Потерей 300 тыс. ПДН можно пренебречь

Потерей 300 тыс. ПДН можно пренебречь
Хакерам удалось получить доступ к именам, фамилиям, ИНН и другим персональным данным 300 тыс. клиентов банка «Санкт-Петербург». Злоумышленники требовали от финансовой организации 29 млн рублей в обмен на неразглашение информации, пишет «Коммерсант» со ссылкой на «Интерфакс». Но банк, судя по всему, платить отказался.



«Никаких потерь банк и его клиенты не понесли. Воспользоваться карточным счетом (информация о котором украдена - ИФ) в интернете либо иным способом невозможно, никакой угрозы для клиентов нет», - сообщил «Интерфаксу» представитель банка, уточнив, что взломщикам не удалось похитить «полную базу реквизитов – информацию о CVC-кодах и сроках действия карт».

В соответствии со стандартом PCI DSS (требование 3.2), банк имеет право хранить подобную информацию (CVC), если на то есть коммерческое обоснование и данные хранятся защищенным образом. Интересно другое – утечку ПДн в банке называют «контролируемой». То есть 300 тыс. записей о клиентах банка ушли к злоумышленникам с ведома службы безопасности.

Банк пообещал бесплатно перевыпустить карты всем «сомневающимся» клиентам, а также заверил, что правоохранительные органы уже идут по следу преступников. Себестоимость карты с чипом (технология EMV) – 50 рублей. Если предположить, что все 300 тыс. клиентов обратятся в банк за новой картой, расходы кредитной организации составят 15 млн рублей. Это уже существенные потери, плюс репутация, которую в деньгах измерить сложнее.

В общем, неудивительна позиция банка, который, по российской традиции, делает вид, что ничего страшного не произошло. Мы уже привыкли, что утечка массива в сотни тысяч записей ПДн из российской организации не влечет никаких последствий для банка. Логика железная: нет видимого ущерба – нет повода для беспокойства. О защите интересов субъектов ПДн (в соответствии с буквой 152-ФЗ) привычно забывают.

Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании.

В том же материале г-н Скородумов говорит о повышении уровня ИБ в банках под влиянием стандартов и законов: «Самые наглядные примеры здесь – закон №152 (О персональных данных) и требования стандарта PCI DSS». Из профиля г-на Скородумова в LinkedIn следует , что банк сертифицирован на соответствие требованиям 152-ФЗ. Отсюда вопрос – что-то не так с банком, с законом, или с сертификацией, если утечка 300 тыс. персональных данных происходит из сертифицированного банка с ведома ИБ-службы? Причем считается, что ни банк, ни клиенты ничего не потеряли.
расследование утечки банковская тайна персональные данные
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

InfoWatch

Блог компании infowatch infowatch.livejournal.com