Финансы Тимофей Морозов
86 824

«Сбербанк», ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны компьютеров

При этом сам факт съемки доказать очень тяжело, считают эксперты.

В закладки

«Сбербанк», ВТБ, «ЮниКредит» и «ФК Открытие» запретили сотрудникам снимать экраны компьютеров с личных мобильных устройств. Об этом пишет РБК.

Замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин считает, что такой запрет — способ борьбы с «пробивом» данных о клиентах. Злоумышленники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое. Фотографии с такими данными стоят от 800 до 8 тысяч рублей, и их делают сообщники мошенников — инсайдеры в разных банках.

Также Никитин пояснил, что распространенность фотографирования экранов можно объяснить новыми системами защиты банков от внутренних угроз и утечек. В результате сотрудникам легче сфотографировать экран. Кроме того, добавляет Никитин, сам факт съемки доказать очень тяжело.

Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев считает, что на основе фотографий клиентских данных можно изготовить поддельные документы. Их могут использовать для снятия денег с чужого счета и участия в мошеннических схемах.

Зампред «Сбербанка» Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки.

Если им удалось по какой-то причине передать это преступникам, мошенникам либо третьим лицам, мы передаем материалы в правоохранительные органы.

Станислав Кузнецов
зампред «Сбербанка»

#новость #банки

{ "author_name": "Тимофей Морозов", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0430\u043d\u043a\u0438"], "comments": 212, "likes": 95, "favorites": 17, "is_advertisement": false, "subsite_label": "finance", "id": 72678, "is_wide": false, "is_ugc": false, "date": "Mon, 24 Jun 2019 08:51:36 +0300" }
{ "id": 72678, "author_id": 63199, "diff_limit": 1000, "urls": {"diff":"\/comments\/72678\/get","add":"\/comments\/72678\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/72678"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199119, "last_count_and_date": null }
212 комментариев

Популярные

По порядку

Написать комментарий...
103

Благодаря этой новости куча банковских сотрудников узнает, что можно продавать персональные данные и сколько это стоит 👍

Ответить
15

Пфф, они все в курсе

Ответить
6

а шо так можно было да ))
ты в каком веке живешь друг . Они и так на всех форумах продают эти данные .

Ответить
0

Что, прям все 100% сотрудников?)

Ответить
0

ну вот видимо ты не знал )

Ответить
0

Все знали, но остальные стесняются или у них просто мозги есть чтобы так палиться)

Ответить
2

Ну так тогда ценник пойдёт вниз, из-за избытка предложения, и вот, уже не только мошенники смогут выгодно использовать персональные данные, но и банки, которые не особо волнуются об УК.

Ответить
34

По-моему проще запретить пользование личными телефонами на рабочем месте, пришел на работу, сдал телефон на хранение.

Ответить
11

а вы, батенька, депутат!

Ответить
8

Ну почему же? Правильно мыслит. Зачем сотруднику на рабочем месте личный телефон? У него есть служебный. Вышел - пользуйся своим, желательно тем, который никто не знает на работе.

Ответить
0

Если в семье что-то произойдет или кого-то топишь, что делать будешь

Ответить
17

для этого достаточно семье дать рабочий и все

Ответить
6

И сказать: звонить только в экстренном случае.

Ответить
2

Сидеть пердеть на рабочем месте, очевидно же.

Ответить
1

как что, оставлять рабочий телефон.

Ответить
0

Работать. Счастлив в неведении. На селе я почту смотрю с утра. Хожу без телефона, но с рацией. Никто не умер.

Ответить
1

Ну попробуйте в Москве семью с детьми оставить в одном конце, и уехать с рацией в другой конец))

Ответить
4

Как мы 20 лет назад жили-то?

Ответить
–1

А как люди 5000 лет назад жили-то? Давайте будем ходить в одежде из листьев, жить в трущобах, пить воду с глиной. С каждым годом какие-то проблемы отходят назад, а какие-то появляются.

Ответить
1

Врачи говорят, что всё лекарство и всё - яд. Зависит от дозировки. По мне проще быть в неведении большую часть времени, когда я сосредоточен, а не пытаться хаотично цеплять ото всюду информацию?

Мобильный со мной только когда жду от кого-то звонка. В остальных случаях он мне не нужен.

Ответить
0

Вы немного путаете 2 понятия. Я говорю о том, что телефон должен быть при себе ОСОБЕННО когда дома остались одни жена с детьми. Ну вдруг что? Понятно, что ситуации маловероятные, но неужели Вам было бы приятно в дальнейшем увидеть 17 пропущенных звонков, и по прибытию домой узнать, что дом ограбили, жену убили, или не знаю, ребенок в окно вывалился и вся семья в больнице теперь? Всегда должна быть ВОЗМОЖНОСТЬ связи. При этом совсем не обязательно хаотично цеплять отовсюду информацию.

Ответить
1

У меня нет жены, но есть девушка. Поверьте, мы почти все свои вопросы решаем самостоятельно, без 100500 звонков друг другу. Мне кажется, что это нормально. Вообще знания приумножают печаль. Почему? Ну, смотрите, вашу жену, как вы сказали, не дай бог, грабят или насилуют, что вы сможете сделать по телефону? Ничего. Что изменится от того, если вас об этом оповестят? По-моему, ничего.

Возможность и доступность для звонка не решает проблему, а лишь её переносит.

Ответить
0

Ситуации разные могут быть и в большинстве случаев можно как-то уменьшить ущерб или полностью его избежать. Вообще каждому свое, сколько людей - столько и мнений)

Ответить
1

Доступность связи делает нас невротичными и инфантильными, то есть мы перестаём искать решение самостоятельно, перекладывая ответственность на других звонками и просьбами.

Ответить
1

А зачем ее смотреть утром. Видишь голуби летят - идешь проверяешь.

В городском цикле, у не одинокого человека, все-же есть потребность в личной связи.

Кстати, сейчас с рации пишете, да?

Ответить
0

Я не в поле, а на объекте

Ответить
1

На заводах так раньше и делали. Пришел, сдал на проходной, уходишь, забираешь. Работал в 2004-05.

Ответить
7

Выдать всем нокии за 1000 руб и все)

Ответить
0

в одном из банков так у меня и было в нулевые...)

Ответить
0

А вот это да! Это может помочь!

Ответить
2

более того, давно практикуется выдача рабочих аппаратов для рабочих звонков.

Ответить
0

Легко с рабочего передать на свой любую информацию сидя на рабочем месте. Пусть себе лежит тихонько на проходной...

Ответить
1

а на рабочем писать все звонки абонента)

Ответить
1

как вы с кнопочного передадите? ну и рабочие телефоны можно прошить, если это смартфон, конечно заморочек много.)

Ответить
0

Самое бы логичное на мой взгляд. А то сидишь в банке, а сотрудник успевает с кем то переписываться или вообще на звонок отвечает. А потом ошибки...

Ответить
0

пусть фильтруют исходящий трафик и запретить скан на программном уровне

Ответить
10

Почему бы с правами и логированием не поиграться? Изучать обоснованность и цель доступа сотрудника к данным, например.

Ответить
6

на масштабах сотен тысяч запросов этих данных в день, будет трудно изучать логи и обоснованность

Ответить
27

Поэтому появились дата-сатанисты

Ответить
2

давно существуют системы противодействия фроду на этот счет, но в итоге то всё равно надо ручками проверять пруфы

Ответить
1

имхо, логи смотреть легко. Систему логирования только надо качественно спроектировать. и вопрос будет решаться 2-3 SQL запросами (условно)

Ответить
1

логи чего посмотреть легко? что кто-то открыл конкретный счет? да

а чтобы подтвердить легитимность, надо выяснить почему это произошло - личный визит клиента в офис, звонок в кол центр, запрос от другого сотрудника и тп. это не автоматизировать в разумных пределах

Ответить
3

достаточно логировать запрос на выдачу данных клиента. например сотрудник номер XXX посмотрел данные клиента YYY. Смотрел 2 минуты, нажал на кнопку "операции" и баланс (условно). Этого достаточно для выяснения инсайдеров

Ответить
5

это всё и так логируется по умолчанию.

ну вот у тебя 100 тысяч таких запросов в день, что ты дальше с ними будешь делать?

Ответить
2

1. 100к запросов на угон данных - перебор
2. Обрабатывать в порядке очереди
3. для чего существуют службы безопасности?
4. опять же легко автоматизировать. клиента переадресуют в СБ, СБ видит сразу карточку клиента в вебморде, в карточке будет кнопка "кто смотрел". все профит

Ответить
4

1. 100k легитимных запросов
2. каждый день
4. опять же легко автоматизировать. клиента переадресуют в СБ, СБ видит сразу карточку клиента в вебморде, в карточке будет кнопка "кто смотрел".

в какой момент и зачем переадресовавать клиента в сб? тебе сначала из сотен тысяч запросов данных в день (п.1) надо вычленить подозрительные, а потом уже с ними работать. из этих сотен тысяч, существенная часть будет результатом звонка в кол центр, которая сольется с существенной частью запросов инсайдеров

Ответить
1

мои предложение строится по сценарии: "Инсайдеры угнали данные, передали мошенникам, они клиенту позвонили по соц инженерии, клиент заподозрил что то неладное, позвонил в коллцентр сбера, там его выслушали, переадресовали на СБ, СБ выявила инсайдера и применила к нему санкции."
надо глубже смотреть специфику. но оно все реализуется без больших вопросов

Ответить
2

полагаю, что тут задача не расследовать инциденты, а выявлять инсайдеров и предотвращать слив инфы в первую очередь.

с инцидентами всё гораздо проще, потому что по конкретному клиенту модно сразу посмотреть все логи и поработать со всеми причастными сотрудниками

Ответить
2

можно еще документально в трудовом договоре прописать штраф за слив данных в 20 окладов. Инсайдер 20 раз подумает перед сливом

Ответить
1

То что вы предлагаете это решение вопроса пост фактум. Получается для повышения безопасности на паркинге вы порекомендуете повесить камеры, дескать когда вам проломят черепушку мы с лёгкостью найдём грабителя!

Ответить
1

да, мое предложение на решение вопроса пост-фактум. Но это банк, транзакцию подозрительную можно откатить и вернуть деньги клиенту.

Ответить
0

Если грабитель увидит камеру, то лишний раз подумает. Не просто так ведь часто можно встретить то, что много где муляжи расставлены. И это работает!

Ответить
0

существенная часть будет результатом звонка в кол центр

Ну так и отлично, значит мы 90% этой существенной части сможем отфильтровать как не подозрительные операции.

Ответить
0

Кстати, 100 К запросов - это очень мало. Даже если не запускать нейросеть обычными ифами за несколько месяцев можно написать обработку большинства запросов. Ну и как ниже говорили - то, что секретное слово находится в открытом доступе - это основная дыра, которую нужно решать.

Ответить
0

оно не находится в открытом доступе и это не пароль, чтобы его никто не знал кроме обладателя.
даже если сотрудники банка его бы не знали, и могли только ввести сказанное секретное кодовое слово в форму, которая бы сматчила с базой по хешу. в этот момент слово бы перестало быть секретным.

это как пароль спрашивать по телефону.

Ответить
0

Как это не находится, если его видят любые операторы?

в этот момент слово бы перестало быть секретным.

Однако это бы предотвратило запрос ПД оператором, без обращения клиента.
Да и в любом случае, любое введение функций, ограничивающих доступ к моим (вашим) данным от посторонних людей - это благо. Я бы еще и шифрование ПД на основе кодового слова ввел. То, что код нужно сообщать посторонним лицам - это, конечно, очень плохо. Нужно разрабатывать такие законы и процессы, чтобы максимально нивелировать влияние людей.

Ответить
0

> Как это не находится, если его видят любые операторы?

эти любые операторы аутентифицируются в своих системах где имеют этот доступ для выполнения служебных обязанностей. технически там может быть, а может и не быть шифрования на уровне БД. сами поля с кодовым словом в клир тексте, естественно.

> Однако это бы предотвратило запрос ПД оператором, без обращения клиента.

это, возможно, подняло бы стоимость запросов, и существенно снизило юзабили при прямом обращении в колл центр. при этом не закрыв ни какие существенные риски

> любое введение функций, ограничивающих доступ к моим (вашим) данным от посторонних людей - это благо

нет, вся безопасность строится на разумности, клиентам такие меры не интересны. аутентификация вообще мало кому интересна. зачем тратить 15 минут на ФИО+паспорт+дата рождения+кодовое слово по буквам, чтобы узнать почему у тебя транзакция задублировалась или остаток по счету?
клиенты хотят набрать номер и получить помощь, а не дополнительные проблемы.

даже работая в безопасности я не считаю уровень безопасности банка где я обслуживаюсь существенным критерием выбора

Ответить
0

где имеют этот доступ для выполнения служебных обязанностей

Так. И? Сейчас они могут без знания кодового слова получить доступ к ПД? Видимо, да, раз банки начали беспокоиться по этому поводу.

и существенно снизило юзабили при прямом обращении в колл центр

Это бы увеличило время на ввод кодового слова.

зачем тратить 15 минут на ФИО+паспорт+дата рождения+кодовое слово по буквам, чтобы узнать почему у тебя транзакция задублировалась или остаток по счету?

А в чем разница? Сейчас и так нужно называть ФИО и кодовое слово, чтобы узнать любую информацию по счету.

Ответить
0

Сейчас они могут без знания кодового слова получить доступ к ПД?

да, кодовое слово вообще не является определяющим в вопросе внутренней обработки ПД, закон и здравый смысл такого не требуют. кодовое слово существует только для того чтобы банк понял что к ним _скорее всего_ именно ты обратился и что тебе можно предоставить базовые сервисы (без переводов денег). оно не для того чтобы ты аутентифицировал банк или чтобы ты авторизовал банк на доступ к твоим данным.
Видимо, да, раз банки начали беспокоиться по этому поводу.

нет никакой особой обеспокоенности на самом деле и никаких особых изменений во внутренних документах крупных банков, это пустые слова стасяна кузнецова, который бороздит просторы биг даты, простая некомпетентность.

Это бы увеличило время на ввод кодового слова.

да, и не принесло бы никакой пользы никому в данном кейсе

А в чем разница? Сейчас и так нужно называть ФИО и кодовое слово, чтобы узнать любую информацию по счету.

сотруднику не надо вводить большую часть этого, он только проверяет что клиент их правильно назвал. а кодовое слово надо будет вводить побуквенно.

Ответить
0

Если делают сами СБ то не видно )успокойся

Ответить
0

личный визит клиента в офис

Присылать пуш\смс прямо клиенту в отделении.
звонок в кол центр

Спрашивать кодовое слово.

Вот эти два варианта в общем случае не нужно даже проверять, достаточно политику безопасности нормальную иметь.

Ответить
0

а в чем смысл спрашивать кодовое слово в данном случае, как это что-то меняет?

Ответить
0

Без кодового слова сотрудник никакой значимой информации не получит.

Ответить
1

как не получит, если сотрудник видит это кодовое слово у себя на экране еще до того как клиент его назвал. в этом суть аутентификации клиента перед банком.

Ответить
0

Ничего он не видит, он его в поле набивает и узнаёт правильное оно или нет.

Ответить
0

Серьезно? А откуда сотрудник знает, латиницей или кириллицей записано кодовое слово у клиента? И, если девичья фамилия матери (наиболее популярное у большинства кодовое слово) у него какая-нибудь сложная (с обилием, скажем, "ч" и "щ"), то с какого раз он сможет правильно ввести ее в поле на латинице?

Ответить
1

- Назовите кодовое слово
- Пишите латиницей: Эс как доллар, эс, эйч, эм, ай с точечкой, дэ, тэ.

Ответить
1

Это Вы от пользователя такого грамотного спеллинга ожидаете? Ну-ну. А если звонит дама с какого-нибудь южного региона, про "эйч-эм-ай с точкой" не в курсе от слова совсем, а девичья фамилия ее мамы, скажем, "Голопущенко". Причем, в силу особенностей местного говора, она эту фамилию произносит, как "ГхалапушченкА". И? Если у сотрудника эта фамилия не написана на экране, то с какого раза он введет ее правильно? Даже на кирилице (про латиницу вообще молчу).

Ответить
0

"эйч-эм-ай с точкой" не в курсе от слова совсем

Ну и как она тогда, не зная алфавита, умудрилась латиницей фамилию написать?
Причем, в силу особенностей местного говора, она эту фамилию произносит, как "ГхалапущенкА". И?

Ну и пусть произносит. Если есть сомнения - спросить никто не запрещает.

Ответить
0

А ей сотрудники банка в отделении помогли ее на латинице написать, когда она счет открывала. И как именно они букву "Щ" записали, она, естественно, не помнит.
Пример проще. На днях я переоформлял телефонный номер в "Мегафоне". Попросили создать кодовое слово и сказали, что можно как на кириллице, так и на латинице.
Как Вы думаете, когда теперь я звоню в "Мегафон", сотрудник вводит слово с моих слов, или оно у него уже видно на экране?

Ответить
0

А ей сотрудники банка в отделении помогли ее на латинице написать, когда она счет открывала.

Зачем?
Как Вы думаете, когда теперь я звоню в "Мегафон", сотрудник вводит слово с моих слов, или оно у него уже видно на экране?

Понятия не имею.

Ответить
1

Сотрудник мегфона не знает, на латинице или на кириллице у меня кодовое слово. Однако, уже через доли секунды после того, как я его назвал, он готов со мной разговаривать. Ввести за это время даже один вариант нереально. Значит, это слово показывается у него на экране.

Ответить
0

Это значит, что в мегафоне довольно хреновая политика безопасности.

Ответить
0

это значит что по всему миру это нормальная практика с точки зрения безопасности, так проводить аутентификацию клиентов для предоставления базовых сервисов, не связанных с переводами денег

Ответить
0

Поделитесь мировой статистикой?

Ответить
1

по статистике, секретное слово защищают как пароль ровно в 0 компаний в мире

Ответить
0

У вас пруфы отклеились.

Ответить
1

15 лет в этой сфере работаю, знаю каковы требования регуляторов, знаю какова практика в банках и телекомах.

если кодовое слово бы защищали как пароль, то это был бы пароль. велью ноль

Ответить
0

Уточните в каком вы банке работаете, а-то вдруг у меня там деньги лежат.

Ответить
0

а вы лучше сразу несите в тот, где кодовое слово защищают как пароль, чтобы надежнее)

Ответить
0

Понятия не имею, но надеюсь везде, кроме того в котором вы работаете, особенно в том, где мои деньги лежат.

Ответить
0

я то тут причем? в сбере, в альфе, в тинькове, в росбанке, в юникредите, в открытии - кодовое слово не защищают как пароль. в мегафоне, мтс, билайне, что характерно, тоже так не защищают.

Ответить
0

А почему никто из них(ну по крайней мере те, чьими услугами я пользовался) не предоставляет услуги восстановления кодового слова? У всех только сменить можно. Или сотрудникам отделений там доверяют меньше, чем макакам в кол-центре ? Это вот прям основной столп моей веры в нормальное шифрование кодового слова.

Ответить
0

потому что это хорошая ИБ практика, менять, а не восстанавливать средства аутентификации.

я тебе гарантирую, что ни один из банков не скрывает кодовые слова от сотрудников обслуживающих клиентов

Ответить
0

потому что это хорошая ИБ практика, менять, а не восстанавливать средства аутентификации.

Ну и почему бы тогда не предлагать клиенту каждый раз при посещении банка его сменить?
я тебе гарантирую, что ни один из банков не скрывает кодовые слова от сотрудников обслуживающих клиентов

У вас печать отклеилась.

Ответить
0

трудно приводить пруфы тому, чего нет и не было :(

> Ну и почему бы тогда не предлагать клиенту каждый раз при посещении банка его сменить"

чтобы что? еще одна гениальная идея, которая не имеет велью, ни для банка, ни для клиента

Ответить
0

Потому что периодически менять "средства аутентификации" ещё более хорошая практика.

Ответить
2

она не более хорошая, она просто хорошая. а периодичность это компромисс между юзабилити и риском. в виду низкого риска, это средство аутентификации можно менять никогда, например.

Ответить
0

Я не успеваю следить за скоростью ваших переобуваний. Если можно не менять никогда, то почему бы его не восстанавливать?

Ответить
2

ты сам себе придумал что между необходимостью периодической смены и вынужденным восстановлением (его отсутствием) есть какая-то связь и меня об этом спрашиваешь.

на мой взгляд связи нет, поэтому я тебе ответить не смогу

Ответить
0

Связь тут самая прямая, но человеку, который узнал об обратимом и необратимом шифровании несколько часов назад простительно её не видеть. Всего вам хорошего на вашей никак не связанной с ИБ работой и больших успехов.

Ответить
0

что за болезнь такая?

Ответить
0

как только он назвал кодовое слово, оно перестало быть секретом

Ответить
0

нет, он его видит

Ответить
1

Расстреляйте того, кто это сделал.

Ответить
0

это аутентификация, а не авторизация. в этой части процесса нет цели защитить данные клиента от сотрудника. только подтвердить что клиент знает кодовое слово

Ответить
2

Ага, вот только хранение этих самых слов в открытом виде дыра в безопасности размером с ядро галактики.

Ответить
0

технически, эту информацию шифруют. только у сотрудников есть к ней доступ, потому что он нужен для работы - аутентификации клиента

Ответить
3

Технически, хранение обратимо зашифрованных кодовых слов - дыра в безопасности размером с ядро галактики огороженная полицейской ленточкой.

Ответить
0

нет, не дыра. это не пароль

Ответить
0

Да, конечно. Ведь зная кодовое слово нельзя провести почти все операции доступные в интернет-банке.

Ответить
0

ну вообще да, нельзя провести операции доступные в интернет-банке

Ответить
0

Разве что деньги перевести нельзя.

Ответить
0

ну ты понимаешь хоть, что нет смысла защищать как пароль секретное слово которое ты по телефону сам говоришь человеку на другом конце? чтобы что?

Ответить
0

Я не вижу ни одной причины не защищать секретное слово как пароль. И уж точно не вижу причины давать каждой обезьяне в кол-центре возможность в любой момент смотреть данные клиента, включая кодовое слово и данные составляющие банковскую тайну.

Ответить
0

я же привел пример, что как только клиент называет свое кодовое слово по незащищенному каналу связи третьему лицу, оно теряет всю секретность и по нему нельзя ничего авторизовать. тут не может быть технически никакой защиты, потому что один человек говорит другому человеку.

банковская тайна тут вообще не причем, и то что она существует, не значит что обезьяны из кол центра не могут иметь к ней доступ. это понятие существует чтобы определять область действия организационно-технических мер, а не чтобы "никто ничего не знал"

Ответить
0

как только клиент называет свое кодовое слово по незащищенному каналу связи третьему лицу, оно теряет всю секретност

Не всю а часть, и круг третьих лиц имеющих возможность слить всю базу сразу несравнимо уже.
банковская тайна тут вообще не причем, и то что она существует, не значит что обезьяны из кол центра не могут иметь к ней доступ. это понятие существует чтобы определять область действия организационно-технических мер, а не чтобы "никто ничего не знал

Я так понял, вы считаете вполне себе рабочим вариантом подписать с каждым сотрудником NDA и давать бесконтрольный доступ ко всей базе?

Ответить
0

"Не всю а часть, и круг третьих лиц имеющих возможность слить всю базу сразу несравнимо уже."
это абстрактные фантазии
"Я так понял, вы считаете вполне себе рабочим вариантом подписать с каждым сотрудником NDA и давать бесконтрольный доступ ко всей базе?"
нет, я так не считаю

даже с технической точки зрения, заблуждение считать что есть некая база к которой все имеют доступ. это _сотни_ систем и баз данных с различными кросс-интерфейсами и ролями. тут и не стоит вопрос "всё или ничего", в основном люди имеют только тот доступ что им нужен для работы, например на чтение кодового слова для аутентификации клиентов

Ответить
0

это абстрактные фантазии

Да нет, вполне конкретные. Круг обезьян в кол-центре это сотни-тысячи человек, круг же администраторов баз данных - это единицы.
нет, я так не считаю

Странно, а топите именно за это.
даже с технической точки зрения, заблуждение считать что есть некая база к которой все имеют доступ. это _сотни_ систем и баз данных с различными кросс-интерфейсами и ролями.

С технической точки зрения у каждой обезьяны в кол-центре есть возможность работать с любым клиентом банка.
в основном люди имеют только тот доступ что им нужен для работы, например на чтение кодового слова для аутентификации клиентов

Это называется принцип минимальных привилегий, и для аутентификации клиента чтение кодового слова отнюдь не является необходимостью.

Ответить
0

кодовое слово существует ТОЛЬКО для аутентификации клиента перед банком. я не особо понимаю к чему всё это обсуждение.

Ответить
0

Потому что после аутентификации клиента происходит авторизация.

Ответить
0

по кодовому слову он не получает такой же авторизации как по паролю, в соответствии с тем же принципом минимальных привилегий

Ответить
0

Если вы уже переобулись в принцип минимальных привилегий, то назовите хоть одну причину для доступа к кодовому слову в кол-центре. Да и вообще где угодно ещё.

Ответить
1

для выполнения сотрудником единственной функции для которой используется кодовое слово - для аутентификации клиента.

ну и еще ему клиент это кодовое слово ртом в телефон говорит, как тут не иметь к нему доступ.

Ответить
0

для выполнения сотрудником единственной функции для которой используется кодовое слово - для аутентификации клиента.

Уже выяснили, что не является необходимым, достаточно иметь механизм проверки кодового слова.

Ответить
0

нет, не выясняли. ты это предположил, а индустрия ИБ об этом не переживает

Ответить
0

Отучайтесь говорить за всю индустрию, в ней есть люди умеющие думать.

Ответить
0

да, много людей умеющих думать, подумали и решили что для базовой аутентификации клиента в банке достаточно кодового слова, которое не защищают как пароль). это не было моим решением, по понятным причинам, но я его понимаю)

Ответить
0

Нет, умные это те, которые не переобуваются по три раза за одну нить.

Ответить
0

ты эту нить потерял. 1) потому что я себя не причислял к умным. 2) я отметил, что я не имеют отношения к этой ИБ практике по работе с кодовыми словами.

есть факты - кодовое слово это не пароль, кодовое слово не защищают как пароль, твоё кодовое слово знают сотрудники твоего банка и твоего опсоса.

чего ты там себе напредставлял в своём вакумном мире никому не интересно. если не нравится как всё устроено, напиши в оон, чтобы мир перестроили

Ответить
–1

1) потому что я себя не причислял к умным

Это правильно.
я отметил, что я не имеют отношения к этой ИБ практике по работе с кодовыми словами.

чего ты там себе напредставлял в своём вакумном мире никому не интересно.

Красиво. Факты, я так понимаю, вы тоже напредставляли? К чему тогда весь этот разговор был, если вы ничерта не знаете, а умного тут корчите.

Ответить
1

не ты ли считал, что секретные слова зашифрованы и сотруднику нужно их вбить чтобы система сравнила там что-то с чем-то?)))

ты не представляешь как всё работает и как всё должно работать, но мнение имеешь. я понял, спасибо)

Ответить
1

Константин, респект вам за выдержку и квалифицированные ответы! Почерпнул много интересного.

Ответить
0

Для банков с большой филиальной сетью можно делать так:
Логируем доступ к счету (или паспорту). Убираем все доступы в счетам локальных клиентов (клиентов этого офиса). Убираем доступы к счетам клиентов соседних офисов. Убираем доступы к счетам клиентов которые многократно пользовались услугами этого или соседнего офиса.
В итоге остается достаточно маленький список запросов к данным клиентов. Далее ранжируем этот список по количеству запросов на сотрудника и далее уже с этим отсортированным списком работаем.
Если безопасности хватило мозгов поставить за спиной камеру, то задача поиска крысы упрощается.

Ответить
0

полагаю, что существенная часть обращений - через кол центр.
инсайдер может сказать, что аутентифицировал клиента по телефону, чтобы это проверить, надо получить подтверждение клиента, а это делать никто не будет

Ответить
0

Сотрудникам коллцентра не всегда доступна полная инфа по клиенту, да и странным будет, если на 10 звонков сотрудник запросил данные 20ти клиентов. Плюс часто в КЦ выборочно прослушиваются записанные разговоры. Так же можно автоматически отбрасывать обращения к счетам клиентов которые выполнялись при звонке с номера телефона зарегистрированного на этого клиента. Итого, опять же, получается более компактный список который можно опять же ранжировать. И тут проверять даже проще будет, т.к. звонки записываются.

Ответить
0

зачем? если можно посмотреть логи Asterisk и увидеть что клиент не звонил (условно)
плюс любимое Грефом слово "Бигдата" и "Машинленинг"

Ответить
0

клиенты не всегда звонят со своего телефона, надо будет по каждому предположительно инсайдерскому запросу слушать все ближайшие по времени разговоры инсайдера, мапить это дело с его запросами

Ответить
0

почему бы и нет. я не зря упомянул Машинленинг. идентификация клиента по голосу

Ответить
0

что аутентифицировал клиента по телефону, чтобы это проверить, надо получить подтверждение клиент

Зачем подтверждение клиента? Подавляющее большинство звонят в кол центр с того телефона, который приписан к кредитке. CRM системы давно умеют по входящему звонку выводить данные клиента, т.е. факт звонка - логируется.

Ответить
0

Так можно логировать только в момент реального обращения клиента в офис иди колл-центр, и тогда запрос в БД ничем не отличить от легитимного.

Ответить
9

Инсайдеры во всех крупных компаниях именно так и снимают инфу. С этим эффективно борется машинное зрение, т.к. в современных офисах камерами просматривается практически все рабочее пространство.

Ответить
1

Так, это в плане фоткают экран?

Ответить
1

Да, фоткают экран. Фото скидывают заказчику в мессенджерах. Мне рассказывали, что раньше, до появления смартфонов, для скачивания нужной инфы на флешку использовали комп на вакантном рабочем месте, либо комп коллеги, который был в отпуске. Но безопасники могли определить время скачивания и по камерам отслеживали нарушителя.

Ответить
9

Зампред «Сбербанка» Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки.

стасик в своём репертуаре. ему бы сельхоз промышленность поднимать где-нибудь за уралом, а не безопасностью заниматься

Ответить
5

А зачем сотрудникам банка телефон на рабочем месте ? (Моб. Тел)
Не проще ли их (телефоны) ложить в какое то место, где по необходимости его достаёт.

Ответить
5

Написали же. На листок можно переписать, и мобила тут не нужна

Ответить
3

Щас они и листочки запретят. ;)

Ответить
4

запоминать начнут :)

Ответить
0

Память запретят :D

Ответить
1

А сотрудники банка не люди?)

Ответить
2

Люди. Но некоторые хитрые такие бывают )

Ответить
2

Щас я им идей подкину :D

Ответить
1

Что за чушь )) это не реально отследить а уж тем более наказать

Ответить
15

Вполне реально по камерам наблюдения.
Плюс теперь у фотографов не будет отмазки "а чо такова, законом не запрещено".

Ответить
8

За сотнями офисов и тысячами сотрудников следить? А сфотографировать можно за 3 секунды. Да и вообще, проще на бумажку с экрана переписать

Ответить
12

За сотнями офисов и тысячами сотрудников следить

Нейроночку обучить, факт фотофиксации она не раздуплит, но вот что человек направил что то на экран - вполне. А дальше оповещение в СБ с куском видеопотока.

Ответить
0

Разве сложно в этом случае сфотографировать скрытно?

Ответить
0

Переписанному могут не поверить и не купить

Ответить
0

Все равно чушь )

Ответить
3

При наличии камер внутри помещения - реально.

Ответить
6

Был недавно в офисе фейсбука. Там тоже нельзя фотографировать, не то что экраны, а рабочие места вообще. Наверное это не только с безопасностью связано, но и с количеством гостей, приходящих в офис. Места общего пользования можно фоткать без проблем.
Конечно, никто проконтролировать факт преступления не может)

Ответить
0

Хочешь найти инсайдеров в компании-спроси меня как. Но, что-то не верится, что их в полицию передают.

Ответить
0

Ловля на живца же, классика.

Ответить
1

Технически как это сделать?
1. Публикуем в даркнете объявление "Куплю данные 10 клиентов Сбера с балансом более 1 млн. руб."
2. Получаем эти данные от анонима в виде скриншотов или вообще в виде текста.
3. Дальше как определить, кто именно слил?

Ответить
11

1. Подставное лицо внедряет паспортные данные в банк, например (при содействии органов и службы безопасности, подставное потому что нельзя заказать данные живого клиента без его заявы).
2. Делается заказ на паспортные данные этого лица.
3. Проверяется, кто запрашивал доступ.
4. При необходимости повторить с нужными техническими условиями для сбора доказательной базы.
5.???
6. Justice!

Ответить
7

Ну вот, всё вполне можно сделать, только МВД этим заниматься нахрен не нужно. Они лучше кому-нибудь наркотиков подкинут, повысят раскрываемость.

Ответить
0

Предлагаете банку взять на себя функции МВД?

Ответить
0

Не, это задача правоохранительных органов, конечно же. Хотя я смутно представляю какой-то юридический нюанс, который им мешает этим заняться.

Ответить
0

Затык, возможно, будет в том, чтобы замотивировать МВД заводить дела по собранным банком доказательствам.

Ответить
4

По идее, должно быть обращение банка или иных заинтересованных лиц (например, тех, чьи данные были слиты) к органам. Но есть проблема и со стороны банков, тот же Станислав из Сбера проблему не признаёт принципиально, а ведь данные продаются даже не в даркнете. Банки тоже ленятся заниматься этим вопросом, и клиентам с большим трудом могут от них получить помощь в этих вопросах. Как говорил один нач. обэп - большинство экономических преступлений совершается в полной самоуверенности, и серьёзная подготовка у преступников нечасто встречается.

Ответить
4

Блин, вариантов защиты море, не хотите покупать телефоны работникам - сделайте малозаметную надпись с айди работника. Как в образцах на всю А4 по диагонали написано "ОБРАЗЕЦ" вот так же написали бы айди работника, смотря под чьим аккаунтом эти данные смотрят. Конечно, надпись можно затереть, но желательно ее разместить так, чтобы и половина информации затерлась. Уже от одного этого большинство сотрудников зассут кидать изображение, даже знакомому, который все это затирать будет.

Ответить
3

Теоретически это можно контролировать через водяные знаки на экране, например поменяв местами некоторые пиксели из логотипа банка, или в целом поменяв основные цвета на несколько оттенков.

Ответить