Защита персональной информации клиентов банка: как она работает? / Комментарии / Хабр

10 апреля 2020

Защита персональной информации клиентов банка: как она работает?

Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.

Подробности — под катом

+13

Комментарии 26

sborisov 10 апр 2020 в 17:29

Спасибо. Очень познавательно!

-5

nitrosbase 10 апр 2020 в 19:13

Доступ к данным организован по ролевой модели. То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей.

Это была бы уже не ролевая модель, а атрибутная. С учётом того, что вы пишете далее, тут правильнее было бы написать «типовые задачи», а не «текущая задача».

Возможно, будет интересно: https://en.m.wikipedia.org/wiki/XACML

alexhott 10 апр 2020 в 20:16

Чуть покрупнее бы текст

ZekaVasch 11 апр 2020 в 04:02

Берем кредит в банке.
Данные передаются в спарк. На следующий день все в стране знают ваш телефон и начинают обзвон с предложениями.

grvelvet 11 апр 2020 в 05:36

Судя по многочисленным утечкам — никак.

lostpassword 18 апр 2020 в 08:41

Если бы это было так, все клиенты уже давно бы всех денег лишились.
У вас счёт в банке есть? Часто подобное приходило?

Survtur 12 апр 2020 в 10:14

Почему-то фотография в кружочке Алексея Плешкова — заместителя начальника департамента защиты информации Газпромбанка — навевает на меня безудержную тоску. Оттенки фона добавляют ощущение, что сделана она в «богатом» зале с золотом, канделябрами и коврами.

lostpassword 18 апр 2020 в 08:42

Не хватает бороды, свитера и полуподвального помещения?

gluck59 19 апр 2020 в 20:17

Да и в существование "специалиста по всему" как-то слабо верится.

granvi 18 апр 2020 в 04:09

Все это херня… Все эти сказки про то, что ограничен доступ и все отслеживается и блокируется. Оно только в отчетах для инвесторов присутствует.
В любой организации работают целые департаменты it, котоые, на минуточку разрабатывают ну очень много разного софта и большинство это интеграции с внешними или внутр системами. Как организованы обмены между микросервисами одному богу микросервисов известно. Как работают госконторы, с цифровизацией и нанотехнологиями в воображении их руководства тоже известно. Достаточно посетить оные очно или онлайн.
Откуда эти старые представления о том, что злоумышленник скопирует базу данных на флюшку!? Клюква какая то и профанация.
Зачем злоумышленнику подставлять себя, если он имеет дрступ к вполне себе годным ресурсам для разработки, тестирования и прочим отчетам?
С ростом количества микросервисов в качестве технологий обмена информацией и межсистемными интеграциями растёт степень уязвимости. Это проблема экосистем. Когда вовне стоит заслон а сбоку открыта дверь. Так как никто не проверяет, да и физически не сможет проверить весь зоопарк связей внешних и внутренних. И их количество все множится.
Помножим на качество кода и получим то, что есть.
И винить разработчиков тут нельзя полностью. Да. Они совешают ошибки.
Но ошибки эти от того, что такие как автор и прочий бизнес постоянно куда то скачут. Постоянно все в аврале. Начали одно, бросили, срочно другое надо еще вчера, потом третье и т.д. Про первое уже забыли и отдали на доработку какому нибудь студенту. В итоге получаем дыры, баги и корявый функционал.
Зато мы блокировали usb и скриншоты (бред)

gluck59 19 апр 2020 в 20:18

Не все здесь херня, но частично. Рассчитано на тех, кто не работал в финтехе.

granvi 22 апр 2020 в 17:32

Да все херня. Ещё раз повторюсь.
Никто не в состоянии отследить все интеграционные связи. Эт я только про боевой контур. А есть еще аналитический и девопс… Там как правило, суточные клоны… На которых экспериментируют… Наворачивают какие нибудь модные блокчейны., ага…
И другие типа песочницы. Ясен пень, рядовому клерку просто так не слить данные.
Но инсайдеру какому нибудь…
И чем больше контора, тем больше бесхзных ресурсов типа виртуалок… За которыми никто не следит.
Большинству народа хоть что рассказывай, а они как слали пароли почтой, так и шлют…
Все эти "суперпупер" методы защиты не будут значить ничего, например, в случае слияния банков или интеграций на системном уровне… Дыра на дыре.

gluck59 22 апр 2020 в 21:09

Рядовому клерку может быть и никак, но рядовому прогеру — нефик делать.
Несмотря на 152ФЗ и иже с ним сопоставить базу с базой и таблицу с таблицей и затем накатить на результат ключ расшифровки — тоже нефик делать.
Даже если конкретному прогеру по плану защиты нефик делать вот та том-то серваке — а на нем лежит то, над чем он работает и что должен получать для решения задачи.

Сисадмины еще проще. Пароль от базы — дак он ее недавно бэкапил или восстанавливал. Файлы базы — дак вот они.

Начальник прогеров — ну тут все понятно.
Начальник начальника — он скорее всего не технарь вообще и два запроса не вяжет, но у него есть телефонное право и право формировать/реформировать ИТ-отдел.

А если пожар и его нужно еще вчера потушить — держи доступ и давай быстрее.

Так что да, дыра на дыре.

Tachyon 20 апр 2020 в 07:41

Во-вторых, результаты запроса не «вынести». Все рабочие станции защищены от создания скриншотов и оборудованы системой контроля периферийных портов, которая блокирует подключение любого стороннего устройства и отслеживает копирование на незаблокированные. Данные даже на печать нельзя отправить без разрешения и внешнего контроля.

Как всегда самые изощренные методы защиты абсолютно бесполезны для защиты информации от

действий дурака

Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности.

Людям чьи данные были скомпрометированны вот как то глубоко пох кто это сделал- банк который скопировал их паспорт или подрядчик которому этот банк его отдал. Результат -один, так же как и ''виновный''. И бороться в такой ситуации можно только наказывая всю цепочку одинаково, вне зависимости от того кто виноват.

JerleShannara 20 апр 2020 в 17:08

Между прочим, один из крупных банков вполне себе интересовался «специальной вебкамерой», которая бы автономно определяла, что манагер пытается щёлкнуть мобилой экран и слала предупреждение СБшникам.

Markscheider 20 апр 2020 в 17:55

один из крупных банков вполне себе интересовался «специальной вебкамерой», которая бы автономно определяла, что манагер пытается щёлкнуть мобилой экран и слала предупреждение СБшникам

Уже есть подобные работающие решения. Распознавание образов, бигдата и вот это все. Главное, что требуется — хорошее покрытие офисов внутренними камерами наблюдения в HD. Т.е. задействована не вебкамера на рабочей станции, а внутренняя СВН.

Sap_ru 20 апр 2020 в 15:53

Ну, о степени осведомленности ЦБ и достоверности информации об инцидентах мы можем судить по реакции на последние утечки, когда после утечки данных тысяч клиентов того же Сбера официально было заявлено лишь о компрометации данных 200+ клиентов. Зато вся страна потом получала звонки от мошенников по информации из утекшей базы.

Markscheider 20 апр 2020 в 17:58

То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей. Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт.

То есть сценарий «клиент с паспортом пришел за услугой в другой филиал» вы считаете фантастическим?

Spiritschaser 20 апр 2020 в 19:35

Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами.

Отлично, но почему при этом отказываться от двуфакторной авторизации БЕЗ этих унылых мобильных телефонов? У банкстеров кого-то держат в заложниках и требуют всё привязывать к телефонному номеру??
И да, не обязательно перевыпускать SIM карту — можно поставить рядом с «клиентом» более мощную «базу» MITM

Yuriy_krd 21 апр 2020 в 13:45

Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт.

.
Прям Сбербанк №2 какой-то… Т.е, уехал я из своего региона в поездку, случилась неприятность, и мне не помогут в другом филиале?

man55 22 апр 2020 в 19:43

грустно, но да
история несколько другая, но тем не менее
занесло меня в Крым в 2016
предварительно у местных уточнял, есть ли филиалы, какие особенности, могу ли платить или снимать наличку с карт банка ТОП5
ответы были, что филиалы хотя и есть, снять нет, не сможешь, но переводы без проблем

но проблемы таки возникли, при первой же попытке использовать Интернет-банк карту и счет мне заблокировали
милые сотрудницы банка и колл-центра любезно сообщили, что судя по моему IP, была попытка входа в личный кабинет из Крыма и поэтому я должен явиться лично в отделение банка в родном городе с паспортом

Akon32 11 мая 2020 в 21:44

Мне в подобном случае сильно помог предусмотрительно заведённый VPN-канал в родной город.

gluck59 22 апр 2020 в 21:27

Вы можете никуда не уезжать.
Например Альфа прекрасно умеет самостоятельно менять кодовое слово юзера, в результате чего юзер лишается поддержки (если повезет), или доступа к своим деньгам (если не повезет).

klis 22 апр 2020 в 18:28

Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт.
Где карту открывали, туда и идите?

Tomasina 12 мая 2020 в 18:33

Вот одна из последних ситуаций.
В итоге клиент был просто послан банком в пешее путешествие.
Так что не все описанное в той статье соответствует истине.

-1

AnGord 16 мая 2020 в 06:45

А тут то банк при чем? Пользователь добровольно ввел все данные включая код из смс.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий