Сбербанк создал штаб для расследования утечки данных
Пока банк уверяет, что речь идет о 200 клиентах, а причины – преступные действия его сотрудникаСбербанк начал расследование утечки данных клиентов уральского филиала, рассказал представитель банка. Рабочий штаб возглавил первый зампред правления Александр Ведяхин.
Что произошло
О возможной утечке банк узнал так. 2 октября служба кибербезопасности получила файл с данными, где предположительно содержались сведения о 200 клиентах, рассказывает представитель Сбербанка. Одновременно стало известно (об этом сообщил «Коммерсантъ») о предложении в теневом ресурсе интернета базы с данными 60 млн держателей кредитных карт Сбербанка. Банк незамедлительно начал проверку всех процессов, ресурсов и систем, которая показала: внешнего взлома или хакерской атаки не было.
Почти сразу обнаружилось, что информация о 200 клиентах действительно относилась к данным Уральского банка Сбербанка, продолжает представитель банка, однако самого файла в открытом доступе не было – лишь скриншоты: утечка касается исключительно кредитных карт. Банк проверял и утечку данных держателей 60 млн кредитных карт: это банк подтвердить сейчас не может и такой информацией не обладает, заверил его представитель, но столько кредиток банк не выпустил за все время. Сбербанк обнаружил ресурс, на котором предположительно хранился файл с данными о 200 клиентах, рассказывает его представитель, он не был никак связан с внешними системами банка и находился во внутренней директории одной из систем, копию которой предположительно невозможно сделать. Представитель Сбербанка не смог ответить, есть ли риск, что были похищены данные более 200 клиентов: проверка все еще идет.
По факту утечки данных банк обратился в ЦБ, правоохранительные органы и Роскомнадзор. Банк получил письмо из Роскомнадзора с требованием провести расследование, говорит представитель банка. Ведомство также пишет, что не зафиксировало утечки 60 млн данных, добавил он, поэтому пока «банк исходит из того, что сегодня в доступе, не открытом, находится информация о 200 клиентах и речи о миллионных данных пока нет». Роскомнадзор на запрос не ответил.
Почему произошло
Сбербанк отрабатывает несколько версий похищения данных. Доступ к такому виду информации можно получить только сотруднику Сбербанка, который имеет особые права доступа администратора к отдельным информационным системам: просто ее скопировать на флешку и унести невозможно, говорит представитель банка. По его словам, в банке не исключают, что был физически разобран компьютер и жесткий диск мог быть изъят.
Еще версия: злоумышленник сфотографировал экран, продолжает представитель Сбербанка. Банк проверяет и другие версии. Однако в штабе точно уверены, что речь идет о преступлении со стороны одного или нескольких сотрудников банка, целью которых, вероятно, было заработать, резюмирует представитель банка.
Потерь не произойдет?
Утекшие данные о 200 клиентах не содержат информации о пин-кодах и CVV, подчеркивается в сообщении Сбербанка. Клиенты были незамедлительно предупреждены о произошедшем, а их карты взяты на контроль и перевыпущены, говорит представитель Сбербанка.
Дополнительной активности на свою систему безопасности Сбербанк не зафиксировал, количество звонков в колл-центр возросло не сильно, продолжает он: с помощью похищенной базы невозможно провести финансовую операцию. Кроме того, утечка касалась архивного файла и не затрагивала процессинговые программы банка, резюмирует его представитель.
Даже если многомиллионная база не фейк, набор ее данных (номер карты, ФИО, дата рождения, номер телефона и др.) не позволяет мошеннику снять деньги со счета или карты, подтверждает представитель Group-IB, подобных баз в андеграунде немало. Но эти данные могут быть использованы для того, чтобы выманить у клиента CVV-код, кодовое слово или вынудить его установить программу удаленного управления и получить доступ к мобильному или интернет-банку.
Для предотвращения утечек данных Сбербанк использует DLP-систему компании InfoWatch. Там от комментариев отказались до окончания расследования.
DLP-система – не панацея, отмечает сотрудник другой компании, занимающейся информационной безопасностью: «Резервные копии могут храниться по-разному, в том числе на магнитных лентах, и ничто не мешает скопировать их и унести». Судя по объему базы данных и наличию в ней служебных полей, была скопирована резервная копия базы данных процессинга, продолжает он. По требованиям ЦБ сотрудники могут пользоваться резервными копиями в присутствии коллег либо под видеонаблюдением.