Статья

10 окт., 14:36

"Инцидент, который произошел на прошлой неделе": Герман Греф об утечке из Сбербанка

Глава Сбербанка Герман Греф

Как бороться с утечками информации и можно ли их предотвратить

Цифровизация экономики несет не только благо, но и риски. До сих пор одной из больших проблем финансового сектора остаются утечки данных клиентов. Так, в начале октября "Коммерсантъ" сообщил, что злоумышленники могли получить доступ к 60 млн карт клиентов Сбербанка. Сама организация эту информацию опровергла, но подтвердила, что пострадали данные лишь 200 клиентов: их деньги не были украдены, так как CVV-коды, логины и пароли от интернет-банка не попали в открытый доступ. Как позже сообщили в банке, виноват в утечке был 28-летний сотрудник банка, который работал руководителем сектора в одном из бизнес-подразделений банка, а само преступление удалось раскрыть "в течение считанных часов".

Глава Сбербанка Герман Греф, выступая на пленарной дискуссии форума инновационных финансовых технологий Finopolis 2019 в Сочи, вновь вернулся к этой теме. Портал "Будущее России. Национальные проекты" собрал цитаты Грефа, об "известном инциденте", киберзащите и главных рисках в data protection.

О потерях

- Отдельная история - то, что называется киберзащита в целом и data protection (защита данных – прим. ред.) в частности. Мы на прошлой неделе пережили известный инцидент. Слава богу, что мы пережили его с минимальными потерями и, слава богу, что мы в считанные часы сумели раскрыть то, что произошло.

О будущих мерах защиты

- Первое - мы уже собрали участников рынка и дали им всем информацию о том, что произошло. Мы первыми "откоммуницировали" это на рынок и показали механизм. И как только мы завершим полностью расследование инцидента, мы соберемся со всеми коллегами и поделимся всеми деталями. Потому что мы сами декларируем открытость, и мы сами должны начинать с себя в этой открытости.

Мы существенно изменим и правила, и систему работы уже на защиту от внутреннего проникновения. Мы строили сильную защиту снаружи и, я считаю, что мы построили ее, думаю, что она соответствует лучшим мировым практикам.

О человеческом факторе

- Но всегда самая большая проблема - уязвимость изнутри. Когда сотрудники, призванные к тому, чтобы защищать, создают систему, они знают все потенциальные уязвимости. И они могут ими воспользоваться. И сейчас перед нами встала совершенно нетривиальная задача, как защититься от этого. Наверное, это самая большая проблема. Мы знаем утечки из таких организаций, как ЦРУ, и так далее и так далее. И, к сожалению, это все является очень распространенной практикой.

О разнице в ответственности

- Мы посмотрели сравнительный анализ ответственности, которая есть в нашей стране и тех же США и Европе. Допустим, фишинг - сейчас самое распространенное преступление в Российской Федерации. Мы за прошлый год мониторили примерно 135 тысяч номеров телефонов, с которых шло нападение на наших клиентов. В России ответственность - 0. В США - 5 лет тюрьмы, в Великобритании - 10 лет. Скимминг: как только была введена ответственность, проблема очень сильно упала. В России за скимминг была введена ответственность до 7 лет, в США - до 20 лет. DDoS-атаки - тоже была недавно введена ответственность - в России до 7 лет, в США - до 20 лет. Спам - России штраф до 2,5 тыс. рублей на физических лиц, до 500 тыс. рублей на предприятия. В США - 5 лет тюрьмы.

О важности сотрудничества

- Набор преступлений и ответственность за них принципиально разная. Вопрос даже не в них, вопрос в скорости реагирования. Нужно сотрудничество. Если мы говорим о фишинге, нужно сотрудничество телеком-операторов, регуляторов и правоохранителей. Без такой координации, какую бы ты суперсовременную и надежную систему не построил, ты не можешь привлекать к ответственности. И это вопрос создания коллаборативных систем. Поэтому на нас в этой части большая ответственность. Маленькому игроку это сделать тяжело - мы обязаны это делать.

Подготовила Алена Шаповалова