Анонимно, да начать с перехода на личности, да продолжить без аргументации, зато выср...казался. Ну да ладно.
Я подождал реакции на пост, она в принципе оказалась вполне однозначной, что уже само по себе радует.
Вообще-то здесь должен был быть другой текст (и он будет). Но когда я искал по памяти один случай поисковые системы мне подкинули пару других, ещё более наглядных...
Непосредственно из банковской сферы - приговор ТОП-менеджеру Сбербанка
А этот материал по рядовому сотруднику МТС, который продавал данные клиентов в розницу, но в оптовых масштабах. Данный приговор к теме особо не относится, просто показатель, что с ИБ плохо не только в банках.
Для тех кто не любит читать про сбербанк коротко перескажу ситуацию.
Один из менеджеров Сбербанка, а именно начальник сектора продаж розничных продуктов Сбербанка сделал запрос в центральную БД и выгрузил данные всех клиентов Сбербанка включая (из приговора) "фамилия имя отчество, паспортные данные, дату рождения, адрес места жительства, номер мобильного телефона, полный номер карты, место работы, остаток собственных средств, учетных записях", короче говоря всю банковскую тайну всех физлиц. После этого скопировал выгрузку к себе на компьютер, переименовал, перепаковал архив и отправил его по частям себе на почту, после чего с другого ноутбука скопировал данные из почты на флешку, отнес домой, потом попытался продать данные в даркнете, опубликовав в качестве доказательств данные 5000 клиентов, за "демо"-данные он получил 25 000 рублей, но попал на контрольную закупку, арестован. Осужден на 2 года 10 месяцев (колония-поселение).
В приговоре есть ещё немало классных моментов:
Виновник пользовался учёткой своего руководителя, знал его логин и пароль. Объяснение "чтобы выполнять обязанности в отсутствии руководителя";
Данные выгружались из базы и затем копировались много часов и это ни у кого вопросов не вызвало;
Система не отследила перенос 5,7 Гб данных из "защищенной" части в не совсем защищенную;
В Сбере у пользователей есть техника, которая не имеет защиту от подключения USB-накопителей, с формулировкой "для служебной необходимости" (видать, чтобы данные воровать удобнее было);
В Сбере узнали об утечке данных из Банка России, который обнаружил в открытом доступе 200 из 5000 переданных данных. Если бы не инициирование проверки Банком России то не факт, что СБ Сбера вообще узнала бы о сливе всей своей клиентской базы физлиц;
Человек просто взял и вынес на флешке.
Человек, который это сделал, явно либо очень далек от ИТ, либо делал всё нагло и практически открыто.
Сперва немного отвечу комментаторам прошлых постов. Как понимаете, приговоры это то, что было выявлено, расследовано, дошло до суда и было опубликовано.
@UBM5UBM, ну что, менеджмент банков безгрешный и никакие данные никуда не сливает? Денег им на всё хватает?
@WhiteredMaH, "невозможно защитить ПД", это имел ввиду, что никто такую лавочку прикрывать не будет?
@RationalVal, ну и чего стоят глубоко разбирающиеся в теме "профессаналы" ИБ Сбербанка? Какая же у них охуенная защита ПД и реальная безопасность.
@pavelkonkov, моя больная фантазия настолько больная, что смогла заразить судей Красногорского городского суда Московской области, которые и вынесли обвинительный приговор по делу. А так же все СМИ, потому что новости о перехваченных продажах данных банков вполне себе регулярные.
Я ХЗ сколько Сбер тратит денег на ИБ и сколько макулатуры на это переводит, но...
На скамье подсудимых должен был сидеть не только он. Изучение вопросов защиты информации обычно начинается с Приказ ФСБ России от 10 июля 2014 г. № 378 и постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, у ИБшников обычно это "азбука для самых маленьких" (с этого обычно начинают).
Так вот из фактов, изложенных в приговоре суда СОБЛЮДЕНИЯ требований данных актов я не нашел. Согласно классификации Постановления в Сбере должен обеспечиваться наивысший уровень безопасности (хранение данных более 100к физлиц).
Далее ссылки на Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утверждены упомянутым выше приказом ФСБ) и их нарушения (не все, только основные):
(пп. в п. 5) Не утверждены, или "только на бумаге" или просто не соблюдаются требования по разграничениям данных и обеспечение доступа в соответствии с должностными обязанностями.
(пп. б п. 5) Не обеспечен учёт и порядок хранения носителей информации.
(пп. г п. 5) Не буду прям утверждать, но упоминаний о сертифицированных средствах защиты информации в приговоре я так же не нашел. Но использование iPad в отделениях...
(пп. 9) Каждый тип защищаемых данных должен быть защищен в соответствии со своим уровнем защиты. Наличие всех данных в одной БД (раз сделана выгрузка) само по себе уже нарушение.
(п. 17) Квалификация сотрудников ответственных за ИБ должна обеспечивать полную защиту персональных данных.
(пп. б п. 20) Каждый запрос на получение данных и его предоставление должны быть зафиксированы.
(п. 22) Все полномочия доступа должны быть прописаны в специальном электронном журнале, все изменения доступов должны фиксироваться. Не реже 1 раза в полгода должна проходить полная сверка.
Я не буду писать ссылки и цитаты на другую нормативку от ФСБ и ФСТЭК (это в 3 - 4 раза раздует пост), но почему за нарушения которой прописаны прямо в приговоре суда никто не ответил?... И к чему это привело? Через 2 года в СМИ опубликовали информацию о новой масштабной утечке по словам представителя Сбера - фейк, однако прозвон данных журналистами РБК (чтобы по формальным причинам пост не закрыли - свидетельство о регистрации СМИ ИА № ФС 77 - 63848) подтвердил, что данные настоящие.
У Сбера официально "утечки не было", но прозвон по взятым наугад номерам все данные почему-то на 100 % подтверждают, полагаю, что принято решение "если нет официальной утечки данных, то и виновных нет и оправдываться не нужно".
После начала СВО за кибератаки уже отчитываются оптом и в основном в % т.е. уже просто не публикуют сколько раз и кого слили.
Безнаказанность порождает безответственность.
И "вой" банков "не надо нас штрафовать" это прямое признание того, что менеджмент в банковской сфере не может (или не хочет) выполнять требования действующих законов РФ, но уступать свои кресла тем специалистам, кто может обеспечить выполнение законодательства не собирается.
P.S. Просто ещё раз прочувствуйте - спустя 13 лет после принятия закона 152-ФЗ "О защите персональных данных" и 29 лет после принятия закона 395-1 "О банках и банковской деятельности", где были требования по обеспечению безопасности финансовой информации из ТОП-1 крупнейших банков России всю клиентскую базу по физлицам типичный офисный планктон ПРОСТО ВЫНОСИТ НА ФЛЕШКЕ. Никаких тебе мега взломов, крутых хакеров, операций спецслужб, тайных агентов. Просто типичный (хоть и долго работающий) офисный планктон вынес всю базу на флешке...
