«Сбербанк», ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны компьютеров Статьи редакции
При этом сам факт съемки доказать очень тяжело, считают эксперты.
«Сбербанк», ВТБ, «ЮниКредит» и «ФК Открытие» запретили сотрудникам снимать экраны компьютеров с личных мобильных устройств. Об этом пишет РБК.
Замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин считает, что такой запрет — способ борьбы с «пробивом» данных о клиентах. Злоумышленники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое. Фотографии с такими данными стоят от 800 до 8 тысяч рублей, и их делают сообщники мошенников — инсайдеры в разных банках.
Также Никитин пояснил, что распространенность фотографирования экранов можно объяснить новыми системами защиты банков от внутренних угроз и утечек. В результате сотрудникам легче сфотографировать экран. Кроме того, добавляет Никитин, сам факт съемки доказать очень тяжело.
Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев считает, что на основе фотографий клиентских данных можно изготовить поддельные документы. Их могут использовать для снятия денег с чужого счета и участия в мошеннических схемах.
Зампред «Сбербанка» Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки.
Почему бы с правами и логированием не поиграться? Изучать обоснованность и цель доступа сотрудника к данным, например.
на масштабах сотен тысяч запросов этих данных в день, будет трудно изучать логи и обоснованность
Поэтому появились дата-сатанисты
давно существуют системы противодействия фроду на этот счет, но в итоге то всё равно надо ручками проверять пруфы
имхо, логи смотреть легко. Систему логирования только надо качественно спроектировать. и вопрос будет решаться 2-3 SQL запросами (условно)
логи чего посмотреть легко? что кто-то открыл конкретный счет? да
а чтобы подтвердить легитимность, надо выяснить почему это произошло - личный визит клиента в офис, звонок в кол центр, запрос от другого сотрудника и тп. это не автоматизировать в разумных пределах
достаточно логировать запрос на выдачу данных клиента. например сотрудник номер XXX посмотрел данные клиента YYY. Смотрел 2 минуты, нажал на кнопку "операции" и баланс (условно). Этого достаточно для выяснения инсайдеров
это всё и так логируется по умолчанию.
ну вот у тебя 100 тысяч таких запросов в день, что ты дальше с ними будешь делать?
1. 100к запросов на угон данных - перебор
2. Обрабатывать в порядке очереди
3. для чего существуют службы безопасности?
4. опять же легко автоматизировать. клиента переадресуют в СБ, СБ видит сразу карточку клиента в вебморде, в карточке будет кнопка "кто смотрел". все профит
1. 100k легитимных запросов
2. каждый день
4. опять же легко автоматизировать. клиента переадресуют в СБ, СБ видит сразу карточку клиента в вебморде, в карточке будет кнопка "кто смотрел".
в какой момент и зачем переадресовавать клиента в сб? тебе сначала из сотен тысяч запросов данных в день (п.1) надо вычленить подозрительные, а потом уже с ними работать. из этих сотен тысяч, существенная часть будет результатом звонка в кол центр, которая сольется с существенной частью запросов инсайдеров
мои предложение строится по сценарии: "Инсайдеры угнали данные, передали мошенникам, они клиенту позвонили по соц инженерии, клиент заподозрил что то неладное, позвонил в коллцентр сбера, там его выслушали, переадресовали на СБ, СБ выявила инсайдера и применила к нему санкции."
надо глубже смотреть специфику. но оно все реализуется без больших вопросов
полагаю, что тут задача не расследовать инциденты, а выявлять инсайдеров и предотвращать слив инфы в первую очередь.
с инцидентами всё гораздо проще, потому что по конкретному клиенту модно сразу посмотреть все логи и поработать со всеми причастными сотрудниками
можно еще документально в трудовом договоре прописать штраф за слив данных в 20 окладов. Инсайдер 20 раз подумает перед сливом
То что вы предлагаете это решение вопроса пост фактум. Получается для повышения безопасности на паркинге вы порекомендуете повесить камеры, дескать когда вам проломят черепушку мы с лёгкостью найдём грабителя!
да, мое предложение на решение вопроса пост-фактум. Но это банк, транзакцию подозрительную можно откатить и вернуть деньги клиенту.
Если грабитель увидит камеру, то лишний раз подумает. Не просто так ведь часто можно встретить то, что много где муляжи расставлены. И это работает!
Ну так и отлично, значит мы 90% этой существенной части сможем отфильтровать как не подозрительные операции.
Кстати, 100 К запросов - это очень мало. Даже если не запускать нейросеть обычными ифами за несколько месяцев можно написать обработку большинства запросов. Ну и как ниже говорили - то, что секретное слово находится в открытом доступе - это основная дыра, которую нужно решать.
оно не находится в открытом доступе и это не пароль, чтобы его никто не знал кроме обладателя.
даже если сотрудники банка его бы не знали, и могли только ввести сказанное секретное кодовое слово в форму, которая бы сматчила с базой по хешу. в этот момент слово бы перестало быть секретным.
это как пароль спрашивать по телефону.
Как это не находится, если его видят любые операторы?
в этот момент слово бы перестало быть секретным.Однако это бы предотвратило запрос ПД оператором, без обращения клиента.
Да и в любом случае, любое введение функций, ограничивающих доступ к моим (вашим) данным от посторонних людей - это благо. Я бы еще и шифрование ПД на основе кодового слова ввел. То, что код нужно сообщать посторонним лицам - это, конечно, очень плохо. Нужно разрабатывать такие законы и процессы, чтобы максимально нивелировать влияние людей.
эти любые операторы аутентифицируются в своих системах где имеют этот доступ для выполнения служебных обязанностей. технически там может быть, а может и не быть шифрования на уровне БД. сами поля с кодовым словом в клир тексте, естественно.
> Однако это бы предотвратило запрос ПД оператором, без обращения клиента.это, возможно, подняло бы стоимость запросов, и существенно снизило юзабили при прямом обращении в колл центр. при этом не закрыв ни какие существенные риски
> любое введение функций, ограничивающих доступ к моим (вашим) данным от посторонних людей - это благонет, вся безопасность строится на разумности, клиентам такие меры не интересны. аутентификация вообще мало кому интересна. зачем тратить 15 минут на ФИО+паспорт+дата рождения+кодовое слово по буквам, чтобы узнать почему у тебя транзакция задублировалась или остаток по счету?
клиенты хотят набрать номер и получить помощь, а не дополнительные проблемы.
даже работая в безопасности я не считаю уровень безопасности банка где я обслуживаюсь существенным критерием выбора
Так. И? Сейчас они могут без знания кодового слова получить доступ к ПД? Видимо, да, раз банки начали беспокоиться по этому поводу.
и существенно снизило юзабили при прямом обращении в колл центрЭто бы увеличило время на ввод кодового слова.
зачем тратить 15 минут на ФИО+паспорт+дата рождения+кодовое слово по буквам, чтобы узнать почему у тебя транзакция задублировалась или остаток по счету?А в чем разница? Сейчас и так нужно называть ФИО и кодовое слово, чтобы узнать любую информацию по счету.
да, кодовое слово вообще не является определяющим в вопросе внутренней обработки ПД, закон и здравый смысл такого не требуют. кодовое слово существует только для того чтобы банк понял что к ним _скорее всего_ именно ты обратился и что тебе можно предоставить базовые сервисы (без переводов денег). оно не для того чтобы ты аутентифицировал банк или чтобы ты авторизовал банк на доступ к твоим данным.
Видимо, да, раз банки начали беспокоиться по этому поводу.нет никакой особой обеспокоенности на самом деле и никаких особых изменений во внутренних документах крупных банков, это пустые слова стасяна кузнецова, который бороздит просторы биг даты, простая некомпетентность.
Это бы увеличило время на ввод кодового слова.да, и не принесло бы никакой пользы никому в данном кейсе
А в чем разница? Сейчас и так нужно называть ФИО и кодовое слово, чтобы узнать любую информацию по счету.сотруднику не надо вводить большую часть этого, он только проверяет что клиент их правильно назвал. а кодовое слово надо будет вводить побуквенно.
Если делают сами СБ то не видно )успокойся
Присылать пуш\смс прямо клиенту в отделении.
звонок в кол центрСпрашивать кодовое слово.
Вот эти два варианта в общем случае не нужно даже проверять, достаточно политику безопасности нормальную иметь.
а в чем смысл спрашивать кодовое слово в данном случае, как это что-то меняет?
Без кодового слова сотрудник никакой значимой информации не получит.
как не получит, если сотрудник видит это кодовое слово у себя на экране еще до того как клиент его назвал. в этом суть аутентификации клиента перед банком.
Ничего он не видит, он его в поле набивает и узнаёт правильное оно или нет.
Серьезно? А откуда сотрудник знает, латиницей или кириллицей записано кодовое слово у клиента? И, если девичья фамилия матери (наиболее популярное у большинства кодовое слово) у него какая-нибудь сложная (с обилием, скажем, "ч" и "щ"), то с какого раз он сможет правильно ввести ее в поле на латинице?
- Назовите кодовое слово
- Пишите латиницей: Эс как доллар, эс, эйч, эм, ай с точечкой, дэ, тэ.
Это Вы от пользователя такого грамотного спеллинга ожидаете? Ну-ну. А если звонит дама с какого-нибудь южного региона, про "эйч-эм-ай с точкой" не в курсе от слова совсем, а девичья фамилия ее мамы, скажем, "Голопущенко". Причем, в силу особенностей местного говора, она эту фамилию произносит, как "ГхалапушченкА". И? Если у сотрудника эта фамилия не написана на экране, то с какого раза он введет ее правильно? Даже на кирилице (про латиницу вообще молчу).
Ну и как она тогда, не зная алфавита, умудрилась латиницей фамилию написать?
Причем, в силу особенностей местного говора, она эту фамилию произносит, как "ГхалапущенкА". И?Ну и пусть произносит. Если есть сомнения - спросить никто не запрещает.
А ей сотрудники банка в отделении помогли ее на латинице написать, когда она счет открывала. И как именно они букву "Щ" записали, она, естественно, не помнит.
Пример проще. На днях я переоформлял телефонный номер в "Мегафоне". Попросили создать кодовое слово и сказали, что можно как на кириллице, так и на латинице.
Как Вы думаете, когда теперь я звоню в "Мегафон", сотрудник вводит слово с моих слов, или оно у него уже видно на экране?
Зачем?
Как Вы думаете, когда теперь я звоню в "Мегафон", сотрудник вводит слово с моих слов, или оно у него уже видно на экране?Понятия не имею.
Сотрудник мегфона не знает, на латинице или на кириллице у меня кодовое слово. Однако, уже через доли секунды после того, как я его назвал, он готов со мной разговаривать. Ввести за это время даже один вариант нереально. Значит, это слово показывается у него на экране.
Это значит, что в мегафоне довольно хреновая политика безопасности.
это значит что по всему миру это нормальная практика с точки зрения безопасности, так проводить аутентификацию клиентов для предоставления базовых сервисов, не связанных с переводами денег
Поделитесь мировой статистикой?
по статистике, секретное слово защищают как пароль ровно в 0 компаний в мире
У вас пруфы отклеились.
15 лет в этой сфере работаю, знаю каковы требования регуляторов, знаю какова практика в банках и телекомах.
если кодовое слово бы защищали как пароль, то это был бы пароль. велью ноль
Уточните в каком вы банке работаете, а-то вдруг у меня там деньги лежат.
а вы лучше сразу несите в тот, где кодовое слово защищают как пароль, чтобы надежнее)
Понятия не имею, но надеюсь везде, кроме того в котором вы работаете, особенно в том, где мои деньги лежат.
я то тут причем? в сбере, в альфе, в тинькове, в росбанке, в юникредите, в открытии - кодовое слово не защищают как пароль. в мегафоне, мтс, билайне, что характерно, тоже так не защищают.
А почему никто из них(ну по крайней мере те, чьими услугами я пользовался) не предоставляет услуги восстановления кодового слова? У всех только сменить можно. Или сотрудникам отделений там доверяют меньше, чем макакам в кол-центре ? Это вот прям основной столп моей веры в нормальное шифрование кодового слова.
потому что это хорошая ИБ практика, менять, а не восстанавливать средства аутентификации.
я тебе гарантирую, что ни один из банков не скрывает кодовые слова от сотрудников обслуживающих клиентов
Ну и почему бы тогда не предлагать клиенту каждый раз при посещении банка его сменить?
я тебе гарантирую, что ни один из банков не скрывает кодовые слова от сотрудников обслуживающих клиентовУ вас печать отклеилась.
трудно приводить пруфы тому, чего нет и не было :(
> Ну и почему бы тогда не предлагать клиенту каждый раз при посещении банка его сменить"чтобы что? еще одна гениальная идея, которая не имеет велью, ни для банка, ни для клиента
Потому что периодически менять "средства аутентификации" ещё более хорошая практика.
она не более хорошая, она просто хорошая. а периодичность это компромисс между юзабилити и риском. в виду низкого риска, это средство аутентификации можно менять никогда, например.
Я не успеваю следить за скоростью ваших переобуваний. Если можно не менять никогда, то почему бы его не восстанавливать?
ты сам себе придумал что между необходимостью периодической смены и вынужденным восстановлением (его отсутствием) есть какая-то связь и меня об этом спрашиваешь.
на мой взгляд связи нет, поэтому я тебе ответить не смогу
Связь тут самая прямая, но человеку, который узнал об обратимом и необратимом шифровании несколько часов назад простительно её не видеть. Всего вам хорошего на вашей никак не связанной с ИБ работой и больших успехов.
что за болезнь такая?
как только он назвал кодовое слово, оно перестало быть секретом
нет, он его видит
Расстреляйте того, кто это сделал.
это аутентификация, а не авторизация. в этой части процесса нет цели защитить данные клиента от сотрудника. только подтвердить что клиент знает кодовое слово
Ага, вот только хранение этих самых слов в открытом виде дыра в безопасности размером с ядро галактики.
технически, эту информацию шифруют. только у сотрудников есть к ней доступ, потому что он нужен для работы - аутентификации клиента
Технически, хранение обратимо зашифрованных кодовых слов - дыра в безопасности размером с ядро галактики огороженная полицейской ленточкой.
нет, не дыра. это не пароль
Да, конечно. Ведь зная кодовое слово нельзя провести почти все операции доступные в интернет-банке.
ну вообще да, нельзя провести операции доступные в интернет-банке
Разве что деньги перевести нельзя.
ну ты понимаешь хоть, что нет смысла защищать как пароль секретное слово которое ты по телефону сам говоришь человеку на другом конце? чтобы что?
Я не вижу ни одной причины не защищать секретное слово как пароль. И уж точно не вижу причины давать каждой обезьяне в кол-центре возможность в любой момент смотреть данные клиента, включая кодовое слово и данные составляющие банковскую тайну.
я же привел пример, что как только клиент называет свое кодовое слово по незащищенному каналу связи третьему лицу, оно теряет всю секретность и по нему нельзя ничего авторизовать. тут не может быть технически никакой защиты, потому что один человек говорит другому человеку.
банковская тайна тут вообще не причем, и то что она существует, не значит что обезьяны из кол центра не могут иметь к ней доступ. это понятие существует чтобы определять область действия организационно-технических мер, а не чтобы "никто ничего не знал"
Не всю а часть, и круг третьих лиц имеющих возможность слить всю базу сразу несравнимо уже.
банковская тайна тут вообще не причем, и то что она существует, не значит что обезьяны из кол центра не могут иметь к ней доступ. это понятие существует чтобы определять область действия организационно-технических мер, а не чтобы "никто ничего не зналЯ так понял, вы считаете вполне себе рабочим вариантом подписать с каждым сотрудником NDA и давать бесконтрольный доступ ко всей базе?
"Не всю а часть, и круг третьих лиц имеющих возможность слить всю базу сразу несравнимо уже."
это абстрактные фантазии
"Я так понял, вы считаете вполне себе рабочим вариантом подписать с каждым сотрудником NDA и давать бесконтрольный доступ ко всей базе?"
нет, я так не считаю
даже с технической точки зрения, заблуждение считать что есть некая база к которой все имеют доступ. это _сотни_ систем и баз данных с различными кросс-интерфейсами и ролями. тут и не стоит вопрос "всё или ничего", в основном люди имеют только тот доступ что им нужен для работы, например на чтение кодового слова для аутентификации клиентов
Да нет, вполне конкретные. Круг обезьян в кол-центре это сотни-тысячи человек, круг же администраторов баз данных - это единицы.
нет, я так не считаюСтранно, а топите именно за это.
даже с технической точки зрения, заблуждение считать что есть некая база к которой все имеют доступ. это _сотни_ систем и баз данных с различными кросс-интерфейсами и ролями.С технической точки зрения у каждой обезьяны в кол-центре есть возможность работать с любым клиентом банка.
в основном люди имеют только тот доступ что им нужен для работы, например на чтение кодового слова для аутентификации клиентовЭто называется принцип минимальных привилегий, и для аутентификации клиента чтение кодового слова отнюдь не является необходимостью.
кодовое слово существует ТОЛЬКО для аутентификации клиента перед банком. я не особо понимаю к чему всё это обсуждение.
Потому что после аутентификации клиента происходит авторизация.
по кодовому слову он не получает такой же авторизации как по паролю, в соответствии с тем же принципом минимальных привилегий
Если вы уже переобулись в принцип минимальных привилегий, то назовите хоть одну причину для доступа к кодовому слову в кол-центре. Да и вообще где угодно ещё.
для выполнения сотрудником единственной функции для которой используется кодовое слово - для аутентификации клиента.
ну и еще ему клиент это кодовое слово ртом в телефон говорит, как тут не иметь к нему доступ.
Уже выяснили, что не является необходимым, достаточно иметь механизм проверки кодового слова.
нет, не выясняли. ты это предположил, а индустрия ИБ об этом не переживает
Отучайтесь говорить за всю индустрию, в ней есть люди умеющие думать.
да, много людей умеющих думать, подумали и решили что для базовой аутентификации клиента в банке достаточно кодового слова, которое не защищают как пароль). это не было моим решением, по понятным причинам, но я его понимаю)
Нет, умные это те, которые не переобуваются по три раза за одну нить.
ты эту нить потерял. 1) потому что я себя не причислял к умным. 2) я отметил, что я не имеют отношения к этой ИБ практике по работе с кодовыми словами.
есть факты - кодовое слово это не пароль, кодовое слово не защищают как пароль, твоё кодовое слово знают сотрудники твоего банка и твоего опсоса.
чего ты там себе напредставлял в своём вакумном мире никому не интересно. если не нравится как всё устроено, напиши в оон, чтобы мир перестроили
Это правильно.
я отметил, что я не имеют отношения к этой ИБ практике по работе с кодовыми словами.чего ты там себе напредставлял в своём вакумном мире никому не интересно.
Красиво. Факты, я так понимаю, вы тоже напредставляли? К чему тогда весь этот разговор был, если вы ничерта не знаете, а умного тут корчите.
не ты ли считал, что секретные слова зашифрованы и сотруднику нужно их вбить чтобы система сравнила там что-то с чем-то?)))
ты не представляешь как всё работает и как всё должно работать, но мнение имеешь. я понял, спасибо)
Константин, респект вам за выдержку и квалифицированные ответы! Почерпнул много интересного.
Для банков с большой филиальной сетью можно делать так:
Логируем доступ к счету (или паспорту). Убираем все доступы в счетам локальных клиентов (клиентов этого офиса). Убираем доступы к счетам клиентов соседних офисов. Убираем доступы к счетам клиентов которые многократно пользовались услугами этого или соседнего офиса.
В итоге остается достаточно маленький список запросов к данным клиентов. Далее ранжируем этот список по количеству запросов на сотрудника и далее уже с этим отсортированным списком работаем.
Если безопасности хватило мозгов поставить за спиной камеру, то задача поиска крысы упрощается.
полагаю, что существенная часть обращений - через кол центр.
инсайдер может сказать, что аутентифицировал клиента по телефону, чтобы это проверить, надо получить подтверждение клиента, а это делать никто не будет
Сотрудникам коллцентра не всегда доступна полная инфа по клиенту, да и странным будет, если на 10 звонков сотрудник запросил данные 20ти клиентов. Плюс часто в КЦ выборочно прослушиваются записанные разговоры. Так же можно автоматически отбрасывать обращения к счетам клиентов которые выполнялись при звонке с номера телефона зарегистрированного на этого клиента. Итого, опять же, получается более компактный список который можно опять же ранжировать. И тут проверять даже проще будет, т.к. звонки записываются.
зачем? если можно посмотреть логи Asterisk и увидеть что клиент не звонил (условно)
плюс любимое Грефом слово "Бигдата" и "Машинленинг"
клиенты не всегда звонят со своего телефона, надо будет по каждому предположительно инсайдерскому запросу слушать все ближайшие по времени разговоры инсайдера, мапить это дело с его запросами
почему бы и нет. я не зря упомянул Машинленинг. идентификация клиента по голосу
Зачем подтверждение клиента? Подавляющее большинство звонят в кол центр с того телефона, который приписан к кредитке. CRM системы давно умеют по входящему звонку выводить данные клиента, т.е. факт звонка - логируется.
Так можно логировать только в момент реального обращения клиента в офис иди колл-центр, и тогда запрос в БД ничем не отличить от легитимного.