Эксперты назвали главные риски при защите МФО персональных данных

МФО, ломбарды, кредитные потребительские кооперативы теперь должны шифровать данные о своих заемщиках, а самих клиентов в офисах обязаны предупреждать о необходимости хранить в тайне свои персональные данные. Это требование введено Центробанком в ответ на многочисленные утечки клиентских баз и случаи мошенничества, когда от имени ничего не подозревающего человека берутся микрозаймы.

Микрозаймы остаются самым популярным финансовым продуктом. По данным Национального бюро кредитных историй, за десять месяцев прошлого года россияне оформили 7,96 миллиона кредитных карт, число потребительских кредитов за 11 месяцев - 13,07 миллиона. А общее число микрозаймов с января по октябрь прошлого года составило 15,65 миллиона.

Согласно отчету о работе с обращениями граждан, составленному регулятором за январь - сентябрь прошлого года, россияне отправили в ЦБ 18,2 тысячи жалоб на МФО. Причем в 8,4 процента случаев граждане утверждали, что микрофинансисты требуют с них деньги за микрозаймы, которых они не брали. В прошлом году такие сигналы составляли 6,5 процента от общего числа жалоб. И это лишь вершина айсберга: далеко не все граждане, узнавшие о долге, к которому они не имеют отношения, жаловались регулятору. Кто-то обращался непосредственно в МФО, кто-то в суд.

Оформление микрозайма сейчас просто, как никогда. По данным ЦБ, порядка 37 процентов берутся онлайн, когда человек вводит персональные данные, подтверждает свое желание взять деньги кодом из СМС и ему на банковскую карту поступает требуемая сумма. Правда, простота процедуры породила новый вид мошенничества, когда человек вводит не свои паспортные данные, а чужие, ворованные. Обладатель данных, которыми воспользовались аферисты, узнает о своем "долге" (в лучшем случае), когда его начинают настойчиво беспокоить из микрофинансовой организации, или же вовсе сталкивается с тем, что с его карты сумму "долга" начинают вычитать по решению суда.

Собственно, бороться с такими действиями и призвано нововведение. Микрофинансисты теперь обязаны шифровать данные заемщиков. Конечно, требования по защите информации к МФО предъявляются не такие, как к крупнейшим банкам страны, но теперь микрофинансистов заставляют делать хоть что-то.

В принципе, крупные МФО и раньше стремились защитить данные заемщиков, ведь в случае претензий граждан, жалоб в ЦБ или судебных исков долг, как правило, аннулировался, так что деньги, взятые неизвестным кибераферистом, превращались для организации в чистый убыток. Но многие компании игнорировали элементарные требования защиты данных, чтобы сэкономить.

Создание системы безопасности, особенно если ее раньше не было, влетит микрофинансовым организациям в копеечку

Александр Оводов, основатель Ovodov Cybersecurity, считает, что новые требования ЦБ увеличат рост числа МФО, которые не на словах, а на деле защищают персональные данные заемщиков. Если раньше компании задумывались о кибербезопасности, чтобы защититься от мошенников, то теперь есть еще и внешний контроль этих мероприятий со стороны регулятора.

Алексей Горелкин, генеральный директор компании Phishman, разрабатывающей решения в области кибербезопасности, обращает внимание на то, что создание системы безопасности, особенно если ее раньше не было, влетит МФО в копеечку: фирмам придется вкладываться в софт, нанимать и обучать персонал, закупать новое оборудование.

- Ответственные и следящие за своей репутацией компании имеют довольно высокий уровень технической защиты, им останется только подтянуть документарные и нормативные параметры, - считает директор департамента информационной безопасности QBF Юрий Орлов.

Таким образом, для действующих крупных игроков рынка, по оценкам эксперта, ничего принципиально не изменится. Правда, Орлов обращает внимание на то, что утечки данных могут проходить даже не со стороны самого МФО, а от партнеров, которые проводят аудит информационной безопасности. В минимальном риск-профиле, который вводится для микрофинансистов, проведение такого аудита становится обязательной процедурой. Соответственно, сами МФО должны не только отлаживать свою систему информационной безопасности, но и с особой аккуратностью отбирать партнеров-аудиторов.

Тем не менее Михаил Попов, банкир, основатель TalkBank, предполагает, что спрос со стороны МФО на сертифицированные IT-услуги в области защиты данных будет только расти.

- Многим компаниям будет проще перейти на обслуживание в сертифицированном сервисе, нежели выстраивать такую сертификацию и обеспечение всех необходимых компонентов безопасности на своей стороне. Поэтому я думаю, что увеличится рынок услуг кибербезопасности и безопасного облачного хранения данных и вырастет спрос на услуги интеграторов, которые предоставляют такие сервисы своим клиентам, - говорит Попов.

Правда, как считает программист, основатель компании "Только Высокие Технологии" Даниил Растовцев, прошло время, когда для получения данных системы массово взламывали. Компании ставят защиты, обход их требует времени и компетенций.

- Поэтому есть способ проще и надежнее. Если человеку нужна информация, он просто покупает ее практически напрямую у сотрудника, который может эту информацию выдать, - говорит Растовцев.

На фоне расцвета технологий социальной инженерии эксперт считает главными рисками для МФО не загадочных хакеров, ворующих данные с серверов, а переход сотрудников микрофинансовых организаций на удаленную работу. Дело в том, что даже при самых базовых системах защиты с рабочего места так просто не вынести никаких данных. Соответственно, удаленное рабочее место, которое, как правило, на деле является личным домашним компьютером сотрудника, также нужно защищать, причем даже посильнее, чем технику в офисе. Хватит ли у микрофинансистов на эти манипуляции сил и средств - большой вопрос.