Постоянно получаем угрозы от банков

ЭУП

Постоянно получаем угрозы от банков

Цель темы – изучение базовых понятий комплексного обеспечения информационной безопасности банковских сетей.Задачи темы:В результате изучения темы студенты должны освоить:
  • основы концепции безопасности банка;
  • классификацию угроз информационной безопасности;
  • виды обеспечения информационной безопасности;
  • подходы к обеспечению безопасности банковских систем.

Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.

Под безопасностью банка в целом понимают состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

Обеспечение безопасности является неотъемлемой частью деятельности банка. Концепция безопасности определяет цели и задачи системы безопасности; подходы к ее организации; виды угроз безопасности и ресурсы, подлежащие защите; а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.

Главными целями системы безопасности являются:

  • обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности;
  • защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала;
  • недопущение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной информации, нарушений работы технических средств обеспечения производственной деятельности, включая и средства информатизации.

К основным задачам системы безопасности банка следует отнести:

  • прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам банка;
  • отнесение информации к категории ограниченного доступа (государственной, служебной, банковской, коммерческой тайне, подлежащей защите от неправомерного использования), а информационных ресурсов – к различным уровням уязвимости и подлежащих защите;
  • создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании банка;
  • эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности.

Рассмотренные цели и задачи системы безопасности банка определяют и концепцию комплексной защиты информационной банковской сети. А именно, в настоящее время на первый план выходит задача создания комплексной сис темы управления информационной безопасностью, которая охватывает всю инфраструктуру компании и, независимо от сложности и масштаба информационной системы, позволяет:

  • централизованно и оперативно оказывать управляющие воздействия на всю информационную инфраструктуру;
  • проводить регулярный аудит и всеохватывающий мониторинг, дающие объективную информацию о состоянии информационной безопасности для принятия оперативных решений;
  • накапливать статистические данные о работе информационной инфраструк туры для прогнозирования ее развития.

6.2. Объекты банковской безопасности

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

  • персонал (руководящие работники, производственный и обслуживающий персонал, работники бухгалтерии, осведомленные о сведениях, составляющих банковскую и коммерческую тайну, и др.);
  • финансовые и материальные средства;
  • сведения, составляющие служебную, банковскую и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение;
  • средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы).

В рамках данной темы целесообразно подробно рассмотреть такой объект безопасности как информация.

6.2.1. Информация как объект банковской безопасности

Информация по Федеральному закону “Об информации, информатизации и защите информации” определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Согласно этому закону информация бывает как документированная (документ), так и в виде информационных ресурсов – отдельные документы, отдельные массивы документов, документы и массивы документов в информационных системах.

В свою очередь информация бывает открытой и ограниченного использования. Последняя подразделяется на государственную тайну и на конфиденциальную информацию. Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Информационные ресурсы являются объектами отношений физических, юридических лиц, государства.

Правовой режим информационных ресурсов определяется нормами права владения, права пользования и права распоряжения, устанавливающими:

  • порядок документирования информации;
  • право собственности;
  • категорию информации по уровню доступа к ней;
  • порядок правовой защиты.

При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним.

Конфиденциальная информация в силу закона. Федеральный закон “Об информации, информатизации и защите информации” (ст. 11) напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Гражданский кодекс Российской Федерации (ст.

857) вводит понятие “банковская тайна”, а Закон РСФСР “О банках и банковской деятельности в РСФСР” ограничивает доступ к этим сведениям и определяет круг лиц, допущенных к ним (ст. 25). Федеральный закон “О связи” (ст.

32) на основании Конституции Российской Федерации дает понятие “тайна связи” и определяет круг лиц, допущенных к ней и обеспечивающих ее соблюдение.

Конфиденциальная информация по признакам. Не ко всяким сведениям, составляющим тайну, в силу их неопределенности применима прямая норма. Иногда законодательно возможно определить только признаки, которым должны удовлетворять эти сведения.

Признаками, определенными законом, можно считать такие неотъемлемые свойства информации, которые непосредственно указаны в законе, присущи сведениям, составляющим тайну, и совокупность которых позволяет однозначно определить объект правовых отношений. Так, Гражданским кодексом Российской Федерации (ст.

139) определяются признаки служебной и коммерческой тайны как особого объекта гражданских прав, а также предусматриваются основания и формы их защиты. Коммерческая и служебная тайна в качестве объекта гражданского права обладает тремя признаками:

  • соответствующая информация неизвестна третьим лицам;
  • к ней нет свободного доступа на законном основании;
  • собственник информации принимает меры обеспечения ее конфиденциальности.

Федеральный закон “Об информации, информатизации и защите информации” регулирует взаимоотношения в информационной сфере только при обращении с документированной информацией: “Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать”.

Источник: //eos.ibi.spb.ru/umk/5_14/5/5_R0_T6.html

Уязвимости онлайн-банков: подводим итоги анализа

Постоянно получаем угрозы от банков

Данный аналитический отчет основан на статистике, полученной экспертами Positive Technologies в 2018 году в ходе работ по анализу защищенности веб-приложений для дистанционного банковского обслуживания (онлайн-банков). Исследование направлено на демонстрацию наиболее распространенных проблем безопасности онлайн-банков и сравнение уровня защищенности таких систем с уровнем 2017 года.

Сделанные выводы могут не отражать актуальное состояние защищенности информационных систем в других организациях. Анализ проведен с целью обратить внимание специалистов по ИБ в финансовой отрасли на наиболее актуальные проблемы и помочь им своевременно выявить и устранить уязвимости.

Резюме

Большинство онлайн-банков содержат критически опасные уязвимости. Как следствие, низкий или крайне низкий уровень защищенности имеют 61% исследованных онлайн-банков.

Все онлайн-банки под угрозой. В каждом исследованном онлайн-банке обнаружены уязвимости, которые могут привести к серьезным последствиям. Например, в 54% приложений возможны проведение мошеннических операций и кража денежных средств.

Механизмы двухфакторной аутентификации недостаточно надежны. Недостатки реализации таких механизмов обнаружены в 77% онлайн-банков.

Покупные решения менее уязвимы. В среднем решения, предлагаемые вендорами, содержат в 3 раза меньше уязвимостей, чем системы, разработанные банками самостоятельно.

Продуктивные системы так же уязвимы, как и тестовые. Оба типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость.

Тенденции

Уверенное сокращение доли уязвимостей высокого уровня риска. В 2016 году для онлайн-банков этот показатель достигал 36%, в 2017 он снизился до 32%. В 2018 году доля критически опасных уязвимостей составляет лишь 15%.

Теряет свою актуальность критически опасная уязвимость «Недостаточная аутентификация».

Доля онлайн-банков, в которых можно совершать важные действия без ввода учетных данных, уменьшалась с каждым годом, и в 2018 году мы наконец не зафиксировали ни одного приложения, где оставалась бы данная проблема.

Однако по-прежнему во многих системах операции повышенной важности совершаются без дополнительного (второго) фактора аутентификации.

Личная информация клиентов и банковская тайна под угрозой в каждом исследованном онлайн-банке. Из года в год мы наблюдаем рост доли систем, в которых есть риск несанкционированного доступа к личным данным клиентов и банковской тайне. В 2018 году этот показатель достиг предельного значения: все исследованные онлайн-банки оказались подвержены указанной угрозе.

Общая статистика

В каждом онлайн-банке есть угроза несанкционированного доступа к личной информации клиентов и банковской тайне, а в 54% онлайн-банков возможны мошеннические операции и кража денежных средств

Корректно реализуйте протокол OAuth2. Придерживайтесь общих рекомендаций по безопасности RFC 6749. Для защиты от подмены значения redirect_uri используйте белые списки

Несанкционированный доступ к личной информации клиентов, а в некоторых случаях — и к банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, — может быть получен в результате эксплуатации множества различных уязвимостей. Каждый исследованный в 2018 году онлайн-банк содержал хотя бы одну уязвимость, приводящую к таким последствиям.

В частности, угроза актуальна для приложений, в которых существуют недостатки механизмов аутентификации и авторизации. Например, разработчики онлайн-банков нередко допускают ошибки при реализации технологии единого входа (single sign-on, SSO) на базе протокола OAuth2, что может привести к передаче учетных данных по незащищенному протоколу и перехвату сессии злоумышленником.

Рисунок 1. Возможные последствия атак на онлайн-банки (доля приложений)

Введите минимально допустимую сумму денежных средств при конвертации валюты. Тщательно проверяйте формулу расчета итоговой суммы

Мошеннические операции и кража денежных средств чаще всего возможны из-за ошибок в логике работы онлайн-банка.

Например, многократное повторение так называемых атак на округление суммы денежных средств при конвертации валюты может привести к ощутимым для банка финансовым потерям.

Уязвимость широко известна и существует из-за погрешности в округлении при конвертации из одной валюты в другую и обратно.

Не используйте сериализованные объекты при передаче в параметрах, которые могут быть легко подделаны злоумышленником, либо используйте цифровую подпись таких объектов с проверкой на серверной стороне

Наряду с критически опасными уязвимостями (например, такими как «Выполнение произвольного кода» или «Десериализация недоверенных данных») наши специалисты в некоторых случаях выявляли на сервере онлайн-банка интерфейс с адресом внутренней сети банка; зная этот адрес, злоумышленник может развивать атаки на корпоративную инфраструктуру.

61% онлайн-банков имеет низкий или крайне низкий уровень защищенности

Рисунок 2. Уровень защищенности онлайн-банков (доля систем)

Доля критически опасных уязвимостей сократилась более чем в два раза по сравнению с 2017 годом

Рисунок 3. Доли уязвимостей различного уровня риска

Среднее число уязвимостей в одном онлайн-банке выросло почти в два раза по сравнению с 2017 годом, однако среднее число критически опасных уязвимостей в одной системе практически не изменилось

Рисунок 4. Среднее число уязвимостей в одном онлайн-банке

Используйте механизм OTP для всех критически важных действий в системе. Одноразовые пароли должны иметь ограниченный срок жизни (не более 2 минут) и быть привязаны к выполняемой операции с помощью дополнительного случайного параметра, соответствующего идентификатору операции

Остановимся подробно на некоторых уязвимостях, которые были обнаружены нашими экспертами. В 2018 году ни в одном исследованном онлайн-банке не была выявлена уязвимость «Недостаточная аутентификация», а «Недостаточная авторизация» встречалась гораздо реже, чем годом ранее.

На первое место вышли ошибки в реализации механизмов двухфакторной аутентификации. Например, в некоторых онлайн-банках не применяются одноразовые пароли (one-time password, OTP) для критически важных действий (аутентификация, смена учетных данных и др.) или пароли имеют слишком большой срок действия.

На наш взгляд, это связано с тем, что банки стремятся найти баланс между безопасностью и удобством использования, ведь необходимость много раз вводить одноразовые пароли в течение одного сеанса работы может вызывать недовольство у пользователей.

Например, благодаря удобству применения и возможности сэкономить на SMS-сообщениях для OTP в системах ДБО сегодня часто используют механизмы адаптивной аутентификации, в частности риск-ориентированную модель аутентификации (risk-based authentication).

В то же время отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. Так, если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора.

В 2018 году до 31% выросла (с 6% в 2017 году) доля атак, в результате которых злоумышленник может повлиять на бизнес-логику системы. Вероятно, это связано с ростом числа уязвимостей в коде приложений, разработанных банками самостоятельно. Как будет показано далее (рис. 11), в 2018 году доля таких уязвимостей достигла 59%, в то время как в прошлом году она составляла 39%.

Рисунок 5. Самые распространенные уязвимости онлайн-банков (доля систем)

Если в приложении не используется механизм HSTS, а параметры cookie не защищены флагами Secure и SameSite, злоумышленник может перехватить идентификатор сессии пользователя и получить доступ к его личному кабинету и банковской тайне

Для защиты от перехвата чувствительных данных и атак на пользователей современные браузеры поддерживают ряд механизмов, в частности:

  • HTTP Strict Transport Security (HSTS) — механизм принудительного соединения посредством защищенного протокола HTTPS. За активацию механизма отвечает заголовок Strict-Transport-Security в HTTP-ответе сервера;
  • HTTP Public Key Pinning (HPKP) — технология привязки публичного ключа, запрещающая подключаться к веб-серверу, если злоумышленник подменил SSLсертификат. За активацию механизма отвечает заголовок Public-Key-Pins;
  • Content Security Policy, CSP — механизм обеспечения безопасности, направленный на защиту от атак с внедрением контента, например от «Межсайтового выполнения сценариев». Механизм активируется заголовком Content-Security-Policy;
  • X-Content-Type-Options — заголовок, предназначенный для защиты браузера пользователя от атак с использованием подмены типа передаваемого контента MIME;
  • X-Frame-Options — заголовок, который позволяет защититься от атак типа «Кликджекинг» (Clickjacking).

Флаг Secure определяет необходимость передачи cookie только по защищенному протоколу HTTPS. Отсутствие флага создает угрозу перехвата cookie. Устранить проблему можно установив значение true для свойства requireSSL. Использование атрибута SameSite в режиме Strict не позволит передавать cookie на сторонние ресурсы и обеспечит защиту от атак типа «Подделка межсайтового запроса»

Передавайте заголовки PublicKey-Pins и Strict-Transport-Security. Запрещайте пользователям онлайн-банков использовать устаревшие версии браузеров, а также браузеры, в которых есть возможность продолжить работу в случае подделки сертификата

Рисунок 6. Доля приложений, в которых не установлены соответствующие заголовки сервера

Сравнение приложений собственной разработки и поставляемых вендорами

Рисунок 7. Типы онлайн-банков

Системы ДБО, разработанные банками самостоятельно, более уязвимы, чем готовые решения

Среднее число уязвимостей в приложениях собственной разработки в 3 раза больше, чем в системах, предлагаемых вендорами

Рисунок 8. Среднее количество уязвимостей в одном приложении Рисунок 9. Доли уязвимостей различного уровня риска

Все выявленные уязвимости мы разделили на три группы:

  • уязвимости в коде веб-приложения (ошибки, которые допустил программист при разработке);
  • ошибки реализации механизмов защиты (в отличие от уязвимостей в коде — появляются в системе еще на этапе проектирования);
  • недостатки конфигурации.

К первой группе относятся, например, «Межсайтовое выполнение сценариев» и «Внедрение SQL-кода».

«Недостаточная защита от подбора учетных данных», «Недостаточная авторизация» — это примеры уязвимостей в механизмах защиты.

К числу наиболее распространенных уязвимостей конфигурации относятся раскрытие чувствительных данных в сообщениях об ошибках и версий используемого ПО в заголовках ответов веб-сервера.

Большинство уязвимостей — как в готовых решениях, так и в собственных разработках банков — относятся к уязвимостям кода веб-приложений, но если вендоры чаще допускают ошибки на этапе проектирования, то в собственных решениях банков уязвимости закладываются непосредственно на этапе написания кода.

Подавляющее большинство 12 уязвимостей как у вендоров, так и в собственных разработках относятся к уязвимостям кода

Рисунок 10. Среднее число уязвимостей в одном приложении

Компании — разработчики систем ДБО сосредоточены на реализации функциональных возможностей больше, чем на безопасности. Как следствие, 75% уязвимостей в покупных решениях связаны с недостатками механизмов защиты

Рисунок 11. Доли уязвимостей разных типов

Сравнение продуктивных и тестовых приложений

Рисунок 12. Доли продуктивных и тестовых систем

В одной продуктивной системе содержится примерно столько же критически опасных уязвимостей, сколько в одной тестовой

Проводите регулярный анализ защищенности веб-приложений для ДБО на каждом этапе развития продукта. Не стоит забывать, что доступ к исходному коду (тестирование методом белого ящика) повышает эффективность анализа

После тестирования защищенности приложения и устранения всех выявленных уязвимостей проходит время, и возникает необходимость модифицировать или оптимизировать веб-приложение, добавить новые функции.

Небольшие изменения в коде, казалось бы, не могут кардинальным образом повлиять на безопасность, поэтому проверки сводятся к функциональному тестированию новых возможностей, а повторный анализ защищенности при этом не проводится.

Со временем в продуктивной системе неминуемо появляется значительное число уязвимостей, подчас сопоставимое с тем, которое было обнаружено при первичном тестировании защищенности.

Рисунок 13. Среднее количество уязвимостей в одном приложении Рисунок 14. Доли уязвимостей различного уровня риска Рисунок 15. Среднее число уязвимостей в одном приложении

Выводы

Главной позитивной тенденцией в безопасности финансовых приложений в 2018 году стало сокращение доли уязвимостей высокого уровня риска. Однако уровень защищенности онлайн-банков остается низким.

Без сомнения, одно из серьезнейших последствий атаки на онлайн-банк — кража денежных средств. В 2018 году такая угроза отмечалась в 54% онлайн-банков.

Угроза несанкционированного доступа к информации клиентов и банковской тайне оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку до проникновения в корпоративную инфраструктуру.

Покупные решения для онлайн-банкинга в целом имеют более высокий уровень защищенности, чем приложения, разработанные банками самостоятельно, однако компании-разработчики чаще допускают ошибки в механизмах защиты, сосредоточиваясь на функциональных возможностях своих продуктов.

Изменения, которые вносятся в код, при отсутствии повторной проверки на наличие уязвимостей приводят к тому, что продуктивные системы не менее уязвимы, чем тестовые. Это говорит о необходимости выстраивать процессы безопасности на каждом этапе жизненного цикла онлайн-банка.

Методика разработки безопасного программного обеспечения (SSDLC) позволяет избежать множества ошибок, но не исключает необходимости систематически проводить анализ защищенности веб-приложений. Наиболее эффективным методом проверки является метод белого ящика, подразумевающий анализ исходного кода.

В качестве превентивной меры рекомендуется использовать межсетевой экран уровня приложений (web application firewall) для предотвращения эксплуатации уязвимостей, возникающих при внесении изменений в программный код.

Источник: //www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/

Кому с 1 октября станет сложнее получить кредит в банке | Финансы и инвестиции

Постоянно получаем угрозы от банков

Банк России этой мерой хочет охладить рост необеспеченного потребкредитования, в первую очередь снижая интерес банков к выдаче кредитов рисковым заемщикам с высоким уровнем ПДН.

По словам главы ЦБ Эльвиры Набиуллиной, введение ПДН – это жесткая мера, но она необходима, чтобы граждане не попали в кредитную кабалу на фоне стагнации доходов.

В прошлом году темпы кредитования населения достигли 22%, общий долг россиян достиг рекордных 14,9 трлн рублей. За первый квартал 2019 года объем задолженности вырос еще на 4%, до 15,5 трлн рублей. При этом доля выданных кредитов с ПДН выше 80% составила около 10%.

Как будут считать ПДН

Чтобы оценивать долговую нагрузку клиента, банк должен будет запросить информацию о всех существующих кредитах и займах клиента из бюро кредитных историй, а также включить в расчет сумму среднемесячного платежа по вновь выдаваемому кредиту. Этот показатель нужно будет соотнести с ежемесячным доходом клиента. Рассчитать ПДН банк обязан не позже пяти дней после получения данных. В перспективе этим могут заняться квалифицированные бюро кредитных историй.

Для подтверждения доходов клиенту понадобится справка с места работы или справка с зарплатного счета, поясняет начальник управления анализа рисков департамента розничных рисков Промсвязьбанка Павел Акимов. Также у заемщика могут попросить дополнительные подтверждения о доходах, например выписку из Пенсионного фонда.

Рост отказов

Из-за расчета ПДН некоторые банки могут ужесточить условия выдачи кредитов, и число отказов в предоставлении кредитов вырастет, говорят эксперты и представители топ-20 банков по розничному кредитному портфелю, опрошенные Forbes.

Кредиты с высоким ПДН будут давить на капитал банка, так что те кредитные организации, которые не смогут себе этого позволить, могут сократить выдачу кредитов.

В этом случае проблемы с получением кредитов возникнут в первую очередь у людей с высокой долговой нагрузкой, поясняет генеральный директор Frank RG Юрий Грибанов.

Это люди, у которых уже есть кредиты, и те, кто получает «серую зарплату».

Как правило, банки считают, что клиент сильно закредитован, если более половины его среднемесячного дохода идет на обслуживание уже имеющихся кредитов, поясняет младший директор по банковским рейтингам «Эксперт РА» Вячеслав Путиловский. С 1 октября получить дополнительные кредиты таким клиентам станет еще сложнее, говорит он.

Так, при новой системе при ПДН выше 50% клиенту банка Home Credit в кредите, скорее всего, будет отказано, сообщили Forbes в банке.

В ВТБ заявили, что число отказов вырастет, но критический уровень нагрузки не уточнили.

В Русфинанс Банке планируют ограничить долю заемщиков, для которых значение показателя по расчету долговой нагрузки превышает 80%, рассказала Forbes директор департамента рисков банка Любовь Бурмистрова.

Директор департамента кредитных рисков «Ренессанс Кредит» Григорий Шабашкевич сообщил Forbes, что в банке планируют определять границу ПДН, при которой банк будет отказывать или снижать сумму кредита, исходя из финансовой модели кредитного продукта. «Это не обязательно будет уровень в 50%», — указывает Шабашкевич.

В банке «Открытие» нововведение может снизить долю одобрений на 2-4%, оценивает член правления банка Ирина Кремлева. «Мы планируем не снижение числа выдаваемых кредитов, а переориентацию из более высокорискованных сегментов в менее рискованные», — уточнила она.

Дороже и длиннее

Григорий Шабашкевич предупреждает, что расчет ПДН также будет влиять на сумму кредита, которую банк сможем предложить клиенту. Если показатель будет слишком высоким для запрошенной суммы кредита, то сумму могут снизить.

После введения ПДН банки станут активнее предлагать клиентам длинные кредиты либо удлинение сроков уже действующих кредитов, считает руководитель направления банковских рейтингов агентства НКР Михаил Доронкин.

«Банки уже сейчас выдают необеспеченные потребкредиты сроком до пяти-семи лет, чего в прошлые годы не наблюдалось.

Удлинение срока кредита позволяет уменьшить размер ежемесячного платежа и тем самым снизить долговую нагрузку заемщика», — объясняет Доронкин.

Для этой же цели банки будут предлагать рефинансирование и реструктурирование, считает аналитик. О подобной услуге Forbes сообщили, в частности, в ВТБ. «Мы не считаем, что какой-либо уровень станет для банка заградительным. В ВТБ давно существуют программы реструктуризации, которыми могут воспользоваться клиенты с высоким показателем долговой нагрузки», — указали в банке.

Введение ПДН также может привести к удорожанию кредитов, предполагает Юрий Грибанов. «Нельзя исключать, что банки повысят ставки по кредитам для заёмщиков с высокой долговой нагрузкой в качестве ответа на то, что эти заемщики теперь рассматриваются как более рисковые. Вряд ли это будет существенное увеличение, но на пару процентных пунктов — вполне возможно», — соглашается Михаил Доронкин.

Некоторые банки ничего в своей кредитной политике менять не планируют. Об этом Forbes сообщили, в частности, в Альфа-Банке, Промсвязьбанке и Citi. «Высокорисковые клиенты и ранее не получали кредиты в Альфа-Банке», — заявил руководитель департамента по управлению рисками банка Андрей Гулецкий.

Советы

В связи с новыми ограничениями опрошенные Forbes эксперты и финансисты рекомендуют потенциальных заемщикам максимально «обелять» свои доходы, настаивать на выплате официальной зарплаты.

«Тем, чьи доходы скрыты, будет сложнее доказать банку свою кредитоспособность.

А чем понятнее для банка будет заемщик, тем больше у него шансов получить кредит в принципе или хорошую ставку по нему», — объясняет Юрий Грибанов.

Также они советуют более обдуманно оценивать свою кредитную нагрузку тем, кому банк предлагает длинный кредит, реструктуризацию или рефинансирование. «Долговая нагрузка человека в таком случае как бы «размазывается» по времени, но принципиально его финансовое положение в среднесрочной перспективе от такого механизма не улучшается, об этом нужно помнить», — говорит Михаил Доронкин.

Чтобы облегчить процесс получения кредита, в самих банках советуют либо заранее заказывать справку о доходах, либо обзавестись учетной записью на портале госуслуг. «В этом случае получение справок и выписок значительно упрощается и происходит практически мгновенно», — поясняет Григорий Шабашкевич.

Самые надежные российские банки по версии Forbes

Источник: //www.forbes.ru/finansy-i-investicii/384519-komu-s-1-oktyabrya-stanet-slozhnee-poluchit-kredit-v-banke

Из банков постоянно утекают данные клиентов. Стоит ли паниковать и можно ли защититься от мошенников? Объясняют эксперты по защите от утечек информации

Постоянно получаем угрозы от банков

24 октября «Коммерсант» сообщил, что на черном рынке продаются персональные данные клиентов Сбербанка.

По информации издания, база содержит порядка миллиона строк с полными данными клиентов — паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка и записи последних разговоров звонков клиентов в колл-центр банка.

В пресс-службе банка заявили, что таких утечек данных в банке не было. В начале октября уже сообщалось о возможной утечке данных 60 миллионов кредитных карт клиентов Сбербанка. В банке признали утечку данных только пяти тысяч клиентов.

При этом в интернете свободно продается банковская информация многих россиян. «Медуза» попросила специалистов по борьбе с утечками рассказать, стоит ли их бояться, как защититься и почему банки не делают больше для защиты данных своих клиентов.

Ашот Оганесян

Основатель компании DeviceLock — разработчика систем борьбы с утечками данных

Утечки данных из банков, наверное, уже рутина, но крупные — все-таки что-то экстраординарное. Например, очень редко, когда утечки комментирует первое лицо банка. Обычно все или заминается и банки полностью отрицают утечку, или все ограничивается сообщением пресс-службы, что они перед всеми извинились и все в порядке.

У людей со стороны по фильмам может сложиться впечатление, что утечки данных из банков происходят из-за хакеров, но на самом деле никаких хакеров обычно нет — практически всегда это человеческий фактор. Тот же Сбербанк именно поэтому часто мелькает в новостях об утечках.

На это есть объективные причины — это огромный банк, у которого очень много отделений в регионах, где у людей небольшие зарплаты и их очень просто коррумпировать. Там люди готовы идти на преступления за небольшие деньги. Очень часто причина утечек — это низовой персонал.

На черном рынке есть самые разные базы данных клиентов банков. Самые ценные, которые стоят дороже всего, содержат все данные о человеке и какую-то конкретную информацию о его счете — например, остаток средств. Еще круче, когда в базе есть номер счета и номер карты. В целом, чем больше в базе информации, тем больше на нее спрос со стороны мошенников.

Но чаще встречаются базы, где есть данные человека, его номер телефона и название банка, которым он пользуется. Больше никакой банковской информации в них нет.

Поэтому, скорее всего, такие базы утекают не из банков — многие теневые группы давно написали специальные боты, которые через банковские сервисы для перевода средств по номеру телефона, могут определить, является ли человек клиентом этого банка.

Подобные базы данных у перекупщиков стоят относительно дешево, потому что не предоставляют точечной информации.

Здесь не идет речь о «пробиве» конкретного человека в банке — такая услуга может стоить от тысячи до 10 тысяч рублей.

А данные из подобных баз с утечками покупаются массово — например, некоторые продавцы не продают информацию менее чем о тысяче человек из базы. Информация об одном клиенте банка может стоить 30-50 рублей.

После того, как база данных от перекупщиков попадает к мошенникам, они занимаются социальной инженерией.

Например, используя подмену телефонного номера, звонят клиентам, представляются сотрудниками банка и говорят, что со счетом происходит что-то странное.

Мошенники говорят, как вас зовут, называют номер счета и остаток на карте. Пытаются полностью войти в доверие, чтобы получить от вас недостающую им информацию и снять ваши деньги.

Для клиентов угроза подобных утечек понятна, но создается впечатление, что сами банки не особо их боятся. Они делают вид, что подобного вообще не существует. Скандалы им не нужны.

При этом у банков есть техническая возможность пресекать утечки — у них есть специальные технические системы защиты. Они используются на рабочих компьютерах сотрудников и пропускают через себя всю информацию пользователей. Например, по своим служебным обязанностям человек может пересылать документы по служебной почте внутри компании.

При попытке скопировать что-либо наружу система начинает проверку пересылаемых данных и в случае чего-то подозрительного может запретить такую операцию, а также послать информацию о ней в службу безопасности. На Западе банки работают именно по такому пути — все подобные операции запрещаются.

Это помогает защититься прежде всего от случайных утечек — например, когда письмо случайно пересылается не тому человеку. У нас же банки зачастую борются с подобным постфактум. У них системы работают в режиме мониторинга — записывают все действия, но ничего не блокируют. То есть в таком режиме вахтера — если что-то случится, то мы узнаем, как произошла утечка.

Такой выбор объясняют тем, что банки не хотят нарушать бизнес-процессы. При этом если утечка произошла, то данные из интернета уже не удалить. Практически никогда уже ничего не сделать.

Если вы — клиент банка, в котором произошла утечка, то вы, например, можете попытаться подать на банк в суд. Больше сделать ничего нельзя. Только быть постоянно на стреме — если вам звонят и представляются сотрудниками банка, то просто вешайте трубку и перезванивайте в банк сами. Так вы гарантированно будете разговаривать с банком.

В целом нужно понимать, что злоумышленники могут обмануть любые самые сложные технические системы защиты. Поэтому основной вопрос в борьбе с утечками — это наказание за них. И тут просто пропасть между ситуациями в России и на Западе.

Сотрудники салонов операторов сотовой связи или банков, которые сливают данные, получают штрафы и максимум условный срок. Для юридических лиц штрафы и вовсе те же 5-75 тысяч рублей. Для банка такие суммы довольно смешны. А на Западе наказание вплоть до процента от оборота.

И такое наказание опосредованно заставляет усиливать контроль за данными. Никто не хочет лишаться процентов от миллиардного оборота.

При этом у банков не так много утечек, как в других отраслях — у них очень много денег и они самые защищенные. Просто у них много очень ценной информации и про них любят писать СМИ.

Но никто не обращает внимание на утечки баз каких-нибудь салонов красоты или медицинских центров. Там базы данных хранятся непонятно как и сливаются каждый день. Информация оттуда ходит по интернету бесконтрольно.

Такие базы даже никто не считает.

Алексей Раевский

Основатель компании Zecurion — разработчика системы защиты от утечек данных

В России закон о персональных данных построен так, что тем, кто допускает утечки данных, практически ничего не бывает. Никто не проводит тщательные расследования, как на Западе, никто не выплачивает многомиллионные штрафы. Все платят небольшие штрафы и просто живут дальше.

Поэтому в крупных банках, репутации которых трудно навредить утечкой, есть отделы информационной безопасности, но это не является приоритетом в их деятельности. Им не выделяется достаточного количества средств и так далее.

Сами понимаете, если приходит к руководству банка технический директор и просит 100 миллионов на борьбу с утечками, за которые могут оштрафовать только на 75 тысяч рублей, ему их никто не даст. Недостаточная законодательная ответственность — основная проблема.

Кроме того, защита от утечек не является конкурентным преимуществом — в принципе утечки бывают у всех, нельзя на 100 процентов защитить информацию от кражи. Такого не бывает.

Из банков пытаются украсть все, потому что у любой подобной информации есть своя цена на черном рынке. И чем больше удалось вынести, тем больше на этом можно заработать. Если что-то плохо лежит, это выносят и пытаются куда-то пристроить. Крадут все до чего можно дотянуться — вплоть до истории операции по счетам, кодовых слов и всего остального.

Получить подобную базу данных — только первый шаг для мошенников. Нужно сделать еще 10-15 шагов, чтобы их монетизировать. Например, нужно прозванивать клиентов и представляться сотрудниками банков, обналичить средства. А потенциальные доходы в таких схемах не очень высокие. Чтобы получить условные 10 тысяч рублей, нужно прозвонить 100-200 человек.

Когда данные уже утекли, банк в принципе должен связаться с этими клиентами, сообщить о проблеме и предупредить, что с ними могут связаться мошенники. Такое предупреждение уже многое бы решило, но насколько мне известно наши банки этим не занимаются. Сам же клиент может только быть осторожнее и внимательнее, если увидел новости о своем банке. И понимать, что ему могут позвонить мошенники.

Источник: //meduza.io/feature/2019/10/24/iz-bankov-postoyanno-utekayut-dannye-klientov-stoit-li-panikovat-i-mozhno-li-zaschititsya-ot-moshennikov

1000 и 1 звонок коллектора, или Страшные сказки про долги – чужие и несуществующие

Постоянно получаем угрозы от банков

Ни в коем случае не призываем вступать в ряды сообщества “долги платят только трусы” – в цивилизованном мире принято возвращать долги. Речь о том, когда ими, или даже без них, пытаются нагло шантажировать.

В Украине после “банкопада” 2013-2017 годов, когда с рынка так или иначе ушли 96 банковских учреждений, образовался целый сегмент экономики так называемого внесудебного урегулирования безнадежной кредитной задолженности. А проще говоря, появился новый вид бизнеса – по “выбиванию” долгов.

Согласно положению НБУ «О выведении неплатежеспособных банков с рынка», банк имеет право обратиться к третьим лицам – коллекторам, чтобы получить услуги по взысканию задолженности, освободив тем самым свои балансы от “токсичного” бремени.

Более того, НБУ с 2016 года ужесточил требования к резервированию проблемных кредитов до 100% выданного кредита. Поэтому банки активно проводят детальный анализ клиентской базы, чтобы выявить проблемных должников и сформировать кредитные портфели для продажи их коллекторам.

Пользуются услугами коллекторов также сервисные компании, имеющие тысячи договоров на обслуживание, и задолженность клиентов также. Таким образом в последние годы в руки коллекторов перешли права требования на сотни миллионов гривень.

Правда, не имея особого контроля со стороны государства, распоряжаются они этим правом иногда слишком специфически – не гнушаясь грязными методами и даже мошенничеством. Например, выдумывают “левые” поручительства, о которых человек ни сном, ни духом, “рисуют” овердрафты, штрафы, пени, проценты, которые в голову не придут. Как с этим бороться – читайте далее.

Жизнь в условиях света и тени

Практика продажи безнадежных долгов специализированным компаниям – довольно распространенное в мире явление. Используется она преимущественно в банковском секторе и в ситуации, когда процесс взыскания долга становится проблематичным и связанным с длительными и дорогостоящими процедурами.

Единственная законная функция коллекторов – это письменно напоминать должникам об остатке долга (а в случае неуплаты передавать дела в суд, чтобы получить долги государственными или частными судебными исполнителями). Но многие из коллекторов переступают эту грань.

В отсутствие специального закона о регулировании коллекторской деятельности (сейчас коллекторы действуют на основе Гражданского, Хозяйственного кодекса, Законов Украины «О банках и банковской деятельности» и «О финансовых услугах»), 20-30% этого рынка, по разным оценкам, находятся в тени.

Поэтому можем слышать следующие истории.

Павел Т., киевлянин:

“Лет двадцать назад, я, как физическое лицо-предприниматель, имел открытый счет в банке “Финансы и Кредит”.

Потом прекратил работать в статусе ФЛП, счет обнулил, считая, что банк его автоматически закроет за отсутствием движения средств (по Гражданскому Кодексу, если в течение трех лет подряд на счете отсутствует остаток денежных средств и не осуществляются операции по счету. — Авт.). В 2015 году, как известно, банк обанкротился.

И вот, начиная с прошлого года мне регулярно стали звонить лица, которые представлялись сотрудниками финансовой компании “Кредит-капитал”, и требовать уплатить какой-то долг – 400 гривен, который возник то как плата за обслуживание счета, то как овердрафт по карте – на том конце провода никак не могут определиться.

Во-первых, никакого долга по этому счету я не признаю принципиально, а карточки у меня вообще никогда не было. Во-вторых, кто эти грубияны, которые на мою просьбу предоставить свои претензии в виде официального письма каждый раз или бросают трубку, или угрожают – прислать «специалистов», «опозорить перед детьми» и т. д.?”

Валерия Н., одесситка:

“Моя история с преследованиями со стороны коллекторов продолжается уже несколько месяцев. Я работаю завучем в школе. Одна из бывших коллег, которая уже несколько лет как рассчиталась, оказывается, когда-то давно брала кредит в кредитном союзе “Просто деньги”. Не рассчиталась.

Коллекторы, которые представляются от имени этого союза, сначала поинтересовались, работал ли у нас такой человек, и получив подтверждение, теперь постоянно звонят на мой рабочий номер с требованием вернуть долг за коллегу – поскольку я, как оказалось, выступаю поручителем по ее кредиту.

О чем я вообще даже не догадывалась!”

Кстати, давление через родственников, коллег, знакомых, а также приписывание им роли “поручителей” – очень распространенный метод психологического воздействия со стороны коллекторов. Подобная ситуация произошла с директором столичной СШ №148 Сергеем Горбачевым, когда от него требовали повлиять на учительницу, чтобы та оплатила долги сына.

В 2017 году странное письмо от коллекторов из компании Примоколлект получил также преподаватель Школы журналистики УКУ Отар Довженко. С печатью и подписью, распечатанными на цветном принтере. В письме значилось, что в 2014 году он взял кредит в 25 тысяч гривен в Дельтабанке. Со штрафами и процентами долг увеличился до 44 тысяч.

«В Дельтабанке мне показали копию документов человека, взявшего кредит. Но это был не я – совпадали имя и фамилия, но прописан этот человек был в другом месте, и, конечно, имел совсем другую внешность.

Я сфотографировал все документы и радостно направил коллекторам письмо с доказательствами, что речь идет не про меня, а про другого должника. А получил в ответ копию обращения в полицию с требованием возбудить против меня уголовное дело. Без подписей.

Если мне продолжат писать письма, придется пойти в полицию и писать заявление», – рассказал Отар журналистке Общественного Александре Черновой. Которая в свою очередь тоже получила «весточку» от коллекторов.

Источник: //www.ukrinform.ru/rubric-society/2657744-1000-i-1-zvonok-kollektora-ili-strasnye-skazki-pro-dolgi-cuzie-i-nesusestvuusie.html

Автоправо
Добавить комментарий