13 Февраля, 2013

Бойся инсайдера, в банк приходящего

Михаил Емельянников
На пост сподвигли три события. Бурное обсуждение под Магнитогорском безопасно-банковских проблем, в отношении которых есть возможность мнить себя стратегом, видя бой со стороны (в основном, в изложении Алексея Лукацкого). Круглый стол по безопасности систем дистанционного банковского обслуживания на Инфофоруме. И, наконец, последний отчет о правоприменении законодательства о персональных данных за январь 2013 года, который специалисты нашего агентства подготовили для своих клиентов-банков.
Возник какой-то внутренний диссонанс. Представители банковского сообщества в один голос винят во всех смертных грехах «самое слабое звено» - клиента, который неправильно, неумело, коряво и даже просто преступно пользуется предоставленным банком отличным инструментом под названием ДБО, или «клиент-банк», или интернет-банкинг, в результате чего некие злые хакеры или просто плохие парни захватывают контроль над клиентской машиной и от имени клиентов выводят денежки куда-то в «голубое нигде». А потом имеет наглость ждать вступления в силу пресловутой 9-й статьи 261-ФЗ с тем, чтобы заставить банк оплатить свое же головотяпство. При этом, правда, рассказывать клиенту о рисках в полном объеме как-то не комильфо, а то он уйдет к менее щепетильному конкуренту-молчуну. Да и оплачивать повышение осведомленности хорошо бы государству – это же его граждане портачат.
Но вот читаю ежемесячный отчет. И не в первый раз за последний год ( я как-то писал на эту тему )  поражаюсь количеству мошенничеств, совершаемых инсайдерами. Т.е. вполне себе легитимными пользователями АБС и прочих банковских систем, где хранится и обрабатывается информация о клиентах, их счетах и с использованием которых совершаются транзакции. Теми, кто после неких проверочных мероприятий (в свете 152-ФЗ не вполне законных обычно, но также обычно проводимых) был принят на работу, которым предоставили доступ к информационным системам (т.е. к деньгам, вроде бы виртуальным, но вполне себе конвертируемым в наличность) и доверили банковскую и коммерческую тайну, да еще и персональные данные до полного комплекта, положили не самую маленькую в стране зарплату и пустили в огород.
А что же они, неблагодарные? Воруют. Деньги – банка и клиентов. Идентификационные данные – пользователей ДБО. Сведения о пластике, позволяющие выпустить карту-двойник или оплатить покупки через Интернет. И вообще, все что плохо и даже хорошо в банке лежит.
Вот сотрудница некоего смоленского банка , к своим 21 годам доросшая аж до кредитного инспектора, несмотря на столь юный возраст отлично приноровилась оформлять кредиты по неизвестно как добытым ее сообщником паспортным данным, приобретать на них не самую дешевую бытовую технику и сбывать ее.
Вот в неведомом мордовском Ковылкине ее коллега запугала пенсионерку, которая уже оформила все документы на кредит, да так, что дама от займа отказалась, а кредит получила сама, предоставив 57-летней несостоявшейся клиентке возможность возвращать банку 90 тысяч рублей.
В подмосковной Рузе менеджер по продажам финансовых продуктов (кредитов) ЗАО «Связной Логистика» оформляла кредитные карты на бывших покупателей, чьи данные остались в базе, и, естественно, сама же их и обналичивала, заработав таким нехитрым способом 700 тысяч рублей.
Менеджер группы отдела обслуживания физических лиц солидного западного банка, работающего в России, вошел в состав преступной группы, главную скрипку в которой играли полицейские, разыгрывающие сложные костюмированные спектакли со снятием наличных по поддельным документам, которые были оформлены на лиц, внешне похожих на VIP-клиентов банка. Сведения о них как раз менеджер и поставлял . Поскольку операция была сложной и многоходовой, ребята не мелочились и снимали суммы миллионов так по 12.
А уж когда за дело берутся инсайдеры на позициях топ-менеджеров банка, масштаб воровства становится соответствующим. Вслед за лишенным лицензии «Трансэнергобанком», феерически быстро оформившим задним числом вклады на безумную сумму группе подельников, прибежавших в Агентство по срахованию вкладов за «полагающимися» пайками, аналогичную комбинацию попытался провернуть АКБ «Экспресс» из солнечного, но загадочного Дагестана.
Это итоги одного месяца. Может, стоит подумать о том, что  слабое звено – не обязательно вне банка? И что масса людей, находящихся к деньгам гораздо ближе клиентов, и к значительно бОльшим деньгам, могут нанести гораздо более значительный ущерб своему работодателю, чем клиенты, для которых механизм возврата средств по мошенническим операциям вновь отодвинут на год? Может, что-то не так в консерватории? Не случайно заместитель начальника ГУБЗИ Банка России А.Сычев говорил о требованиях к DLP-системам, учитывающим банковскую специфику. Враг внутренний всегда гораздо опаснее внешнего.
или введите имя

CAPTCHA
14 Февраля, 2013
...опять мимо
Ну во-первых. Инсайдеры не воруют деньги клиентов, весь ущерб от их действий ложится на Банк, так что не надо тут передергивать. Во-вторых, сто процентной защиты от инсайдеров нет, DLP-системы действительно не учитывают банковскую специфику. В третьих, кто Вам сказал что Банки не борются с инсайдерами? По поводу клиентов? Яркий пример, недавний раскрученный случай в Сбербанке, когда клиентка получила мошенническую смс, позвонила по указанным там телефонам и, в результате, сама отправила деньги на счета мошенников. Теперь пишет на форумах, о том какой Сбербанк плохой и надеется что ей вернут деньги.
0 |
  • Поделиться
  • Ссылка
14 Февраля, 2013
Не понимаю, почему многие с некоторых пор стали считать инсайдерами всех работников банка. Я все время считал, что инсайдеры - это лица, посвященные во все секреты банка. К ним относятся владельцы, топ-менеджеры (и приближенные к ним), а также внутренние аудиторы банка. Последних, кстати, в последнее время, кроме их руководителей, уже перестали считать инсайдерами. Инсайдеры не воруют деньги у клиентов и банка. Им это не надо. У них есть другие способы устраивающего их легального заработка. Случается, что воруют (и не только деньги) у клиентов, а также банка кассиры, различные операционисты (в т.ч. оформляющие кредитные договора), иногда даже руководители подразделений банка, управляющие отделений (и их заместители). Но это не инсайдеры. Если же кто-то, представившись работником банка, обманул доверчивых граждан, взяв у них деньги для размещения на депозит под очень большие проценты (якобы существующие для работников банка), а потом ни денег ни процентов не вернул, то это обыкновенное мошенничество и уголовщина. Не имеющее никакого отношения к инсайдерству (независимо от должности работника) и даже банку, если при этом никаких банковских документов не оформлялось. Инсайдеры такими вещами не занимаются. И не инсайдеры являются главными угрозами и врагами банка. Хотя, конечно же, внутренние угрозы в банках есть. В т.ч. со стороны человеческого фактора. Но ими есть кому заниматься. И ими занимаются. В этом блоге нужно было в очередной раз прорекламировать (напомнить о) DLP? Но я бы с большим удовольствием почитал о том, каких практических результатов удалось достичь безопасникам с их помощью. А то уже как-то приелись и не впечатляют страшилки - "враг (инсайдер) не дремлет - нужно покупать DLP!". И главное, как раз не убеждают, что нужно покупать.
0 |