Следом за утечкой данных о сотрудниках Сбербанка, в сети в открытом доступе обнаружился архив служебных файлов разработчиков его программного обеспечения, сообщает «Ъ». Эксперты в сфере информбезопасности, которые скачали архив и ознакомились с ним, уверены, что утечка произошла по вине одного из сотрудников кредитного учреждения. «Файлы, содержащиеся в архиве, являются служебными документами, они относятся к интеграции процессов разработки и эксплуатации программного обеспечения (DevOps)»,— отмечает гендиректор Zecurion Алексей Раевский. По словам главы службы информбезопасности банка из топ-30, эти файлы — явно черновик проекта по конкретной системе Сбербанка, причем четко видно — это явно незавершенная работа. Эксперты сходятся во мнении, что имело место не хищение информации, а именно неосторожные действия сотрудника, который, желая поработать дома, отправлял рабочие файлы себе на домашнюю почту.
Информационные системы Сбербанка не подвергались взломам, подтвердили в Сбербанке. Так же там отметили, что указанные файлы не содержат банковской, коммерческой тайны и персональных данных сотрудников и клиентов банка. «В архиве содержится рабочая техническая документация, обмен которой возможен, в том числе с подрядчиками, через сеть интернет для выполнения производственных задач»,— уточнили в пресс-службе банка.
При этом Сбербанк защищался от внутренних утечек. Так, в 2014 году банк заключил договор с компанией «Информзащита», которая взялась поставить в Сбербанк решения компании InfoWatch. Данное решение, по словам экспертов, использует весь головной офис банка, из которого и произошла утечка. По словам основателя DeviceLock Ашота Оганесяна, решение InfoWatch могло не сработать из-за проблемы самого решения или же из-за некорректных настроек. По мнению главы Searchinform Льва Матвеева, однозначно при работающей системе утечки бы не произошло, как минимум при нормально работающем контроле файлов администратор не мог бы его обойти. Источник, знакомый с системой безопасности в Сбербанке, отметил, что, скорее всего, InfoWatch работала так, чтобы не блокировать направляемые в облако файлы, а лишь сохранять следы утечек. «Работа DLP-системы в режиме блокировки парализовала бы работу любого бизнеса»,— уверен он.
В самой компании InfoWatch видят проблемы скорее на стороне банка. «Наше решение полностью закрывает все доступные каналы передачи корпоративной информации и позволяет установить контроль и за привилегированными пользователями, такими, как администраторы, снижая риск утечки данных,— отметила президент ГК InfoWatch Наталья Касперская. — Другое дело, что сама организация, эксплуатирующая DLP-систему, всегда балансирует между снижением ложных положительных срабатываний системы и точностью определения реальных инцидентов». Также госпожа Касперская напомнила, что, по статистике, 60% и более утечек персональных данных носят умышленный характер, а такие случаи гораздо сложнее выявить. Эксперты уверены, что данный случай — сигнал для Сбербанка. «Возможность направлять информацию ограниченного доступа на внешний адрес может говорить о невысокой культуре информационной безопасности в конкретной компании, а также об отсутствии качественной защиты от утечек»,— отметил Алексей Раевский. Сейчас, в эпоху больших данных, любая утечка — это мина замедленного действия, нет никаких гарантий, что в будущем она не может быть использована, добавляет он. По словам собеседника “Ъ”, близкого к правоохранительным органам, ставшие публичными файлы Сбербанка показывают, какие системы он использует и как проверяет их исправность. Для узкого круга злоумышленников они могут иметь ценность, поскольку показывают определенные уязвимости системы банка, что может быть использовано при попытке взлома.
Не раз сообщало о сбоях в работе программного обеспечения возглавляемого Германом Грефом кредитного учреждения. Последний крупный сбой в работе сервисов Сбербанка произошел вечером 25 октября, когда перестал функционировать «Сбербанк онлайн», отключились и платежные терминалы.
****
Сотрудники Сбербанка утекли в сеть
Имена и адреса электронной почты примерно 420 тыс сотрудников Сбербанка попали в сеть. Причину утечки в банке не раскрывают, возможный вариант — «злонамеренные действия одного из сотрудников». Глобальными проблемами Сбербанку подобная утечка данных не грозит, хотя его персонал может стать жертвой массовых фишинговых рассылок. В данном случае важнее репутационный риск: клиенты могут усомниться, что банк, не сумевший защитить данные собственных сотрудников, хорошо обеспечивает безопасность другой информации.
На днях на специализированном форуме phreaker.pro была выложена база данных сотрудников Сбербанка. База представляет собой текстовый файл размером около 47 мегабайт, в котором содержится свыше 421 тыс записей с ФИО сотрудников и их логинами для входа в операционную систему, которые в большинстве случаев совпадают с адресами их почты. Также можно узнать, в каком подразделении работает сотрудник. В базе содержатся данные о сотрудниках дочерних организаций Сбербанка, в том числе зарубежных. При этом размер базы превышает численность всех сотрудников группы Сбербанка, которая, согласно данным МСФО по итогам первого полугодия 2018 года, составляла почти 300 тыс. человек. Связано это может быть с тем, что в базе содержатся данные о некоторых (не всех) уволенных сотрудниках. База была выложена неизвестным пользователем. Доступна бесплатно.
Информация в базе актуальна на 1 августа 2018 года (найти сотрудников, трудоустроенных позже, не удается).
Для проверки подлинности данных “Ъ” сравнил адреса электронной почты некоторых непубличных менеджеров Сбербанка с собственной базой данных, есть в базе и три e-mail президента банка Германа Грефа. Подлинность базы также подтвердили один из сотрудников Сбербанка и представитель сторонней организации, связанной с информационной безопасностью банка. В пресс-службе Сбербанка также сообщили, что там известно о публикации части адресной книги сотрудников.
Опубликованная информация «не представляет никакой угрозы автоматизированным системам и клиентам», заверили в банке. Эта адресная книга доступна всем сотрудникам Сбербанка и «не несет угрозы раскрытия их персональных данных», подчеркнули в пресс-службе банка. Причины утечки там не раскрыли. По словам источников “Ъ”, наиболее вероятны «злонамеренные действия» кого-то из действующих или бывших сотрудников. О проблеме доложили Герману Грефу, который уже выразил свое недовольство.
Об утечке данных сотрудников Сбербанка осведомлен также департамент информационной безопасности ЦБ, и там считают ситуацию «малоприятной». Однако подтвердить эту информацию официально, а также выяснить, принимает ли ЦБ в связи с этим какие-либо меры (например, обращался ли в международную организацию FIRST для разделегирования доменов, на которых база выложена), не удалось: в пресс-службе Банка России не ответили на запрос.
По мнению главы управления информбезопасности ОТП-банка Сергея Чернокозинского, для банка с серьезной информационной защитой подобная утечка данных несет в первую очередь репутационные, а не кибернетические риски. «Данные могут быть использованы для массовой рассылки фишинговых писем, рекламы, спама, но серьезные банки с подобными проблемами умеют справляться»,— считает он.
Веб-аналитик «Лаборатории Касперского» Владислав Тушканов отметил, что утечки данных в последнее время происходят достаточно часто, им подвержены и финансовые компании, и здравоохранение, и государственные ведомства. «Для самого предприятия это может быть чревато репутационными потерями, также утечки несут угрозу непосредственно тем, чьи данные попадают в открытый доступ»,— полагает господин Тушканов. По словам управляющего партнера Экспертной группы Veta Ильи Жарского, клиенты банков в таких ситуациях могут беспокоиться за безопасность клиентской информации, однако по факту это обычно никак не влияет на потребителей услуг.
Источник: «Ъ», 29.10.2018