Объем списаний с карт россиян за 2015 год в результате утечки информации по вине банковских сотрудников составил 350 млн рублей (за 2014 год — 390 млн). Это следует из расчетов, которые специально для «Известий» подготовила компания Zecurion, специализирующаяся на вопросах безопасности дистанционного банковского обслуживания. По оценкам компании, за I квартал 2016 года объем потерь граждан в результате злонамеренных действий работников кредитных организаций составил 90 млн рублей. По итогам этого года показатель достигнет отметки в 490 млн, прогнозируют в Zecurion.
1 апреля ЦБ объявил о снижении объемов кибермошенничества в 2015 году на 27%, до 1,14 млрд рублей, по сравнению с годом ранее. При этом объем хищений с карт россиян при участии банковских сотрудников за тот же период снизился на 10,2%.
По словам руководителя Zecurion Analytics Владимира Ульянова, наибольший объем утечек персональных данных клиентов (которые могут повлечь хищения с их карт) происходит при «миграции» банковских служащих.
— В целом получается, что 38% банковских служащих на должностях линейных сотрудников и младших руководителей копировали конфиденциальную информацию при смене места работы или готовы сделать это сейчас, — указывает Владимир Ульянов.
По словам эксперта, схемы использования персональных данных клиентов стандартны. В список входят: списания небольшими суммами со счетов клиентов — лишь немногие из них точно знают остатки по счетам и то, какие операции проводили; оформление кредитов и кредитных карт на клиентов банков — при этом клиенты некоторое время остаются в неведении, что на их имя получен кредит; списания с невостребованных счетов (в том числе умерших клиентов).
По словам Владимира Ульянова, в рамках первого сценария со счетов россиян увели 55 млн рублей в 2015 году, в рамках третьего — 15 млн. Остальные средства были похищены с помощью второго сценария.
Владимир Ульянов отмечает, что передача логинов-паролей клиентов сейчас входит в список наименее частых нарушений.
— Банки понимают риски, в большинстве случаев данные для аутентификации передаются пользователю конфиденциально (например, в запечатанном конверте) или клиенты устанавливают логины-пароли сами при входе в интернет-банк, — указывает собеседник. — Но известны случаи, когда сотрудники банков передавали логины-пароли клиентов, выведанные с использованием служебного положения, третьим лицам. В целом по России в 2015 году произошло 140 инцидентов такого рода.
По словам руководителя направления противодействия мошенничеству компании «Инфосистемы Джет» Алексея Сизова, в условиях нестабильной экономической ситуации, снижения зарплат, урезания бонусов в компаниях и банках сотрудники находятся в состоянии неопределенности, что побуждает их к хищениям данных клиентов и передаче их третьим лицам.
По данным Центробанка, в 2015 году банки урезали расходы на персонал на 4% по сравнению с предыдущим годом, — до 665,7 млрд рублей. По оценкам HeadHunter, в 2016 году банки сократят штат на треть.
— Если говорить только о внутреннем мошенничестве (без участия третьих лиц), то наибольший риск представляют опытные сотрудники, которые хорошо понимают бизнес-процессы, их последовательность, схемы работы систем банков и, главное, схемы внутрибанковского контроля, — отмечает Алексей Сизов. — Защититься от действий таких сотрудников крайне сложно. Их сговоры с третьими лицами (обычно по инициативе последних) также нередки.
Ведущий эксперт по информационной безопасности InfoWatch Мария Воронова указывает, что сотрудники банков в курсе стандартного поведения клиентов — где бывают, как и что оплачивают по банковской карте, места снятия наличности в АТМ.
— Таким образом, персонал банков может обмануть антифрод-систему, которая отслеживает нестандартные платежи путем маскировки мошеннической операции под стандартную, — отмечает Мария Воронова. — Это особенно актуально для снятия денег по картам-клонам.
По словам Алексея Сизова, банки активно борются с внутренним мошенничеством, применяя целый комплекс мероприятий, в том числе: более строгая аутентификация сотрудников (для подтверждения операций нужно подтверждение от двух сотрудников банка); внедрение систем контроля персонала, работающего не в рамках отчетности; внедрение систем оперативного анализа операций в корреляции с системами интернет-банка, процессинга.
Представитель компании «Инфосистемы Джет» отмечает, что основные способы защиты от хищений со счетов для клиентов — подключение сервиса SMS-оповещений о трансакциях, проверка состояния своих счетов, внимательное отношение к персональным данным.
По мнению зампреда Локо-банка Андрея Люшина, необходимо ввести законодательный запрет на работу в финансовой сфере для тех банковских сотрудников, чья вина в утечке/краже персональных данных клиентов доказана.