Schweizerischer Bankenombudsman -

суббота, 5 мая 2012 г.

Сколько стоит утечка банковской информации?

То, что финансовые институты являются излюбленными мишенями хакеров, инсайдеров и прочих представителей киберкриминала, известно всем. Как показывает практика, инциденты с утечкой банковских данных происходят регулярно по всему миру. В связи с эти возникает резонный вопрос, какие финансовые последствия несет утечка банковской информации?
Проблема банковских потерь от утечек и хакеров гораздо шире, чем о них принято думать. Банки, страховые и брокерские компании — инфраструктурный элемент экономики любой страны. Эти организации не работают сами по себе -  они как сами обслуживают клиентов, так и обслуживаются у других компаний, либо ведут совместный бизнес, например, обеспечивают работу пластиковых карт в торговых структурах. 
Сумма ущерба от утечек данных редко озвучивается самими банкирами. По понятным причинам: им это не выгодно. Поэтому, чаще всего, ущерб рассчитывается независимыми аналитиками.

Вот некоторые оценки потерь от утечек данных в финансовой сфере

Инцидент* Экспертная оценка ущерба**
26 марта 2008 года. Транспортная компания Archive Systems потеряла во время транспортировки резервную ленту банка New York Mellon. Носитель содержал персональные сведения 4,5 млн человек.
Экспертная оценка ущерба** - 100 млн долл.

8 мая 2008 года. Из офиса в Гонконге одного из крупнейших банков, HSBC, был украден сервер (по другой версии сервер был потерян) с персональными данными 160 тыс. клиентов. На нем содержались сведения об именах и номерах счетов клиентов, а также другая приватная информация. Экспертная оценка ущерба** - 4 млн долл.

6 мая 2008 года. В Тюменский областной суд направлено уголовное дело группировки мошенников, специализировавшихся на хищении денежных средств по кредитным картам банка "Русский стандарт". По данным прокуратуры, для совершения хищений мошенники внедряли своих людей как в филиалы банка, так и в подразделения почтовой связи в Тюмени, Омске и Кургане. За восемь месяцев жертвами мошенников стало более 450 человек.
Экспертная оценка ущерба** - 1 млн долл.

12 декабря 2006 года. Сразу 10 российских банков допустили утечки. Среди них "Русский стандарт", "ХКФ-банк", "Росбанк", "Финансбанк", "Импэксбанк" и др. Так, любой желающий мог всего за 2 тыс. рублей приобрести базу "Отказы по кредитам и стоп-листы банков России" с 3 млн записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. В базе содержалась информация об имени заемщика, телефоне, домашнем адресе, месте работы и причине попадания в базу — просрочка по кредиту, отказ в выдаче кредита и другие компрометирующие обстоятельства (например, наличие судимости). Дополнительно указан банк–источник этих сведений.
Экспертная оценка ущерба** -500 тыс. долларов для каждого из банков

6 сентября 2006 года. Российский банк "Первое ОВК", поглощенный Росбанком, допустил утечку базы персональных данных, содержащей информацию о 3 тыс. неблагонадежных заемщиках банка, получавших кредиты в 2002-2003 годах. База содержала номера домашних или мобильных телефонов заемщиков, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем была указана причина и дата занесения в черный список. База продавалась в интернете и рынках Москвы за 900 руб.
Экспертная оценка ущерба** - 500 тыс. долларов

6 июля 2006 года инсайдер из индийского call-центра одного из крупнейших банков, HSBC, выкрал персональные данные 20 английских клиентов банка и передал их своим сообщникам в Великобритании, которые перевели деньги клиентов на свои счета. В результате пострадавшие лишились в общей сложности почти 500 тыс. долларов. Банку пришлось понести значительные издержки на международное расследование инцидента, взаимодействие с Интерполом и PR-кампанию на восстановление своей репутации. Кроме того, банк пообещал вернуть все деньги пострадавшим.
Экспертная оценка ущерба** - 2 млн долларов

17 января 2006 года. Крупнейший банк в мире Tokyo-Mitsubishi UFJ с активами более 1,6 трлн долларов по ошибке разослал номера счетов 580 своих корпоративных клиентов по неправильным адресам электронной почты. Причина утечки — банальная ошибка оператора, который перепутал электронные адреса, когда рассылал 3,4 тыс. уведомлений. В результате банку пришлось принести официальные извинения, оповестить пострадавших и провести внутреннее расследование.
Экспертная оценка ущерба** - 500 тыс. долларов

* Указаны даты, когда об инциденте стало известно общественности, а не сами даты совершения утечки.
** Оценка аналитического центра компании Perimetrix

Откуда же берутся суммы ущерба? Очень часто обо всех тонкостях методик исследователи не распространяются. Но за информацией о том, как  перевести количество скомпрометированных записей в сумму материального ущерба,  можно обратиться к данным Ponemon Institute  "2007 Annual Study: The Cost of data breach". Одним из главных результатов этого исследования является определение средней стоимости утечки всего лишь одной приватной записи. По данным Ponemon, в финансовом секторе она составляет 239 долл (Источник: Ponemon Institute, 2008).

Каким образом получается эта сумма? Она складывается из целого списка различных факторов, каждый из которых требует материальных затрат. Действительно, при возникновении утечки требуется целая серия действий, и каждое чего-то стоит.

Список действий финансовой компании при обнаружении утечки*

Шаг Описание
1 Провести расследование и понять, почему случился инцидент
2 Оповестить пострадавших в письменной форме. Организовать для них линию помощи
3 Оплатить услуги консультантов по безопасности
4 Закупить решения для минимизации риска аналогичных инцидентов
5 Оплатить услуги юристов в случае судебных разбирательств
6 Провести PR-кампанию, чтобы успокоить общественное мнение
7 Возможно, выплатить штрафы регуляторам.

*Источник: Ponemon Institute, 2008

Однако наибольшие материальные потери имеют совершенно другой, косвенный характер. И связаны они с ущербом для репутации компании и дальнейшим оттоком клиентов. На репутационные потери приходится 56% убытков финансовых компаний или 134 долл. на запись в численном выражении.
Таким образом, общий средний ущерб крупных банков от утечек составляет примерно $573 тыс. в год. Конечно, к данной сумме следует относиться с изрядной долей скепсиса, поскольку она была получена в результате косвенных вычислений, основанных на опросе игроков финансового рынка. Вместе с тем, эта оценка дает реальное представление о масштабах потерь, которые испытывают банки в результате всего лишь одной угрозы информационной безопасности.
Как рассказал CNews Николай Федотов, главный аналитик InfoWatch, "Утечки в банковской сфере преимущественно касаются номеров банковских карт клиентов. Эти номера (в совокупности с именем держателя и сроком действия карты) являются высоколиквидным товаром на чёрном рынке. Работники банков и иные сотрудники, причастные к проведению транзакций, знают об этом и находятся под постоянным искушением скопировать эти данные и продать".
Вторым по значимости объектом утечки для банков, отмечает эксперт, являются сведения о счетах и транзакциях клиентов. Хотя инциденты, связанные с разглашением коммерческой тайны финансовых учреждений, редки, однако один такой инцидент может нанести огромный репутационный ущерб финансовому учреждению. Такого рода информация утекает как случайно, так и намеренно, поскольку её можно использовать в биржевой игре, продать конкурентам или властям заинтересованной страны, в отношении ее граждан, которые “уходять” от уплаты налогов (получило распространение в отношении клиентов швейцарских банков).

В странах Запада борьба с последствиями утечек поставлена наравне с борьбой с самими утечками. Утечка конфиденциальной информации рассматривается как распространённый, регулярно происходящий инцидент, к которому каждый должен быть готов. На снижение числа таких инцидентов в ближайшие годы не рассчитывают (особенно учитывая проведение в США и Европе активной компании по борьбе с налоговыми уклонистами).

Крупнейшие утечки персональных данных в банках в 1 полугодии 2008*


1 23 июня 2008 в г. Тампа, шт. Флорида, США произошла брешь в системе банка Bank Atlantic. Брешь затронула держателей дебетовых карт Master Card. Размер утечки выяснить не удалось. Утечка произошла через одного из мелких ритейлеров, подключённых к банковской сети. Расследованием занимается генеральная прокуратура штата Флорида

2 13 июня 2008 Texas Insurance Claim Services, техасская страховая компания, потеряла персональные данные о сотнях клиентов. Файлы с именами, номерами социального страхования и страхового полиса были обнаружены в мусорном контейнере.

3 4 июня американский банк 1st Source Bank начал выпуск новых дебетовых карт для своих пользователей после того, как киберпреступники заполучили неизвестное количество данных о дебетовых картах клиентов банка.

4 14 мая 2008 года сотрудник канадского банка First Calgary Savings потерял ноутбук, содержавший конфиденциальные сведения о сотнях клиентов банка. Данные были защищены паролем, однако не были зашифрованы. Полиция начала расследование дела.

5 7 мая 2008 - более 1 300 акционеров исследовательской и инжиниринговой организации SAIC (Science Applications International Corporation) подверглись риску кражи личности после утери металлической коробки с шестью магнитными лентами в начале 2008 г. в Нью-Джерси. Ленты принадлежали Bank of New York Mellon, который выступает в качестве агента по трансферту акций для SAIC. На лентах были записаны имена, адреса, номера социального страхования, информация о счетах ценных бумаг, статусе транзакций и, возможно, банковские счета 1 376 настоящих и бывших акционеров.

6 4 мая 2008, WESTPAC, третий крупнейший банк Австралии, вынужден перевыпустить около 2 тысяч карт Visa после того, как стало известно о риске кражи личности из-за утечки данных. Неизвестные из-за границы смогли похитить номера кредитных карт клиентов банка.

7 28 апреля 2008 стало известно, что Bank of Ireland, второй по величине банк Ирландии, с июня по октябрь 2007 года потерял четыре ноутбука с именами жителей Ирландии, их адресами, датами рождения, сведениями о банковских счетах, а также медицинской информацией. Жертвами утечки стали клиенты, оставившие заявку, либо заказавшие услугу страхования жизни в одном из восьми отделений банка. Пострадали 30 тысяч человек. Ни в одном из пропавших ноутбуков не использовалось программное обеспечение по шифрованию информации.

8 18 апреля 2008, Кит Финанс, российский инвестиционный банк, допустил утечку конфиденциальной информации о своем клиенте, который заказал оценку собственной инвестиционной привлекательности. Пострадавший клиент — холдинг "Объединенные Медиа", в которые входит и радиостанция Business FM. Журнал "Смарт мани" опубликовал часть цифр, составляющих коммерческую тайну "Объединенных Медиа" - данные о расходных статьях и доходах от рекламы радиостанции Бизнес ФМ. Утечка данных нанесла как минимум репутационный ущерб банку.

9 7 апреля 2008 года, банковская корпорация Гонконга и Шанхая (HSBC) подтвердила утерю компьютерного диска при отправке курьером с 370 тыс. данных о клиентах в английском отделении банка в г. Саутгэмптон. Данные в диске были защищены паролем, однако не были зашифрованы, и включали имена, даты рождения, номера страховых полисов и информацию о том, являются ли клиенты курильщиками.

10 6 апреля 2008 года, данные клиентов банка People's United Bank, включая номера счетов и социального страхования, найдены в мусорных контейнерах на территории банка. Данные присвоил некий человек, который теперь вымогает деньги у банка за возвращение данных. Банк ищет пути получения назад данных своих клиентов, но уже обещал бесплатный годичный кредитный мониторинг тех счетов, которые оказались под угрозой компрометации.

11 26  марта 2008 года, бывший программист банка Compass, базирующегося в штате Алабама, США, был приговорен к 3,5 годам заключения за похищение жесткого диска с данными об 1 млн клиентов банка и мошенничество с использованием этих данных. Злоумышленник также обязан вернуть 32 тыс. долл., которые он и его сообщник обманным путем изъяли со счетов клиентов банка в период между маем и июлем 2007 г. используя фальшивые дебетовые карты. База данных включала имена, номера счетов и ПИН-коды. Экспертная оценка ущерба - 197 млн долларов.

12 17 марта 2008г, Массачусетская банковская ассоциация проинформировала своих клиентов об утечке данных. Треть из 200 банков — членов ассоциации получили предупреждения от компаний Visa и Mastercard. В предупреждениях говорилось, что некоторые кредитные и дебетовые карты этих банков могут быть подвержены риску. По мнению банковской ассоциации, утечка произошла в период  между 7 декабря 2007 г. и 10 марта 2008 г.

13 25 февраля 2008 г, инсайдер похитил секретные данные о клиентах банка LGT (Liechtenstein Global Trust) и продал украденную базу данных спецслужбам Германии за 4,2 миллиона евро. Данные касались уклонения от уплаты налогов. По данным банка, утечка коснулась 1400 клиентов, 600 из них из Германии, и 4527 бенефициаров фондов, созданных подразделением LGT Treuhand. В похищенной из банка LGT базе данных содержится информация о клиентах из США, Великобритании, Италии, Испании, Австралии, Новой Зеландии, Швеции, Финляндии, Норвегии, Канады и Германии. Экспертная оценка ущерба — 4,2 млн долларов.

14 21 февраля 2008 г. Преступники похитили настольный компьютер из офиса Kurt Bischoff Tax & Accounting, аудиторской и бухгалтерской компании, расположенной в штате Висконсин, США. Конфиденциальные данные  в компьютере содержали имена, адреса, даты рождения, номера социального страхования и банковских счетов.

*Источник: InfoWatch, 2008

В InfoWatch комментируют, что аналитики компании практически ежедневно фиксируют сообщения о случаях утечки. Если в 2007 году  фиксировалось в среднем 6 случаев утечек в неделю, то в 2008 году этот показатель увеличился до 7,6. Это касается только известных случаев, просочившихся в прессу. При этом наиболее часто в СМИ попадает информация об утечках, произошедших в США, поскольку законодательство большинства штатов предписывает уведомлять всех субъектов персональных данных о подобных - произошедших или возможных - инцидентах.

Последние аналитические материалы в отношении информационных утечек вы можете нашти на сайте компании: http://www.infowatch.ru/analytics

Комментариев нет:

Отправить комментарий