника

«Если никаких действий на использование данных
с последующим нанесением вреда или ущерба не было, то особо
обращаться не с чем.

Но если выяснится, что какая-то полузаконная, полулегальная
структура начнет использовать данные во вред клиента: звонить по ночам,
предлагать услуги, рассылать спам, то теоретически можно предъявить моральный вред»,
— предположил собеседник в разговоре с Sibnet.ru.

Но в любом случае потребуется доказать прямую взаимосвязь потери данных банком и мошенничества,
в результате которого клиент лишился денег.

«Если удастся
установить причинно-следственную связь, что именно те данные, которые были
проданы на «черный рынок», способствовали совершению мошеннических действий и
причинению ущерба, тогда можно привлекать банк к ответственности. Но, думаю,
что доказать это будет крайне сложно», — резюмировал Карпекин.

Утечка данных из Сбербанка. Что нужно срочно сделать, чтобы обезопасить свои деньги

Данные банковских клиентов утекли, что же теперь будет?

На днях в новостях появилась информация о том, что в Сбербанке произошла массовая утечка персональных данных.

В Сбербанке информацию подтвердили, правда, отметив, что утечка была незначительной.

На самом деле Сбербанк лукавит, поскольку в тот же день на одном из сайтов появилась база, где была информация о персональных данных клиентов банка, в которой было несколько миллионов записей, а данные можно было купить за небольшую сумму. На следующий день Роскомнадзор заблокировал данный сайт, но скорей всего информация может и дальше распространятся по интернету.

В связи с этими событиями миллионы клиентов Сбербанка находятся под угрозой, ведь если к мошенникам попадут эти данные, то начнется настоящая охота. В связи с этим, каждому клиенту Сбербанка необходимо позаботиться о дополнительной безопасности своих денежных средств, которые находятся на карте Сбербанка. Рассмотрим подробнее, как обезопасить свои деньги.

Что говорят представители Сбербанка

Сбербанк России старается успокоить своих клиентов, говоря, что ничего страшного не произошло. Как сказали в пресс-службе самого крупного банка страны, из-за умышленных действий одного из сотрудников организации произошла утечка по банковским картам минимум 200 клиентов. Т.е.

Сбербанк утверждает, что такая утечка затронула лишь незначительную часть клиентов и ни о каких 60 миллионах речи не идет.

При этом, как подчеркнули в Сбербанке, утечка данных никоим образом не угрожает клиентам, поскольку, зная лишь персональные данные, невозможно получить доступ к счетам.

Но оправдание банка не вызывает доверия. Если проблему осветили в СМИ, то все достаточно серьезно. Да и утечки данных из Сбербанка происходили раньше и в ряде случаев, клиенты оказывались пострадавшими в результате такой утечки. А учитывая, что клиентами Сбербанка являются более 100 миллионов человек, то сложно оценить масштаб угрозы.

Чем опасна утечка

Представители Сбербанка говорят о том, что утечка персональных данных не представляет особой угрозы. Но на самом деле такие заявления направлены на то, чтобы успокоить своих клиентов. Угрозы в любом случае есть. Если мошенники готовы платить деньги и покупать данные, то таких данных может быть достаточно, чтобы получить доступ к чужим деньгам.

На сегодняшний день существуют весьма опасные мошеннические схемы с использованием паспортных данных клиента.

С помощью таких данных можно оформить кредит, особенно онлайн-заем в МФО, можно повесить на человека чужой долг, получить доступ к банковским счетам, зарегистрировать электронный кошелек и использовать его в преступных целях, в итоге доказывать свою невиновность уже придется лицу, чьи данные были использованы.

Стоит помнить, что в последнее время МФО значительно упрощают процедуру выдачи кредита, достаточно лишь направить паспортные данные по электронной почте. Некоторые МФО при оформлении кредита на сумму не выше 5000 рублей просят предоставить данные, высылают договор, а подписью считается код из СМС.

Как себя защитить

Поскольку утечка данных произошла массово, то несмотря на заявления Сбербанка, необходимо самостоятельно совершить действия для более надежной защиты. Это не займет много времени, но зато обезопасит в будущем.

В первую очередь нужно регулярно менять пароли к онлайн-банку и к мобильному банку, а так же пин-код. Дополнительно можно завести отдельный номер телефона, на который будут приходить уведомления и коды для входа в онлайн-банк. В этом случае заходить в само приложение можно будет, используя один телефон, а код будет приходить на другой.

Что касается паспортных данных, то стоит помнить, что банк отвечает за сохранность персональных данных. В случае, если клиенту был нанесен ущерб, а факт утечки данных из банка установлен, то весь ущерб можно взыскать с банка в судебном порядке.

Но и самое главное – будьте готовы к звонкам или СМС от «представителей банка». Мошенники обязательно захотят воспользоваться ситуацией и связываться с клиентами, используя предлог утечки данных. На СМС не реагируете, а в случае звонка стоит сказать, что все проблемы вы будете решать непосредственно в отделении банка, а не по телефону.

Будьте внимательны!

Сбербанк начал массово закрывать свои отделения-что происходит? (подробнее).

Благодарю за внимание!

Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством — Финансы на vc.ru

Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.

Двухфакторная защита банков на самом деле однофакторная раз мошенникам удаётся менять телефонные номера клиентов и угонять доступ в приложения и ЛК банков.

Попытаемся разобраться так ли бессильно государство, полиция, банки, люди перед жуликами. В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён. Приведём схемы взломов аккаунтов пользователей и возможные варианты защиты.

Очень много статей из серии N способов как мошенники крадут деньги с банковских карт описывают как разные варианты схемы звонков телефонных мошенников. На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.

Если позвонили из банка, ГосУслуг, службы безопасности, следственного комитета, прокуратуры, полиции, ФСБ, суда, то самое правильное сразу повесить трубку, а номер внести в чёрный список. В идеале вообще не брать трубку с незнакомых номеров.

Всё что нужно органам, они сообщат повесткой, сами вас доставят на допрос, и там самое лучшее пользоваться 51 статьёй и никогда не разговаривайте с силовиками. Банк всё что нужно сообщит в письменной форме в своём приложении или личном кабинете банка. Важно помнить, что вы не можете доверять ни входящим звонкам, ни СМС.

Номер отправителя легко подделать, см. как Навальный развёл своего отравителя.

Не лишним будет повторить, что не надо:

  • открывать все письма с загрузкой всего контента, тем самым та сторона знает, что письмо открыли;
  • открывать прикреплённые файлы, если вы не ждали их получения;
  • переходить по ссылке в письме, смс, соцсетях, на разных левых сайтах, если вы не ожидали эту ссылку от банка, например, регистрируясь или восстанавливая пароль;
  • не устанавливайте лишнее ПО.

Есть более банальные способы потери денег — утеря контроля над:

  • телефонным номером;
  • адресом электронной почты;
  • аккаунтом ГосУслуг;
  • смартфоном, компьютером.

Теперь мы рассмотрим всё это с других точек зрения.

Вход в информационную систему подобен входу в жилище или открытию автомобиля. Хорошо если у вас один ключ. Лучше когда два. Совсем хорошо, когда открыв дверь нужно ещё знать, где отключить сигнализацию, которую если не отключить, то приедет охрана. На автомобили ставили просто тумблер, который пока не переключишь электрическая цепь не включится.

Перечислим какие типы ключей есть в нашем распоряжении:

1. Логин как правило это: email или телефон или номер карты.

3. Второй пароль — кодовое слово.

4. Таблица одноразовых паролей, данные о последней операции, персональные данные.

5. Аккаунт электронной почты, ГосУслуг или ещё какой.

Много данных из ничего: в DarkNet продается 50 млн записей о счетах россиян

На форуме в DarkNet появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей.

Проверка тестового фрагмента с ФИО, номером телефона и паспорта, который оказался в распоряжении «Известий», показала, что 11 из 14 упомянутых граждан действительно имеют счета в этой кредитной организации. Это один из крупнейших массивов персональных данных, когда-либо предлагаемых в DarkNet.

Читайте также:  Как правильно составить договор займа?

По словам источника «Известий», близкого к ЦБ, продаваемая база не имеет отношения к утечке информации о покупателях маркетплейса Joom, которая появилась в открытом доступе ранее.

За 25 рублей

Объявление о продаже базы данных клиентов ВТБ появилось на форуме в DarkNet 14 августа. «Известия» связались с владельцем. По его словам, в распоряжении есть база данных объемом «30–50 млн» записей. Данные могут выгружаться напрямую, день в день. Стоимость одной записи — 25 рублей, заявил продавец.

В тестовом фрагменте, который есть в распоряжении «Известий», содержатся ФИО, номера телефонов и паспортов 14 клиентов. Система быстрых платежей по контактному номеру позволяет увидеть наличие счета в конкретном банке, а также имя, отчество и первую букву фамилии его владельца. 11 из 14 записей совпали с теми, что содержатся в тестовом фрагменте базы.

Ранее СМИ сообщали, что в открытом доступе распространяется файл с 31 тыс. данных карт ВТБ, держатели которых делали покупки в Joom. Позже маркетплейс признал, что данные банковских карт, попавшие в Сеть, совпадают с информацией из мартовской утечки, и заявил об отсутствии угрозы средствам клиентов.

«Известия» ознакомились с фрагментом данных о клиентах из этой утечки. В нем содержатся среди прочего первые шесть и последние четыре цифры карты, а также год окончания действия. По формату это не похоже на новую информацию, предлагаемую к продаже в DarkNet.

Продавец, с которым связались «Известия», платежных сведений не предлагал.

Справка «Известий»

В октябре 2019 года, по сообщениям СМИ, в продаже в DarkNet появилась база с 60 млн записей о владельцах кредитных карт Сбербанка. Эту базу тогда назвали самой крупной и подробной системой сведений, попавших на черный рынок. Глава финансовой организации Герман Греф признал утечку информации сначала о 200 клиентах, а позже — о 5 тыс. Он подчеркнул, что все карты пострадавших перевыпущены.

По словам источника «Известий», близкого к ЦБ, в регуляторе и в самом ВТБ о появившемся объявлении знают. Продавец и ранее светился с предложениями информации о клиентах банка, отметил он, добавив, что с высокой долей вероятности это предложение и появление в открытом доступе базы Joom — параллельные истории.

В данном случае утечка может быть не от самого банка, считает собеседник «Известий». Он пояснил, что сейчас мошенники очень активно подбирают информацию из любых связанных источников: от партнеров, организаторов скидочных программ и так далее. В ЦБ не ответили на запрос «Известий» о появлении в DarkNet объявления о продаже базы данных в 50 млн строк со сведениями о клиентах ВТБ.

В ВТБ «Известиям» заявили, что проверяют информацию о появлении в DarkNet персональных данных клиентов банка. Проверка факта происходит в том числе с привлечением правоохранительных органов.

База, обнаруженная службой безопасности банка в продаже в интернете, содержит ФИО, телефонный номер, серию и номер паспорта, подтвердили в ВТБ. В банке пояснили, что угрозы сохранности средств клиентов нет: такой набор данных не позволяет злоумышленникам предпринимать какие-либо действия со счетами клиентов, однако может быть использован в схемах социальной инженерии.

— Просим наших клиентов со своей стороны соблюдать требования финансовой безопасности и не передавать третьим лицам, в том числе и по телефону, персональные данные карт, пароли, коды из SMS-сообщений и другую информацию, — напомнили в ВТБ.

Заявление злоумышленника о количестве записей в размере якобы 30–50 млн не может соответствовать действительности, так как даже общее число всех розничных клиентов ВТБ составляет 13,3 млн человек, подчеркнули в банке.

Набор данных

Предлагаемые продавцом сведения определенно не относятся к утечке Joom — там был другой набор данных, отметил основатель сервиса разведки утечек DLBI Ашот Оганесян. Он добавил, что определить, информация о клиентах какого банка продается в Сети и реальные ли это сведения, невозможно.

Если в тестовом фрагменте базы совпадает основная часть информации, то, скорее всего, утечка персональных данных произошла либо из самого банка, либо из компании, связанной с кредитной организацией, полагает руководитель аналитического центра компании Zecurion (специализируется на кибербезопасности) Владимир Ульянов. По его словам, это могут быть выгрузки из системы, где данные одного клиента повторяются несколько раз: например, если он трижды оставлял заявку на кредит с указанием собственных персональных сведений.

Скорее всего, продаваемая информация — это не компиляция нескольких баз данных, которые уже есть в открытом доступе, это отдельно выгруженные сведения, считает Владимир Ульянов.

— В подавляющем большинстве случаев данные утекают через инсайдеров — сотрудников организаций, которые имеют доступ к данным клиентов. Как правило, в финансовых организациях доступ одного служащего ограничен: например, он видит номер счета, но не видит денежный остаток. Тем не менее даже ограниченное количество данных в руках мошенников могут навредить человеку, — отметил Владимир Ульянов.

По его словам, зачастую обращение к клиенту определенного банка по имени и отчеству вкупе с применением психологии и социальной инженерии может привести к выводу денег.

Чем больше у злоумышленников информации о человеке, тем им легче достичь своей цели.

Если клиенту сообщить информацию, которая известна только финансовой организации, добиться доверия становится гораздо проще, отметил ведущий эксперт «Лаборатории Касперского» Сергей Голованов.

При этом он подчеркнул: даже подробных сведений (номера карты или счета, остатка денег) недостаточно, чтобы провести трансакцию.

— Мошенники пытаются выяснить одноразовый код из SMS или push-уведомления для подтверждения перевода. Поэтому пользователям важно оставаться бдительными, никогда не сообщать коды для подтверждения трансакции, не устанавливать по просьбе незнакомых людей программы на свои устройства, не переходить по ссылкам по их просьбе, — подчеркнул Сергей Голованов.

Он добавил, что в ответ на любой звонок лучше положить трубку и перезвонить в финансовую организацию по телефону, указанному на обратной стороне банковской карты.

Что делать клиентам, если данные из банка утекли в Сеть. Отвечает «Лаборатория Касперского» | Телеканал 360°

Утечки информации случаются нередко — причиной может стать как атака хакеров, так и банальная месть бывшего сотрудника. Накануне выяснилось, что в Сеть утекли данные примерно 420 тысяч сотрудников Сбербанка. «360» узнал у эксперта «Лаборатории Касперского», что в таком случае делать клиентам.

На форуме phreaker.pro был выложен файл, в котором содержались их имена, фамилии и адреса электронной почты. В Сбербанке утечку признали, но о ее причинах распространяться не стали. Представители финансовой организации подчеркнули, что опубликованные данные не представляют серьезной угрозы.

Банку о факте публикации части адресной книги наших сотрудников известно. Эта информация не представляет никакой угрозы автоматизированным системам и клиентам банка

Действительно, подобная утечка вряд ли грозит серьезными последствиями самому банку и его клиентам. А вот сотрудники могут стать жертвами спамеров. Впрочем, этот вопрос в серьезной структуре должен быстро решаться техническими средствами.

Утечки данных в последнее время случаются достаточно часто, рассказал «360» веб-аналитик «Лаборатории Касперского» Владислав Тушканов.

Им подвержены и финансовые компании, и учреждения сферы здравоохранения, и государственные ведомства.

«Для самого предприятия это может быть чревато репутационными потерями, но куда больше угроз утечки несут непосредственно тем, чьи данные попадают в открытый доступ», — отмечает эксперт.

По его словам, сотрудники и клиенты организаций, пострадавших от утечки данных, самостоятельно могут принять некоторые меры для собственной безопасности. Во-первых, стоит вспомнить, не используются ли пароли, с которыми человек входил в сервисы этой компании, в других местах.

Повторяющиеся пароли вообще плохая практика, но если этот пароль был установлен где-то еще, обязательно его поменяйте

Владислав Тушкановвеб-аналитик «Лаборатории Касперского».

Во-вторых, следует быть настороже на тот случай, если кроме, скажем, пар логин-пароль утекла личная информация вроде адреса, номера телефона или имен членов семьи. «При таких обстоятельствах резко повышается вероятность таргетированных фишинговых атак.

Например, можно ожидать SMS или сообщения в мессенджеры, где от имени вашей дочери злоумышленник будет срочно просить перевести деньги на какой-то счет.

Не лишним будет предупредить родных и близких, что ваши данные могут быть использованы для фишинг-атак, а также установить на свои устройства антивирус с защитой от фишинга, если у вас его еще нет», — говорит аналитик.

Наконец, после подобных инцидентов стоит время от времени проверять свою кредитную историю, чтобы вовремя среагировать, если ваши данные были использованы для финансового мошенничества. Например, с микрокредитами.

Судить о причинах конкретной утечки в Сбербанке эксперты не берутся, тут предстоит серьезное внутреннее расследование. Но зачастую не требуется никаких технических уязвимостей или хорошо спланированных хакерских атак. Бывает, данные «утекают» вместе с недовольными или просто рассеянными сотрудниками.

Читайте также:  Кредитная история после банкротства физических лиц

Как отмечает аналитический центр InfoWatch, конфиденциальную информацию зачастую выносят буквально на флешке. Например, в Канаде недавно было похищено устройство с персональными данными 227 государственных служащих. В настоящее время инцидент расследует федеральная полиция.

В Израиле сотрудница одной из оборонных компаний потеряла флеш-накопитель с секретной информацией. Женщину допросили по подозрению в незаконном выносе накопителя с территории предприятия и подключения его к домашнему компьютеру — это было строго запрещено внутренним регламентом.

Из банков утекают данные клиентов

С вероятностью 66% ваши персональные данные окажутся в открытом доступе или будут продаваться на черном рынке. Если банк незаконно передал информацию о вас другому лицу, вы вправе обратиться в суд или попросить об этом Роскомнадзор

За январь – сентябрь 2020 г. в России утекло 96,5 млн записей персональных данных и платежной информации. 4 февраля 2021 г. об этом сообщила первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова на конференции, посвященной формированию единой цифровой среды доверия в обществе.

Давайте-ка посчитаем вместе: население России составляет 146,8 млн человек. Если на каждого человека приходится по одной записи персональных данных, то 96,5 млн записей – это примерно 66% от их общего объема. При грубом подсчете именно с такой вероятностью сведения о нас окажутся в открытом доступе.

Чаще утечки информации обнаруживают в госсекторе, IT-индустрии и сфере финансов. Особенно большой резонанс вызвала утечка персональных данных клиентов Сбербанка летом 2019 г., когда на черном рынке оказалась база данных с информацией о владельцах 60 млн кредитных карт.

В России персональные данные защищаются прежде всего Законом «О персональных данных», а в банковской сфере – Законом «О банках и банковской деятельности» и нормами Гражданского кодекса РФ.

В статье речь пойдет о наших правах и возможностях их защитить в отношениях с банками.

Банк является оператором персональных данных, которые он собирает и обрабатывает для выполнения своих функций. Под обработкой данных подразумевается целый набор действий: сбор, запись, систематизация, накопление, хранение, уточнение и т.д.

Такая работа с личной информацией клиентов возможна только с их письменного согласия. Но обычно человек не обращает внимания на то, когда и в каком объеме он разрешает обрабатывать свои персональные данные. Согласие может быть дано при посещении офиса в бумажном документе или через Интернет во время заполнения формы на сайте и даже просмотра информации на нем.

  • Например, Сбербанк разместил на своем сайте такую информацию для пользователей:
  • «Продолжая работу на сайте, я выражаю свое согласие ПАО Сбербанк на автоматизированную обработку моих персональных данных … с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам…»
  • Чтобы узнать, какие полномочия предоставлены кредитной организации, можно обратиться с письменным запросом в отделение банка или найти образец согласия на обработку персональных данных на его сайте.

Тут может возникнуть вопрос: а что, если не соглашаться на обработку данных? Субъект персональных данных принимает решение об их предоставлении и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона «О персональных данных»). Вы можете не передавать данные банку или не разрешить их обрабатывать. Но в этом случае банк вправе отказать вам в оказании услуг.

Закрытие счета или погашение кредита не означает автоматического уничтожения персональных данных. Для этого необходимо подать заявление об их отзыве или уничтожении. Чтобы быть уверенным в том, что их у банка не осталось, можно запросить акт о прекращении обработки данных или выписку из журнала учета уничтожения персональных данных.

На сайте Роскомнадзора подробно расписано, как уничтожаются личные данные клиентов:

«Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора.

Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале.

Типовая форма акта и журнала утверждаются оператором».

При этом даже в случае запрета обрабатывать данные клиента банк может продолжать это делать. Например, при сохранении договора с банком для работы с ним (п. 5 ч. 1 ст. 6 Закона «О персональных данных»). Также кредитное учреждение сохраняет личную информацию о клиенте в течение не менее 5 лет с момента истечения срока договора согласно ч. 4 ст.

7 Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». И наконец, кредитные организации сохраняют первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее 5 лет (ст.

17 Закона «О бухгалтерском учете»).

Суды придерживаются такой же позиции. Один из примеров: гражданин обратился с требованием о прекращении правоотношений с банком и направлении ему акта об уничтожении сведений, содержащих персональные данные.

В заявленных требованиях суд отказал, поскольку банк должен хранить персональные данные клиентов в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу1.

Банк вправе поручить обработку данных сторонней организации с согласия субъекта персональных данных (п. 3 ст. 6 Закона «О персональных данных»). Это возможно, например, при проведении рекламной кампании и сборе заявок или хранении собранной информации на серверах IТ-компаний.

Но для таких действий необходимо согласие клиентов. И, как правило, они его дают. Выше приводилась выдержка из согласия на обработку персональных данных с сайта Сбербанка.

В нем есть такая фраза: «…передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам».

Чаще встречаются более расплывчатые формулировки – просто упоминается о передаче данных сторонним организациям. Иногда ставят ссылку на перечь организаций-партнеров, которым может передаваться информация.

С кредитной организацией трудно будет договориться о корректировке таких формулировок. Как уже было сказано, в случае несогласия предоставить персональные данные банк может отказать в оказании услуг. Тем не менее всегда обращайте внимание, на что вы даете свое согласие, особенно при заключении договоров с организациями из других сфер.

Чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы.

Битва за персональные данныеБанк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне

В случае нарушения ваших прав вы можете обратиться в суд с требованием о возмещении морального вреда. Но доказать придется и факт передачи персональных данных, и незаконность такой передачи.

Вы вправе также заявить требование о запрете дальнейшего распространения информации и иного нарушения прав.

Но, как указано выше, в подобных требованиях суд может отказать, если речь будет идти об обязанности банка хранить данные в течение 5 лет или о предоставлении информации уполномоченным органам.

Подавать исковое заявление можно в суд по месту регистрации гражданина. На это указал Верховный Суд РФ в Определении от 14 июля 2020 г. № 58-КГ20-2 (читайте об этом в новости «ВС: Роскомнадзор вправе подавать иск в порядке гражданского судопроизводства»).

Суды нередко выносят решения в пользу граждан. Только размеры компенсации морального вреда составляют всего несколько тысяч рублей. Например, в одном из дел, рассмотренных Новосибирским областным судом, передача информации о клиенте банком коллекторской организации была признана незаконной, но размер компенсации морального вреда составил лишь 5 тыс. руб.2

Чтобы попробовать увеличить размер компенсации, можно запастись справками о своих физических и нравственных страданиях. Например, подойдут выписки из медицинских документов, подтверждающие осмотры терапевта и невролога, к которым пришлось обращаться с жалобами на головные боли, нарушение сна и иные симптомы, возникшие из-за постоянных звонков коллекторов.

1 Апелляционное определение Московского городского суда от 14 июня 2019 г. по делу № 33-25479/2019.

2 Определение Новосибирского областного суда от 21 января 2014 г. по делу № 33-383/2014.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *