В интернет попали личные данные 5 тысяч человек, подававших заявки на кредиты в МТБанк. В свободном доступе на официальном сайте банка оказались паспортные реквизиты граждан, домашние адреса и телефоны, информация о месте работы, суммах доходов, цели заимствования, сведения о близких родственниках — все то, что требуется при заключении договора с клиентом. Банк устранял ошибку несколько часов. Однако информация успела разойтись по сети. И сейчас многочисленные копии можно легко найти в файлообменниках. Поэтому «были доступны» тут не скажешь. Все, что попадает в интернет, даже не слово. Вылетело — не только не поймаешь. Считай, что выложил на всеобщее обозрение навечно. По рунету, например, до сих пор гуляют эсэмэски, «утекшие» с сайта Мегафона. Однако, одно дело, интимное «привет, зайка, как дела?» и совсем другое — персональные данные.
МТБанк называет случившееся «техническим сбоем», который был «максимально оперативно устранен». В заявлении подчеркивается: «Речь идет не о списке клиентов МТБанка, а именно о списке физических лиц, обращавшихся на сайт с заполнением непосредственно на сайте электронных предварительных заявлений. Важно, что данная информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании–подрядчика, предоставляющей услуги хостинга сайта банка». Что стало причиной, как говорится, покажет следствие. Олег Слепченко, официальный представитель управления «К» МВД, прокомментировал:
— Мы окажем содействие в проведении проверки. Наши сотрудники совместно со службой безопасности банка занимаются этим. Но даже по предварительной оценке можно сказать, что ни о какой атаке извне речи не идет. Пока можно лишь предположить, что это пресловутый человеческий фактор...
Программисты, системные администраторы и другие профи в этой сфере уже разбирают этот случай на форумах по косточкам. Тоже стараются понять причины. Как они объясняют, когда подаются заявки через интернет, анкеты, где указываются персональные данные, сохраняются в зашифрованном виде. Где–то здесь, видимо, произошел сбой либо же из–за некорректных настроек официального сайта банка папки стали видны не только изнутри, но и снаружи. Иные удивляются: «Хранение данных в виде файлов на веб–сервере? Так ни один школьник уже лет 10 не делает при создании своей домашней странички». В большинстве случаев выносят вердикт: «Виноваты и банк, и хостинг равнозначно». В любом случае, даже не вдаваясь в технические детали, очевидно одно: утечка произошла с официального сайта. И кто бы там что ни разрабатывал, ответственность за информационную безопасность и конфиденциальность — не важно, клиенты это или те, кто только хотел ими стать, — несет банк. Может быть, неудачно была выбрана компания, предоставляющая услуги хостинга? Может, «сэкономили» на профессиональном системном администраторе? Эти вопросы сегодня актуальны не только для МТБанка. Для любого предприятия. Инцидент лишь обнажил общую проблему.
Олег Слепченко подтверждает:
— На всех мероприятиях, где бывают в том числе и представители банковской сферы, мы постоянно говорим: система безопасности вашей компьютерной сети — это ваша забота, ваше дело. Проверьте, сколько в ней можно найти и открытой, и закрытой информации. А секретные и конфиденциальные документы вообще не должны находиться на компьютере, который подключен к интернету...
Хорошо, если компания понимает, что профессиональный системный администратор — это высокооплачиваемая должность. Он не просто должен перезагрузить зависший у кого–то компьютер или закрыть доступ сотрудникам к соцсетям. По сути, это правая рука руководителя, ведь он имеет доступ абсолютно ко всей документации и информации. Но сегодня, как говорят специалисты по киберпреступлениям, в основном на этих должностях работают малоопытные мальчики и девочки. Другой немаловажный аспект — это понимание самим руководителем вопроса информационной безопасности. Защититься недешево — программное обеспечение стоит от 50.000 долларов. Однако эта сумма вряд ли соизмерима с тем ущербом (и материальным, и имиджевым), который могут нанести не только «взломщики», но и простой человеческий фактор, как в данном случае.
Недооценивают угрозы и сами люди. Вот некоторые интернет–пользователи справедливо возмущаются: зачем нужно было сообщать в Твиттер о доступности этой информации? Почему не подумать о тех людях, чьи данные стали известны всем и каждому? Почему нельзя было сразу позвонить в банк? Пусть для нас такое происшествие — нонсенс. Но в мире достаточное количество примеров. Ведь что такое подобная база в руках преступника? Это полный набор информации и для «домушников», и для вымогателей, и для мошенников. В любой стране за подобный инцидент не только к банку, но и к распространителю в сети гражданин тут же предъявит претензии. Я позвонила нескольким «потерпевшим», поинтересовалась их реакцией. После разъяснения произошедшего (многие были просто не в курсе новости) я получала практически один и тот же комментарий: «Ничего себе! А где это можно посмотреть?» Ни тени беспокойства. Только удивление. Один из собеседников спокойно резюмировал: «Сегодня можно узнать любую информацию о любом человеке, если очень нужно».
Что ж, похоже, пока оценить угрозу мы можем только тогда, когда она уже настигает. Но нежелание учиться на чужих ошибках все же опрометчиво...
