«Сбербанк», ВТБ, «ЮниКредит» и «Открытие» запретили сотрудникам фотографировать экраны компьютеров Статьи редакции

При этом сам факт съемки доказать очень тяжело, считают эксперты.

«Сбербанк», ВТБ, «ЮниКредит» и «ФК Открытие» запретили сотрудникам снимать экраны компьютеров с личных мобильных устройств. Об этом пишет РБК.

Замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин считает, что такой запрет — способ борьбы с «пробивом» данных о клиентах. Злоумышленники размещают объявление в даркнете, чтобы выяснить баланс карты жертвы, паспортные данные и другое. Фотографии с такими данными стоят от 800 до 8 тысяч рублей, и их делают сообщники мошенников — инсайдеры в разных банках.

Также Никитин пояснил, что распространенность фотографирования экранов можно объяснить новыми системами защиты банков от внутренних угроз и утечек. В результате сотрудникам легче сфотографировать экран. Кроме того, добавляет Никитин, сам факт съемки доказать очень тяжело.

Директор департамента информационной безопасности «ФК Открытие» Владимир Журавлев считает, что на основе фотографий клиентских данных можно изготовить поддельные документы. Их могут использовать для снятия денег с чужого счета и участия в мошеннических схемах.

Зампред «Сбербанка» Станислав Кузнецов рассказал, что системы банка, как правило, не позволяют передавать служебные данные в третьи руки.

Если им удалось по какой-то причине передать это преступникам, мошенникам либо третьим лицам, мы передаем материалы в правоохранительные органы.

Станислав Кузнецов, зампред «Сбербанка»
0
212 комментариев
Написать комментарий...
Алексис Второй

Почему бы с правами и логированием не поиграться? Изучать обоснованность и цель доступа сотрудника к данным, например.

Ответить
Развернуть ветку
Konstantin Ivanov

на масштабах сотен тысяч запросов этих данных в день, будет трудно изучать логи и обоснованность

Ответить
Развернуть ветку
Влад Виолентий

имхо, логи смотреть легко. Систему логирования только надо качественно спроектировать. и вопрос будет решаться 2-3 SQL запросами (условно)

Ответить
Развернуть ветку
Konstantin Ivanov

логи чего посмотреть легко? что кто-то открыл конкретный счет? да

а чтобы подтвердить легитимность, надо выяснить почему это произошло - личный визит клиента в офис, звонок в кол центр, запрос от другого сотрудника и тп. это не автоматизировать в разумных пределах

Ответить
Развернуть ветку
Никита Хэзэковъ
личный визит клиента в офис

Присылать пуш\смс прямо клиенту в отделении.

звонок в кол центр

Спрашивать кодовое слово.

Вот эти два варианта в общем случае не нужно даже проверять, достаточно политику безопасности нормальную иметь.

Ответить
Развернуть ветку
Konstantin Ivanov

а в чем смысл спрашивать кодовое слово в данном случае, как это что-то меняет?

Ответить
Развернуть ветку
Никита Хэзэковъ

Без кодового слова сотрудник никакой значимой информации не получит.

Ответить
Развернуть ветку
Konstantin Ivanov

как не получит, если сотрудник видит это кодовое слово у себя на экране еще до того как клиент его назвал. в этом суть аутентификации клиента перед банком.

Ответить
Развернуть ветку
Никита Хэзэковъ

Ничего он не видит, он его в поле набивает и узнаёт правильное оно или нет.

Ответить
Развернуть ветку
Konstantin Ivanov

нет, он его видит

Ответить
Развернуть ветку
Никита Хэзэковъ

Расстреляйте того, кто это сделал.

Ответить
Развернуть ветку
Konstantin Ivanov

это аутентификация, а не авторизация. в этой части процесса нет цели защитить данные клиента от сотрудника. только подтвердить что клиент знает кодовое слово

Ответить
Развернуть ветку
Никита Хэзэковъ

Ага, вот только хранение этих самых слов в открытом виде дыра в безопасности размером с ядро галактики.

Ответить
Развернуть ветку
Konstantin Ivanov

технически, эту информацию шифруют. только у сотрудников есть к ней доступ, потому что он нужен для работы - аутентификации клиента

Ответить
Развернуть ветку
Никита Хэзэковъ

Технически, хранение обратимо зашифрованных кодовых слов - дыра в безопасности размером с ядро галактики огороженная полицейской ленточкой.

Ответить
Развернуть ветку
Konstantin Ivanov

нет, не дыра. это не пароль

Ответить
Развернуть ветку
Никита Хэзэковъ

Да, конечно. Ведь зная кодовое слово нельзя провести почти все операции доступные в интернет-банке.

Ответить
Развернуть ветку
Konstantin Ivanov

ну вообще да, нельзя провести операции доступные в интернет-банке

Ответить
Развернуть ветку
Никита Хэзэковъ

Разве что деньги перевести нельзя.

Ответить
Развернуть ветку
Konstantin Ivanov

ну ты понимаешь хоть, что нет смысла защищать как пароль секретное слово которое ты по телефону сам говоришь человеку на другом конце? чтобы что?

Ответить
Развернуть ветку
Никита Хэзэковъ

Я не вижу ни одной причины не защищать секретное слово как пароль. И уж точно не вижу причины давать каждой обезьяне в кол-центре возможность в любой момент смотреть данные клиента, включая кодовое слово и данные составляющие банковскую тайну.

Ответить
Развернуть ветку
Konstantin Ivanov

я же привел пример, что как только клиент называет свое кодовое слово по незащищенному каналу связи третьему лицу, оно теряет всю секретность и по нему нельзя ничего авторизовать. тут не может быть технически никакой защиты, потому что один человек говорит другому человеку.

банковская тайна тут вообще не причем, и то что она существует, не значит что обезьяны из кол центра не могут иметь к ней доступ. это понятие существует чтобы определять область действия организационно-технических мер, а не чтобы "никто ничего не знал"

Ответить
Развернуть ветку
Никита Хэзэковъ
как только клиент называет свое кодовое слово по незащищенному каналу связи третьему лицу, оно теряет всю секретност

Не всю а часть, и круг третьих лиц имеющих возможность слить всю базу сразу несравнимо уже.

банковская тайна тут вообще не причем, и то что она существует, не значит что обезьяны из кол центра не могут иметь к ней доступ. это понятие существует чтобы определять область действия организационно-технических мер, а не чтобы "никто ничего не знал

Я так понял, вы считаете вполне себе рабочим вариантом подписать с каждым сотрудником NDA и давать бесконтрольный доступ ко всей базе?

Ответить
Развернуть ветку
Konstantin Ivanov

"Не всю а часть, и круг третьих лиц имеющих возможность слить всю базу сразу несравнимо уже."
это абстрактные фантазии
"Я так понял, вы считаете вполне себе рабочим вариантом подписать с каждым сотрудником NDA и давать бесконтрольный доступ ко всей базе?"
нет, я так не считаю

даже с технической точки зрения, заблуждение считать что есть некая база к которой все имеют доступ. это _сотни_ систем и баз данных с различными кросс-интерфейсами и ролями. тут и не стоит вопрос "всё или ничего", в основном люди имеют только тот доступ что им нужен для работы, например на чтение кодового слова для аутентификации клиентов

Ответить
Развернуть ветку
Никита Хэзэковъ
это абстрактные фантазии

Да нет, вполне конкретные. Круг обезьян в кол-центре это сотни-тысячи человек, круг же администраторов баз данных - это единицы.

нет, я так не считаю

Странно, а топите именно за это.

даже с технической точки зрения, заблуждение считать что есть некая база к которой все имеют доступ. это _сотни_ систем и баз данных с различными кросс-интерфейсами и ролями.

С технической точки зрения у каждой обезьяны в кол-центре есть возможность работать с любым клиентом банка.

в основном люди имеют только тот доступ что им нужен для работы, например на чтение кодового слова для аутентификации клиентов

Это называется принцип минимальных привилегий, и для аутентификации клиента чтение кодового слова отнюдь не является необходимостью.

Ответить
Развернуть ветку
Konstantin Ivanov

кодовое слово существует ТОЛЬКО для аутентификации клиента перед банком. я не особо понимаю к чему всё это обсуждение.

Ответить
Развернуть ветку
Никита Хэзэковъ

Потому что после аутентификации клиента происходит авторизация.

Ответить
Развернуть ветку
Konstantin Ivanov

по кодовому слову он не получает такой же авторизации как по паролю, в соответствии с тем же принципом минимальных привилегий

Ответить
Развернуть ветку
Никита Хэзэковъ

Если вы уже переобулись в принцип минимальных привилегий, то назовите хоть одну причину для доступа к кодовому слову в кол-центре. Да и вообще где угодно ещё.

Ответить
Развернуть ветку
Konstantin Ivanov

для выполнения сотрудником единственной функции для которой используется кодовое слово - для аутентификации клиента.

ну и еще ему клиент это кодовое слово ртом в телефон говорит, как тут не иметь к нему доступ.

Ответить
Развернуть ветку
Никита Хэзэковъ
для выполнения сотрудником единственной функции для которой используется кодовое слово - для аутентификации клиента.

Уже выяснили, что не является необходимым, достаточно иметь механизм проверки кодового слова.

Ответить
Развернуть ветку
Konstantin Ivanov

нет, не выясняли. ты это предположил, а индустрия ИБ об этом не переживает

Ответить
Развернуть ветку
Никита Хэзэковъ

Отучайтесь говорить за всю индустрию, в ней есть люди умеющие думать.

Ответить
Развернуть ветку
Konstantin Ivanov

да, много людей умеющих думать, подумали и решили что для базовой аутентификации клиента в банке достаточно кодового слова, которое не защищают как пароль). это не было моим решением, по понятным причинам, но я его понимаю)

Ответить
Развернуть ветку
Никита Хэзэковъ

Нет, умные это те, которые не переобуваются по три раза за одну нить.

Ответить
Развернуть ветку
Konstantin Ivanov

ты эту нить потерял. 1) потому что я себя не причислял к умным. 2) я отметил, что я не имеют отношения к этой ИБ практике по работе с кодовыми словами.

есть факты - кодовое слово это не пароль, кодовое слово не защищают как пароль, твоё кодовое слово знают сотрудники твоего банка и твоего опсоса.

чего ты там себе напредставлял в своём вакумном мире никому не интересно. если не нравится как всё устроено, напиши в оон, чтобы мир перестроили

Ответить
Развернуть ветку
Никита Хэзэковъ
1) потому что я себя не причислял к умным

Это правильно.

я отметил, что я не имеют отношения к этой ИБ практике по работе с кодовыми словами.
чего ты там себе напредставлял в своём вакумном мире никому не интересно.

Красиво. Факты, я так понимаю, вы тоже напредставляли? К чему тогда весь этот разговор был, если вы ничерта не знаете, а умного тут корчите.

Ответить
Развернуть ветку
Konstantin Ivanov

не ты ли считал, что секретные слова зашифрованы и сотруднику нужно их вбить чтобы система сравнила там что-то с чем-то?)))

ты не представляешь как всё работает и как всё должно работать, но мнение имеешь. я понял, спасибо)

Ответить
Развернуть ветку
Egor Voinov

Константин, респект вам за выдержку и квалифицированные ответы! Почерпнул много интересного.

Ответить
Развернуть ветку
209 комментариев
Раскрывать всегда