Потерей 300 тыс. ПДН можно пренебречь

Потерей 300 тыс. ПДН можно пренебречь
Хакерам удалось получить доступ к именам, фамилиям, ИНН и другим персональным данным 300 тыс. клиентов банка «Санкт-Петербург». Злоумышленники требовали от финансовой организации 29 млн рублей в обмен на неразглашение информации, пишет «Коммерсант» со ссылкой на «Интерфакс». Но банк, судя по всему, платить отказался.



«Никаких потерь банк и его клиенты не понесли. Воспользоваться карточным счетом (информация о котором украдена - ИФ) в интернете либо иным способом невозможно, никакой угрозы для клиентов нет», - сообщил «Интерфаксу» представитель банка, уточнив, что взломщикам не удалось похитить «полную базу реквизитов – информацию о CVC-кодах и сроках действия карт».

В соответствии со стандартом PCI DSS (требование 3.2), банк имеет право хранить подобную информацию (CVC), если на то есть коммерческое обоснование и данные хранятся защищенным образом. Интересно другое – утечку ПДн в банке называют «контролируемой». То есть 300 тыс. записей о клиентах банка ушли к злоумышленникам с ведома службы безопасности.

Банк пообещал бесплатно перевыпустить карты всем «сомневающимся» клиентам, а также заверил, что правоохранительные органы уже идут по следу преступников. Себестоимость карты с чипом (технология EMV) – 50 рублей. Если предположить, что все 300 тыс. клиентов обратятся в банк за новой картой, расходы кредитной организации составят 15 млн рублей. Это уже существенные потери, плюс репутация, которую в деньгах измерить сложнее.

В общем, неудивительна позиция банка, который, по российской традиции, делает вид, что ничего страшного не произошло. Мы уже привыкли, что утечка массива в сотни тысяч записей ПДн из российской организации не влечет никаких последствий для банка. Логика железная: нет видимого ущерба – нет повода для беспокойства. О защите интересов субъектов ПДн (в соответствии с буквой 152-ФЗ) привычно забывают.

Примечательно, что в банке отношение к информационной безопасности сложно назвать наплевательским. В банке внедрена DLP-система «Дозор-Джет» для защиты от утечек данных, отслеживаются сообщения сотрудников по электронной почте, на форумах, в соцсетях. «Мы не настолько богаты, чтобы покупать дешевые решения, - заявил Анатолий Скородумов Коммерсанту, - инвестиции в ИБ – это инвестиции в репутацию компании.

В том же материале г-н Скородумов говорит о повышении уровня ИБ в банках под влиянием стандартов и законов: «Самые наглядные примеры здесь – закон №152 (О персональных данных) и требования стандарта PCI DSS». Из профиля г-на Скородумова в LinkedIn следует , что банк сертифицирован на соответствие требованиям 152-ФЗ. Отсюда вопрос – что-то не так с банком, с законом, или с сертификацией, если утечка 300 тыс. персональных данных происходит из сертифицированного банка с ведома ИБ-службы? Причем считается, что ни банк, ни клиенты ничего не потеряли.
расследование утечки банковская тайна персональные данные
Alt text

InfoWatch

Блог компании infowatch infowatch.livejournal.com

Какие зарубежные новостные сайты по информационной безопасности вы читаете?