Как персональные данные клиентов банков попадают в руки мошенников?
https://otr-online.ru/programmy/segodnya-v-rossii/kak-personalnye-dannye-klientov-bankov-popadayut-v-ruki-moshennikov-52149.html Иван Князев: В эфире ОТРажение, мы продолжаем. Кто ворует наши персональные данные, как они попадают в руки мошенников? Сейчас речь о той информации, которую о себе мы оставляем в банках, когда, например, берем кредит, открываем счет и т.д. Выяснилось, что чаще всего данные воруют рядовые сотрудники. По словам экспертов компании «Инфовотч» чаще всего в утечках из банков виноваты именно внутренние нарушители, так назвали. Более 80% случаев в прошлом году у нас в стране, тогда как в мире этот показатель составил немногим более 50%.
Ольга Арсланова: Итак, в 70% случаев утечки приводят к дисциплинарным взысканиям, в том числе и к увольнению сотрудников. Однако, интересный момент. Для самих банков утечки обернулись крупными штрафами только в 20% случаев, в 10% вообще не был наказан ни сам банк, ни его работники. А все из-за того, что в России операторы персональных данных не обязаны сообщать надзорным органам и пострадавшим клиентам об утечках данных, поэтому доказать их факт затруднительно. Позвонил мошенник, откуда он взял всю эту информацию, поди докажи. Как с этим всем бороться? Возможно ли это? Или нужно смириться и становится все более подозрительными, самостоятельно как-то бороться с этим? Давайте поговорим.
Иван Князев: И, конечно же, вас просим рассказать нам, ваши данные утекали на сторону, звонят вам, предлагают, например, сейчас кредит взять, купить что-нибудь? Как это часто у нас происходит. Или даже хуже. Может быть, на ваше имя какую-нибудь сделку незаконную оформили. Звоните, рассказывайте ваши истории в прямом эфире.
Ольга Арсланова: Да, рассказывайте, я думаю, что таких историй у нас в стране прилично наберется. С нами на связи соучредитель сообщества профессионалов в области приватности Алексей Мунтян. Здравствуйте, Алексей.
Алексей Мунтян: Здравствуйте, коллеги.
Ольга Арсланова: По данным аналитиков утечки данных стали быстрее как раз во время пандемии, и именно у банков потери увеличились во время пандемии. С чем это вы связываете?
Алексей Мунтян: Я думаю, что ответ здесь на самом деле очевиден. Это во многом связано с так называемой цифровой трансформацией, которая произошла с нами во всем мире в связи с тем, что пандемическая ситуация потребовала дистанционного режима работы, и оказания услуг, и естественно более интенсивной цифровизации многих аспектов нашей деятельности. А там, где появляются цифровые технологии, появляется определенный пул актуальных угроз, который касается, в том числе наших персональных данных. Я боюсь, что в будущем, учитывая, что эта цифровая трансформация только-только набирает на самом деле динамику, особенно в нашей стране, в будущем мы столкнемся с еще большим количеством подобного рода угроз.
Иван Князев: Но тем паче, мне кажется, систему контроля ужесточать нужно. Алексей, а мне всегда было интересно, как это выглядит? Рядовой сотрудник банка, это кто? Это кассир, который там сидит, я не знаю, оформляет договор или платежи принимает, это человек, который занимается обслуживанием компьютерной техники и т.п. Кто там к чему имеет доступ и самое главное как потом это продать?
Алексей Мунтян: Здесь на самом деле, мне кажется, все мы являемся отчасти заложниками уже устаревшего представления, что банки являются такими классическими кредитными организациями, где есть много клерков, операционистов и т.д., которые просто имеют доступ к некоторым базам данных. На самом деле современный банк высокотехнологичная организация, даже можно сказать финансовая IT-компания, допустим, если мы возьмем самые крупнейшие российские банки Сбербанк, ВТБ, Альфа-Банк, все они очень хорошо продвинулись в информационных технологиях. А если мы даже посмотрим, допустим, на Тинькофф банк, то это банк, который изначально себя позиционировал в первую очередь как IT-компанию, которая работает через дистанционный канал.
Иван Князев: И, тем не менее, рядовой сотрудник может украсть все, что знает о нас.
Ольга Арсланова: Именно поэтому, судя по всему.
Алексей Мунтян: Да, безусловно, да. Потому что рядовой сотрудник это не просто человек, который сидит где-то в отделении, это тот человек, который работает с огромным количеством информации в огромных базах данных. И если в банке не настроена система безопасности должным образом, то естественно его действия практически являются бесконтрольными. Хотя большинство сейчас кредитных организаций очень много денег инвестируют во внутренние системы контроля, системы предотвращения утечки персональных данных. Но как было вами сказано в самом начале, к сожалению, самая главная угроза исходит именно из человеческого фактора. Поэтому здесь самое главное, как банки работают со своим персоналом.
Ольга Арсланова: Алексей, а что такого опасного, наиболее опасного о себе мы сообщаем банкам? Я имею ввиду эксклюзивно опасного. Такого, о чем не знает сайт госуслуги, наш смартфон, поисковики, всякие коммерсанты, рекламщики и т.д.
Алексей Мунтян: На самом деле здесь вопрос ни в каких-то отдельных категориях данных, а в их совокупности. Именно очень большой объем данных, который о нас знают банки. Тем более сейчас банки во многом устраивают так называемые цифровые системы, т.е. они получают от нас информацию не только при оказании нам тех или иных кредитных услуг, банковских услуг, они получают о нас информацию и от других организаций, от участников экосистем, цифровых платформ и прочих, прочих.
Они аккумулируют огромное количество информации, именно вопрос не в составе этих данных по отдельности, а в совокупной массе. Потому что этот объем информации опасен не просто тем, что он есть, а тем, что благодаря ему можно предсказывать наше с вами поведение и можно соответственно им управлять. Это первый момент. И второй момент: одна из тех вещей, которая во многих случаях есть у банков, но нет у других, это наши биометрические персональные данные. Единая система биометрической идентификации, которая в нашей стране очень активно развивается, она дает банках эту критически важную о нас информацию.
И я прошу ваше внимание обратить на то, что отличие от всех других данных, платежной информации, даже наших с вами фамилий, имен и отчеств биометрические данные мы с вами поменять не сможем, если они утекут.
Ольга Арсланова: А еще банки знают, сколько мы зарабатываем. И знают, на что мы тратим.
Алексей Мунтян: Безусловно, но знают это не только они, потому что у нас есть такие организации, как операторы фискальных данных, которые тоже знают очень много информации о нас с вами. Но, безусловно, банки знают, как мы тратим, на что мы тратим, как часто мы делаем и самое главное, что они могут вполне реалистично предположить, сколько денег мы будем с вами в будущем.
Иван Князев: А меня все-таки Алексей меня интересует эта история с биометрией. Не во всех банках, когда ты становишься их клиентом, тебя фотографируют, что-то еще считывают сейчас.
Алексей Мунтян: Да, безусловно, потому что это по закону является сугубо добровольной процедурой, т.е. вы должны дать согласие на то, чтобы банк мог получить от вас не просто биометрические данные, а использовать их для вашей идентификации. Но на самом деле очень многие банки, особенно крупные всячески мотивируют и стимулируют своих клиентов предоставлять свои согласия, более того некоторые банки даже предлагают это сделать через мобильное приложение, без посещения офиса.
Иван Князев: Я так понимаю, что за этим как раз-таки будущее. Сейчас, уважаемые телезрители, мы возьмем ваши звонки, просто очень важный момент, нужно прояснить. Сейчас даже в телефоне, если ты заходишь в приложение, у тебя идет Face ID. Это уже часть этих данных, которыми банк может завладеть? Потому что даже без пароля по моему лицу меня пускают в приложение, и я там могу все, что угодно делать.
Алексей Мунтян: Нет, не совсем так. Дело в том, что Face ID либо отпечатки пальцев, которые вы используете для разблокировки телефона либо для аутентификации в мобильном приложении, вы этой информацией с банками не делись. То есть эта информация, которая у вас хранится на телефоне в зашифрованном виде. И банк всего лишь получает от телефона ответ, тот ли это человек, который использовал, допустим, отпечаток пальца. Собственно, банк устанавливает тождество между вами, как клиентом, и пользователем мобильного приложения, мобильного телефона. Но телефоны эти данные в банк не предоставляют. Но банк может, допустим, через телефон напрямую как бы с вашего разрешения естественно получить, допустим, вашу цифровую фотографию. И это уже использовать в качестве биометрической идентификации. Хотя, по моему мнению, безусловно, каждому из нас нужно быть очень осторожным при предоставлении банку согласия на использование нашей биометрии. Я до сих пор пока согласия никому не давал.
Ольга Арсланова: Послушаем зрителей. Валентин из Пензенской области на связи, его история. Добрый вечер, Валентин, слушаем вас.
Зритель: Здравствуйте.
Иван Князев: Здравствуйте.
Зритель: Вся информация утекает из банковской системы. Потому что у нас был реальный случай. Заказали мы в Сбербанке карту пенсионную, надо было подождать несколько дней, дней шесть, наверное. Но на четвертый день нам уже звонили мошенники. И называли по имени, отчеству и говорили, что в эту секунду с вашей…
Иван Князев: С вашей карты, которую вы еще, как я понял, не получили, уже что-то происходит, правильно?
Зритель: Да, да, да. Потому что больше не откуда, только из банковской системы. Они продали ее уже. Мы еще и карточку не видели в глаза.
Ольга Арсланова: А карточку-то, Валентин, в итоге сделали вам, все в порядке?
Зритель: Да, мы потом поехали, ее взяли. И пользуемся ей. Но уже информация у мошенников.
Ольга Арсланова: Да, спасибо. Давайте разбираться. Алексей, одна из самых частых жалоб. Мы понимаем, да, что данные могут продаваться каким-то коммерческим структурам с целью заполучить нас, как клиентов. Самое неприятное, когда она попадает к мошенникам. И на это жалуются очень многие наши зрители. Звонят якобы банки и какие-то около банковские структуры. Много разных схем, но суть одна, сделать так, чтобы человек поверил, что это настоящий банкир, и перевел денег. Первая же ассоциация, что раз мошенники прикидываются банкирами, что информация утекла из банковской сферы, как у нашего зрителя. Всегда ли это действительно так? Есть ли здесь прямая взаимосвязь? Как вам показалось из этой истории, большинства таких историй.
Алексей Мунтян: Учитывая, насколько оперативно эта информация появилась у предполагаемых мошенников, т.е. тех людей, которые пытались войти в доверии к тому человеку, которую сейчас нам рассказал свою достаточно грустную историю. Я на самом деле тоже был объектом попыток мошенничества. Правда здесь представлялись именно службой безопасности банка, и пытались, таким образом, через социальную инженерию, скажем так, получить определенные данные, именно о моей карте, ее номер и прочее, прочее. На самом деле очень часто, как я уже говорил, банки не являются единственными организациями, которые потом в дальнейшем обрабатывают те персональные данные, которые мы им предоставляем.
Потому что банки действуют в составе определенных групп компаний, там финансовых групп и т.д. И они этими данными также могут обмениваться с другими компаниями, которые из-за того, что у них гораздо менее строгая дисциплина и меньше возможностей по предотвращению утечек, т.е. они эти данные могут легально получить от банка. И потом уже в этих компаниях, в компаниях партнерах банка может произойти утечка, которая будет способствовать тому, что данные окажутся, к сожалению, у таких недобросовестных людей, у мошенников.
Иван Князев: Там не поймешь, к кому ниточка ведет, тянет. Алексей, коль вы эксперт в области приватности. Про биометрию поняли мы, не нужно соглашаться, наверное, сейчас вы не рекомендуете. Что еще? Где нужно ставить галочки, что я не даю свое согласие на это, на это и на это? Что порекомендуете?
Алексей Мунтян: На самом деле я бы рекомендовал, хотя это, конечно, самая скучная рекомендация, не самая захватывающая. Очень внимательно читать те условия, которые предлагают вам банки. Потому что, к сожалению, очень многие банки используют достаточно старый подход, когда лучшая защита документа от его прочтения это объем. Они дают вам вроде бы возможность ознакомиться с очень большим объемом договорных положений. И в этих положениях, если вы внимательно будете читать, вы обнаружите, что оказывается банк может передавать ваши персональные данные достаточно большому количеству, так называемых, третьих лиц, из как раз партнеров либо партнеров партнеров.
И в некоторых местах банки предлагают вам поставить галочки своим несогласием на ту или иную передачу персональных данных. Я советую внимательно с этими моментами в договоре ознакомиться, и если вы действительно переживаете за свои персональные данные, то необходимо, во-первых, ограничить банк в возможности передать ваши персональные данные. Это может вам дать определенную долю спокойствия.
Иван Князев: Но они же. Сейчас да, прошу прощения, сразу уточню. Но они тогда же договор не подпишут, скажут, у нас такой типовой договор и все. Или нет?
Алексей Мунтян: На самом деле сейчас по инициативе президента у нас в июне этого года в Государственную думу было внесено два законопроекта. Первый законопроект ужесточает положения закона о защите прав потребителей. И согласно этому закону, как бы законопроекту пока что, любая организация, которая заключает потребительский договор, в том числе это будет касаться и компаний финансовой отрасли, банковской отрасли, эти организации должны будут просить от вас только тот объем данных, который необходим для исполнения договора. Все остальное должно быть сугубо добровольно, т.е. они не могут вам что-то навязывать. Говорить, что мы тогда с вами договор не заключим.
Ольга Арсланова: Алексей, мне понравилось, как вы запудривание мозгов назвали по-новому, по-современному социальной инженерией, это красиво звучит. Давайте послушаем еще одну историю, из Москвы Татьяна на связи. Добрый вечер.
Зритель: Алло.
Ольга Арсланова: Здравствуйте, слушаем вас.
Зритель: Здравствуйте. Меня зовут Татьяна. Мне 70 лет. Образование высшее. Слава богу, с головой все хорошо. Когда мне сын хотел подарить мне первый мой мобильный телефон, он, чтобы сделать мне сюрприз, он оформил совершенно этот номер на другого человека, причем на мужчину. Интернетом я не пользуюсь, у меня просто нет интернета. Само собой я ничего не заказываю, ничего. И вдруг мне постоянно звонят. Звонят по несколько раз в день, называя меня по имени, отчеству. Просто реально называют. И начинают говорить, а вы это делали? А вы туда ходили? А вы сюда переводили деньги? Подтвердите. Я так думаю, что поскольку я не пользуюсь ничем, мои данные утекают именно из Сбербанка, потому что я там получаю пенсию, пенсия приходит на карту МИР. Потому что я там снимаю деньги или что-то. Все, откуда могут быть вообще доступны мои личные данные? Я против этого, безобразие я считаю.
Ольга Арсланова: Кто же будет за? Понятно, спасибо большое. Алексей, здесь люди формальной логикой руководствуются и понимают, что это банк, методом исключения. А как по закону это докажешь?
Алексей Мунтян: На самом деле это не так просто доказать, потому что кроме факта обращения, допустим, по телефону какого-то незнакомого человека, который якобы играет роль либо сотрудника банка, либо какого-то иного заинтересованного лица. Это достаточно мало, потому что банки в таких случаях просто все отрицают, они очень редко, даже их служба безопасности, она прислушивается к таким жалобам, хотя их очень много. Обычно банки переводят, грубо говоря, переводят стрелки на самих людей, что вы не досмотрели за своими данными, кому-то их рассказали, поделились, кто-то узнал, и теперь эти люди используют ваши данные. Это, грубо говоря, оплошность самих клиентов. Хотя, конечно, ни для кого ни секрет, что торговля персональными данными это большой прибыльный бизнес.
И опять же, как показало исследование, про которое мы говорили в самом начале этой передачи, персональные данные достаточно ходовой товар. Здесь, на самом деле, можно обращаться в правоохранительные органы и требовать возбуждения, допустим, уголовного дела в том случае, если речь идет о попытке мошенничества.
Можно пытаться использовать другие способы. Допустим, я знаю, что некоторые мои знакомые и я сам, мы используем определенное программное обеспечение, мобильные приложения, которые ставятся на мобильное устройство и которые просто блокируют всех потенциальных мошенников, спамеров и прочее, прочее. Это, конечно, не препятствует какое-либо использование персональных данных, но, по крайней мере, сильно снижаем, скажем так, нервно-психологическую нагрузку и успокаивает.
Иван Князев: И, возможно, спасет вас от непонятного звонка. Спасибо вам.
Ольга Арсланова: Возможно, и деньги тоже убережет. От социальной инженерии это работает, судя по всему. Спасибо вам.
Иван Князев: Спасибо вам, Алексей. Алексей Мунтян, соучредитель сообщества профессионалов в области приватности. Как вы защищаете свои персональные данные? Возможно ли это, спрашивали корреспонденты наших телезрителей. Давайте посмотрим, что отвечали.
ОПРОС
Ольга Арсланова: Продолжаем разговор. С нами на связи член комиссии по правовому обучению цифровой экономики московского отделения ассоциации юристов России Юрий Брисов. Юрий Владимирович, здравствуйте.
Юрий Брисов: Здравствуйте.
Ольга Арсланова: Возможно ли в современном мире вообще уберечь свои цифровые данные или мы уже давно в такой глобальной деревне, что Маклюэну и не снилось? Не стоит питать иллюзий.
Юрий Брисов: Возможно, если глобально отвечать на этот вопрос, то иллюзий питать не стоит. Но конечно какие-то механизмы защиты данных в частных случаях есть, и их можно использовать.
Иван Князев: Какие это механизмы, Юрий Владимирович? Мне интересно, банк засудить на самом деле можно? Выяснить, что бывают же такие случаи, что человек только в одном банке пенсию получает и все, данные утекли. Можно ли это сделать или нет?
Юрий Брисов: Если разбирать кейс по поводу того, что человек получает только в одном банке пенсию и данные утекли, то доказать причинно-следственную связь достаточно сложно. Потому что мы не знаем, где конкретно данная пенсионерка еще могла оставить свои персональные данные, и мы никак это доказать не сможем. Но в случаях массового слива данных, так называемого, когда известно, что тот или иной банк или та или иная организация, у них произошла утечка или хакерская атака, или еще что-то, и мы можем доказать, что данные определенного лица утекли оттуда.
Или бывают ситуации, когда данные просто, например, на торговых площадках о закупках хранятся в открытом доступе. Или на сайте на каком-то ваши данные могут храниться в открытом доступе. Когда вы можете установить причинно-следственную связь с достаточной степенью вероятности, тогда вы можете подать в суд на оператора, который обрабатывает эти персональные данные.
Ольга Арсланова: Юрий Владимиров, мы каждый день, работая в прямом эфире, получаем десятки новостей из разных регионов о том, как пенсионерка отдала мошенникам свои последние сбережения, как обманывают даже работников банков эти мошенники. Но при этом я не помню за последнее время ни одной новости, чтобы их поймали. Чтобы такую группу накрыли, поймали, нашли у них наши персональные данные, нашли того, кто им эти персональные данные слил и т.д. Есть ощущение, что государство в борьбе с этим спрутом бессильно. Или занимается этим как-то очень фрагментарно.
Юрий Брисов: Дело в том, что да, государство может быть бессильно во многих вопросах. Но если брать непосредственно вопрос расследования этих массовых преступления, то часто мы слышим в СМИ информацию о том, что крупная банда мошенников, которая орудует с крупными банками, была выведена на чистую воду, которая на сотни миллионов сотни рублей украли денег. Так что органы наши правоохранительные тоже уж так совсем пинать не стоит, что они недостаточно эффективно работают в этом направлении.
Иван Князев: Тогда интересно, почему все-таки в Европе показатель того, что в самих банках сотрудники чаще всего эти данные каким-то образом воруют 50%, а у нас более 80%. Что у них там с законодательством, как у них система безопасности выстроена тогда?
Юрий Брисов: Это отличный вопрос. В Европе действительно последствия и кара, которая следует за раскрытие персональных данных намного выше, чем у нас. В GDPR, это специальный закон, который действует в Евросоюзе, он предполагает штрафы на организацию до 20 миллионов долларов или 4% от оборота, если это больше этой суммы. И когда организации понимают, что им грозит такой серьезный штраф, они, конечно, задумывают и принимают огромные меры, чтобы усилить защиту данных. Когда у нас это 75 тысяч рублей, и в отдельных случаях до 100, до 300 тысяч рублей, то конечно организации чувствуют себя более вольготно и не так сильно стараются инвестировать в современные средства защиты данных.
Иван Князев: Особенно, если эта организация банк. 75 тысяч рублей.
Ольга Арсланова: Банки разные бывают, бедные тоже. Юрий Владимирович, репутация банков. Такое ощущение, что в России не очень-то страдает или банки не очень заботятся о том, что могут вызвать недоверие такой слабой защитой, такими непроверенными сотрудниками.
Юрий Брисов: Да, это опять глобальный вопрос. У нас очень низкая конкуренция в банковском сегменте. По сути, где я могу получать пенсию, только в одном банке, условно говоря. Где я могу получать, если я бюджетник, где я могу получать зарплату, на какую карточку? Только на одну определенную карточку. То есть это вопрос, касающийся антимонопольного регулирования, вопрос, который в сфере регулирования конкуренции и в сфере регулирования здоровых рыночных отношений. Когда банки понимают, что у них есть конкуренция, то они, конечно, дорожат своей репутацией. Если банки понимают, что как бы мы не были сильно недовольны их услугами, мы все равно вынуждены там получать пенсию, оплачивать ЖКХ через них, получать зарплату в этих банках. Мы никуда не денемся. Все равно мы будем платить банкам процент за их сервис, определенным банкам.
Иван Князев: Не знаю, позволит ли нам сейчас связь, проблемы небольшие возникают. Просто, Юрий Владимирович, если, грубо говоря, обязать операторов персональных данных все-таки сообщать о случаях утечки, это поможет решить проблему или нет? То, что сейчас они не делают. Выявили они, что у них сотрудник что-то украл, никому не сказали, уволили и все.
Юрий Брисов: Да, конечно. Если у нас будет серьезная ответственность за неразглашение случаев утечки, и если организация будет понимать, что в случае освещения этой информации, если организация выходить с повинной, то ответственность будет намного меньшей. Раскрывать данные об утечке, принимать какие-то меры и не стараться как-то скрыть это все и решить все внутри своей организации.
Ольга Арсланова: Спасибо, член комиссии по правовому обучению цифровой экономики московского отделения ассоциации юристов России Юрий Брисов был у нас в эфире. Вспоминают зрители сберкнижки старые добрые, сейчас оказывается самый безопасный способ. И Шукшина, что денежка должна ляжку жечь, тогда это и приятно, и безопасно.
Иван Князев: Скоро продолжим.
Ольга Арсланова: Собственно да, о том, сколько должно быть этих денег для того, чтобы пережить пандемию, поговорим совсем скоро.
