ЦБ дал банкам рекомендации по защите биометрических данных
Банк России подготовил рекомендации для кредитных организаций, работающих с биометрическими данными граждан. Они должны свести к минимуму риск утечки или кражи ценной информации. Эксперты, между тем, не исключают, что из-за сбора биометрических данных банки будут чаще становиться объектами кибератак.
ЦБ советует кредитным организациям регистрировать действия операторов, работающих с персональными данными клиентов. При сборе сведений рекомендуется использовать персональный квалифицированный сертификат ключа проверки электронной подписи сотрудника. Кроме того, банки должны исключить возможность хранения биометрических данных в рабочих компьютерах. По мнению регулятора, им также следует сообщать ЦБ обо всех инцидентах, возникающих на этапах работы с биометрической информацией.
По данным Group IB, в 2018 году каждый месяц в России целенаправленным кибератакам подвергались один-два банка. Целью злоумышленников было хищение средств. Средний ущерб от одного успешного ограбления составил 132 миллиона рублей. "Именно на деньги банков пришлась основная часть похищенных киберпреступниками средств, - говорит тренер по компьютерной криминалистике Group-IB Анастасия Баринова. - Такие атаки всегда тщательно и долго готовятся, и они же приносят хакерам наибольшую прибыль".
Помимо денег ценность для хакеров представляют персональные данные граждан.
Чем больше массив сведений, тем выше интерес преступников. "Не исключено, что атаки на банки активизируются. Причем целью злоумышленников будет не только похищение средств, но и кража биометрических данных - изображений лиц и образов голоса, которые кредитные организации сейчас собирают с клиентов для организации дистанционного обслуживания", - говорит Игорь Чичкан, ведущий андеррайтер страховой компании AIG.
В Европе и США страхование киберрисков и, в частности, ответственности за утечку данных уже вошло в практику. В России этого пока нет. Добровольно бизнес такие риски не страхует, а от идеи обязательного страхования в итоге отказались, чтобы не увеличивать нагрузку на бизнес.
"Если говорить о банках, то они основным риском считают вывод активов через электронные системы. Он страхуется в рамках программ страхования электронных и компьютерных преступлений - такие полисы есть у большинства крупных кредитных организаций", - поясняет руководитель отдела страхования финансовых рисков страховой компании AIG Владимир Кремер. Комплексная защита от возможных последствий киберинцидентов - раскрытия данных, сбоев в работе, угрозы шантажа - менее востребована, добавляет он.
Кредитные организации чуть больше готовы к киберугрозам, нежели какие-то другие, в силу того, что они подвержены более строгому регулированию. Требования к безопасности банковской IT-инфраструктуры намного выше, чем к инфраструктуре представителей других индустрий, называет возможную причину Игорь Чичкан. Однако все это не поможет полностью исключить вероятность киберинцидента, указывает он.
Сейчас киберриски в России страхуют в основном организации нефинансового сектора: IT-компании и маркетинговые агентства, работающие с крупными заказчиками, в том числе зарубежными. "Полисы покупаются под нажимом заказчиков, которые выставляют своим подрядчикам условия, чтобы киберриски были застрахованы. И все равно спрос нельзя назвать высоким", - замечает Владимир Кремер.
Но ситуация будет меняться, уверены страховщики. "Уже сейчас все процессы в высокой степени автоматизированы, связанные с этим риски и ответственность растут, - констатирует Кремер. - Что касается конкретно банков, то электронная часть их бизнеса постепенно будет становиться для них все важнее, так что они скорее всего также пересмотрят свое отношение к киберстрахованию".
Финансовый сектор, торговля, отрасль профессиональных услуг (юридические, бухгалтерские фирмы) находятся в первых строках списка, когда речь идет о киберубытках. Однако общая статистика показывает, что ни один сектор сегодня не имеет гарантированной защиты от кибератак. Более того, список отраслей, которые оказываются в зоне активности хакеров, пополняется каждый год. В 2018 году киберубытки были заявлены компаниями и организациями из восьми отраслей, которые ранее не фигурировали в статистике киберубытков, говорится в последнем отчете AIG.
Любопытно, что для своих целей хакеры научились использовать вполне безобидные на первый взгляд девайсы - "умные" счетчики, котроллеры освещения, датчики температуры, подключенные по беспроводной связи к локальной сети и управляемые с помощью удаленного доступа. По такой схеме злоумышленники, например, получили доступ к базе данных VIP-клиентов крупного казино. Они проникли в сеть, взломав беспроводной термостат, установленный в аквариуме для контроля температуры воды. Закрепившись в системе, нашли базу данных игроков, делающих крупные ставки, и вытащили ее из сети.