Бойся инсайдера, в банк приходящего

На пост сподвигли три события. Бурное обсуждение под Магнитогорском безопасно-банковских проблем, в отношении которых есть возможность мнить себя стратегом, видя бой со стороны (в основном, в изложении Алексея Лукацкого). Круглый стол по безопасности систем дистанционного банковского обслуживания на Инфофоруме. И, наконец, последний отчет о правоприменении законодательства о персональных данных за январь 2013 года, который специалисты нашего агентства подготовили для своих клиентов-банков.

Возник какой-то внутренний диссонанс. Представители банковского сообщества в один голос винят во всех смертных грехах «самое слабое звено» - клиента, который неправильно, неумело, коряво и даже просто преступно пользуется предоставленным банком отличным инструментом под названием ДБО, или «клиент-банк», или интернет-банкинг, в результате чего некие злые хакеры или просто плохие парни захватывают контроль над клиентской машиной и от имени клиентов выводят денежки куда-то в «голубое нигде». А потом имеет наглость ждать вступления в силу пресловутой 9-й статьи 161-ФЗ с тем, чтобы заставить банк оплатить свое же головотяпство. При этом, правда, рассказывать клиенту о рисках в полном объеме как-то не комильфо, а то он уйдет к менее щепетильному конкуренту-молчуну. Да и оплачивать повышение осведомленности хорошо бы государству – это же его граждане портачат.

Но вот читаю ежемесячный отчет. И не в первый раз за последний год (я как-то писал на эту тему)  поражаюсь количеству мошенничеств, совершаемых инсайдерами. Т.е. вполне себе легитимными пользователями АБС и прочих банковских систем, где хранится и обрабатывается информация о клиентах, их счетах и с использованием которых совершаются транзакции. Теми, кто после неких проверочных мероприятий (в свете 152-ФЗ не вполне законных обычно, но также обычно проводимых) был принят на работу, которым предоставили доступ к информационным системам (т.е. к деньгам, вроде бы виртуальным, но вполне себе конвертируемым в наличность) и доверили банковскую и коммерческую тайну, да еще и персональные данные до полного комплекта, положили не самую маленькую в стране зарплату и пустили в огород.

А что же они, неблагодарные? Воруют. Деньги – банка и клиентов. Идентификационные данные – пользователей ДБО. Сведения о пластике, позволяющие выпустить карту-двойник или оплатить покупки через Интернет. И вообще, все что плохо и даже хорошо в банке лежит.

Вот сотрудница некоего смоленского банка, к своим 21 годам доросшая аж до кредитного инспектора, несмотря на столь юный возраст отлично приноровилась оформлять кредиты по неизвестно как добытым ее сообщником паспортным данным, приобретать на них не самую дешевую бытовую технику и сбывать ее.

Вот в неведомом мордовском Ковылкине ее коллега запугала пенсионерку, которая уже оформила все документы на кредит, да так, что дама от займа отказалась, а кредит получила сама, предоставив 57-летней несостоявшейся клиентке возможность возвращать банку 90 тысяч рублей.

В подмосковной Рузе менеджер по продажам финансовых продуктов (кредитов) ЗАО «Связной Логистика» оформляла кредитные карты на бывших покупателей, чьи данные остались в базе, и, естественно, сама же их и обналичивала, заработав таким нехитрым способом 700 тысяч рублей.

Менеджер группы отдела обслуживания физических лиц солидного западного банка, работающего в России, вошел в состав преступной группы, главную скрипку в которой играли полицейские, разыгрывающие сложные костюмированные спектакли со снятием наличных по поддельным документам, которые были оформлены на лиц, внешне похожих на VIP-клиентов банка. Сведения о них как раз менеджер и поставлял. Поскольку операция была сложной и многоходовой, ребята не мелочились и снимали суммы миллионов так по 12.

А уж когда за дело берутся инсайдеры на позициях топ-менеджеров банка, масштаб воровства становится соответствующим. Вслед за лишенным лицензии «Трансэнергобанком», феерически быстро оформившим задним числом вклады на безумную сумму группе подельников, прибежавших в Агентство по срахованию вкладов за «полагающимися» пайками, аналогичную комбинацию попытался провернуть АКБ «Экспресс» из солнечного, но загадочного Дагестана.

Это итоги одного месяца. Может, стоит подумать о том, что  слабое звено – не обязательно вне банка? И что масса людей, находящихся к деньгам гораздо ближе клиентов, и к значительно бОльшим деньгам, могут нанести гораздо более значительный ущерб своему работодателю, чем клиенты, для которых механизм возврата средств по мошенническим операциям вновь отодвинут на год? Может, что-то не так в консерватории? Не случайно заместитель начальника ГУБЗИ Банка России А.Сычев говорил о требованиях к DLP- системам, учитывающим банковскую специфику. Враг внутренний всегда гораздо опаснее внешнего.

… о которой так долго говорили, свершилась?

Бесконечные дискуссии о самых разнообразных аспектах обработки персональных данных, ведущиеся последние пять лет везде, где только можно их вести, дали, наконец, реальные плоды. Даже самый последний двоечник и полный лузер теперь знают, что персональные данные – один из самых простых способов отъема денег у государства и его населения. То, о чем так долго говорили, свершилось?

Еще в начале лета тревогу забили специалисты аналитического подразделения нашего агентства, мониторящие публикации по вопросам информационной безопасности. Количество противоправных действий и преступлений, связанных с использованием паспортных данных, начало стремительно расти. Люди научились использовать обычные сведения из документов, удостоверяющих личность, для быстрого обогащения.

И вот уже способный житель Самары, приобретя на местной горбушке компакт-диск со сведениями о горожанах, оформил 78 ничего не подозревающих граждан к себе на работу, заключил с Центром занятости населения договор об участии в программе по организации временного трудоустройства безработных, предусматривающий их привлечение к общественным работам, и получил за это из федерального и областного бюджетов 2 млн. рублей. По похожей схеме действовали начальник отдела и ведущий инспектор Центра занятости населения ЮЗАО Москвы. Они подыскивали регистрационные и уставные документы фирм, которые не вели хозяйственную деятельность, предоставляли от их имени в Центр занятости заявки на участие в программе по организации временного трудоустройства безработных, а также паспортные данные лиц, желающих найти работу. Дальше – понятно: договор между Центром и предприятием, перечисление денег из центра и т.д. Пикантная подробность – один из участников группы, предприниматель, ранее судимый за мошенничество, обеспечивал получение в различных банках столицы банковских карт на «трудоустроенных» граждан, на которые казначейство Москвы перечисляло деньги. И никто в банках и казначействе ничего не подозревал. Такая вот слепая вера в честность.

Научились мошенники тянуть деньги из Российского союза автостраховщиков (РСА), предъявляя поддельные документы об уступке прав требования автовладельцами, пострадавшими в ДТП, которые были застрахованы в страховых компаниях с отозванными (и не только) лицензиями. И там речь идет о миллионах рублей. А вот страховая группа «Адмирал», лишенная лицензии на страхование автомобилей, «забыла» вернуть в РСА 21 тысячу чистых бланков полисов ОСАГО. Между тем, РСА уже выплатил компенсации по обязательствам «Адмирала» на сумму 27,9 миллиона рублей при общем объеме обязательств до 153 миллионов. По информации «Прайм-ТАСС», теперь мошенники предлагают потерпевшим выкупить у них право на получение выплаты от «Адмирала», а затем используют персональные данные страхователей и подложные документы для взыскания денег с РСА.

В Смоленской области пачками выдавали автокредиты на владельцев утраченных и похищенных паспортов. Украли у трех не самых последних российских банков 130 миллионов рублей знающие люди, среди которых советник по защите бизнеса ООО «РусфинансБанка», через который эти денежки и выводились. Похожим способом орудовали две дамы в Южноуральске. Одна из мошенниц, работавшая в салоне сотовой связи, оформляла потребительские кредиты по украденным паспортам, а другая на полученные кредитные средства приобретала телефоны, ноутбуки и сбывала их. По той же схеме действовал и кредитный эксперт одного из банков Якутска, также оформлявший фиктивные кредиты, используя паспортные данные клиентов.

Председатель правления Республиканской общественной организации по защите прав заемщиков Башкирии, получив (видимо, ввиду слабой осведомленности персонала в вопросах безопасности) сведения о 40 тысячах клиентов одного из банков г.Уфы, под угрозой их распространения и причинения ущерба деловой репутации банка потребовал от банка оплаты его знаний, умножающих скорбь – всего-то 10 млн. рублей, и оформления автокредитов на приобретение двух автомобилей «Мицубиси» общей стоимостью 4 400 000 рублей с условием погашения их банком. Ну, это по-нашему: кто что охраняет, тот то и имеет. Охранял права заемщиков, так что же, им, этим правам, а заодно и сведениям о владельцах, зря пропадать? Монетизировать их, монетизировать…

Это примеры всего трех летних месяцев. Список можно продолжать долго, но настораживает то, что количество случаев мошенничества идет по нарастающей. Все они прямо связаны с использованием паспортных данных граждан. Между тем их копирование паспортов приобрело в стране масштаб стихийного бедствия. Паспорта без всякого согласия и обоснования кладутся на ксероксы в гостиницах при заселении и в кассах при покупке билетов, при выписке пропусков в каждый захудалый офисный центр, который еще вчера был хлебопекарней, а сегодня охраняется как режимный объект, копируются они и при каждой операции в банке. Я тут вежливо поинтересовался, почему при закрытии депозитного счета, открытии нового и переноса на него денег без моего физического контакта с ними с паспорта пять раз сняли копию. Грозно сославшись на инструкцию Банка России, ознакомить меня с ней отказались.

Между тем, за все время действия ФЗ-152 «О персональных данных» (а это пять с половиной лет!) в России не вышло ни одного документа, хоть как-то регламентирующего порядок копирования паспортов, хранения и использования копий. И каждый раз гражданину приходится выбирать – поселиться в забронированную гостиницу или идти с чемоданом искать более лояльную, забрать деньги из банка в обмен на копию паспорта или оставить их банку навсегда. Казалось бы, вот оно поле для приложения усилий уполномоченного органа, защищающего права субъектов. Но пока все ограничивается вялым штрафованием банков за наличие на копии паспорта фото как биометрических данных, на что отсутствует письменное согласие владельца. А сами-то копии зачем сделаны и хранятся? И сколько их у банка? И как они учтены? Кем? Где?

Вопросы без ответов…

Можно, конечно, жаловаться. Но об том – в следующий раз.