новости
Отсутствие эффективных систем киберзащиты в МФО приводит к утечке персональных данных клиентов

19 сентября 2019

За первое полугодие число жалоб на микрофинансовые организации (МФО) увеличилось на 30% по сравнению с аналогичным периодом прошлого года (отчет о работе с обращениями Банка России от 5 августа 2019 года). Если в 2018 году Банк России зафиксировал около 10 тыс. обращений, то в 2019 году – больше 14 тыс., часть из которых были поданы за разглашение персональных данных. Руководитель отдела аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что злоумышленники выбирают МФО в качестве объекта для атаки из-за отсутствия у них эффективных систем киберзащиты. Кроме этого, он считает, что на сегодняшний день более серьезную угрозу для МФО и их клиентов представляют собственные сотрудники. Эксперт объясняет это следующим образом:
• менеджеры забывают защитить паролем базу персональных данных клиентов МФО, расположенную на сервере;
• уволившиеся сотрудники копируют имеющиеся сведения и используют их в личных целях, при отсутствии в МФО системы контроля передачи информации.
При этом, в случае выявления нарушений при работе с персональными данными клиентов, суд может обязать МФО выплатить компенсацию морального вреда. Так, гражданин обратился в суд с иском к МФО и бюро кредитных историй о признании договора займа незаключенным и взыскании компенсации морального вреда (решение Кировского районного суда города Омска от 27 сентября 2018 года по делу № 2-3459/2018). Согласно материалам дела истец получил уведомление о наличии задолженности по договору микрозайма в размере 18 тыс. руб., который им не заключался. В суде он пояснил, что паспортные данные в анкете на получение денежных средств совпадают, однако документы он не терял и сведения третьим лицам не передавал, соответственно, ответчики незаконным способом обрабатывали его персональные данные. В свою очередь представитель ответчика отметила, что источником получения персональных данных истца являлась поданная им заявка на получение займа. По ее словам, истец зарегистрировался на сайте МФО, заполнил анкетные данные и согласился с условиями договора займа путем ввода кода в личном кабинете организации, направленного истцу на его мобильный телефон.
Районный суд на основе сведений, представленных оператором сотовой связи, определил, что номер телефона, с которого подтверждалось согласие на получение займа, не принадлежит истцу. Кроме того, суд отметил, что МФО должна была провести идентификацию клиента посредством личного представления им оригиналов документов или надлежащим образом заверенных копий либо провести авторизацию в ЕСИА с использованием усиленной квалифицированной электронной подписи (п. 1.12 ст. 7 Федерального закона от 7 августа 2001 гола № 115-ФЗ "О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма").
Суд пришел к выводу, что отсутствие процедуры удаленной идентификации истца привело к незаконному использованию его персональных данных, в связи с чем были удовлетворены исковые требования истца о признании договора займа недействительным и взыскании морального вреда с МФО в размере 20 тыс. руб. При этом суду не удалось установить кто за гражданина оформил договор займа.
В связи с тем, что злоумышленников сложно идентифицировать для привлечения к уголовной ответственности директор по методологии и стандартизации компании "Позитив Текнолоджиз" Дмитрий Кузнецов в рамках кейс-форума, посвященного вопросам мошенничества в финансовой сфере, организатором которого выступила компания Business Summit of Future дал ряд советов руководителям и менеджерам кредитных организаций в целях защиты персональных данных клиентов. Им следует:
• разработать нормативные требования, которые обеспечат оптимальный уровень защиты клиентов компаний, в том числе банков, и закрепить ответственность за невыполнение этих требований (например, внутренний регламент работы с персональными данными, порядок сообщения в службу безопасности о потенциальных угрозах);
• предусмотреть технические средства защиты как для кредитных организаций, так и крупных компаний, которые позволят выявить попытки компрометации имеющейся базы данных клиентов;
• осуществлять профилактику взломов со стороны злоумышленников (например, исключить взаимосвязь компьютеров между собой, чтобы не было возможности при получении доступа к одной машине открыть путь еще и к другим);
• не использовать очень простые пароли на персональных компьютерах сотрудников и руководителей (например, "1234", "qwerty" и т.п.), периодически их менять.
Независимый эксперт Алексей Плешков добавил, что необходимо провести независимый аудит информационной безопасности в МФО для выявления основных уязвимостей и их устранения. Кроме того он порекомендовал гражданам по защите их персональных данных следующее:
• не хранить фотографии паспорта или иных документов, с помощью которых можно идентифицировать владельца, а также иную конфиденциальную информацию в телефоне, электронной почте и мессенджерах);
• уточнять у представителей организаций, куда передаются персональные данные, как по внутренним регламентам компании хранят, защищают и уничтожают полученные сведения, а также проверять, есть ли у организации положение о запрете передачи персональных данных третьим лицам (как в бумажном, так и в электронном виде);
• удалить персональные данные из программ и приложений, имеющиеся на персональном компьютере и телефоне, которые потенциально могут быть использованы злоумышленниками (например, данные банковской карты).

Источник: garant.ru